SurInfo, le site des technologies réseaux, le site à suivre

Vote utilisateur: 5 / 5

Les droits d’accès aux ressources

J’ai un utilisateur Stéphane qui fait parti du groupe Vendeurs. Ce même groupe faisant parti du groupe Achats. Un dossier est créé portant le nom de « Ressources ».

Les droits NTFS et de PARTAGE sont répartis de la façon suivante:

	Ressources
	NTFS	PARTAGE
Stéphane	Lecture	Lecture
Vendeurs	Lecture et exécution	Modification
Achats	Lecture
Droits par onglet	Lecture et exécution	modification
Droits finaux	Lecture

Les droits les plus permissifs sont pris en compte par onglet (NTFS ou PARTAGE). Il n’existe pas de priorité entre l’utilisateur et les groupes ni même entre les groupes eux même.

De même, il n’y a pas de priorité entre les droits NTFS et les droits PARTAGE.

Attention !!!! Le refus est prioritaire sur les autorisations !

La permission explicite, que ce soit l'autorisation ou le refus, EST TOUJOURS PRIORITAIRE sur une permission héritée!

Lorsque Stéphane accède à la ressource « Ressources » localement, seuls les droits NTFS s’appliquent.

Lorsque Stéphane accède à la ressource « Ressources » par le réseau, les droits NTFS et de PARTAGE s’appliquent.

Lors de l’accès via le réseau, c’est le cumul le plus restrictif entre les autorisations NTFS et de PARTAGE qui est pris en compte.

La copie et le déplacement de fichiers

Stéphane utilise un poste sous Windows 7. Il souhaite déplacer ou copier un fichier situé sur c:\docs vers un autre emplacement se trouvant sur son ordinateur. Ce dernier possède deux partitions (C et D). Son fichier se trouve dans un dossier avec le droit de lecture uniquement.

Origine	Destination
C:\docs\excel\doc.xlsx	C:\archive\excel\doc.xlsx	C:\archive\excel\doc.xlsx
Copier – Coller	Héritage	Héritage
Couper - Coller	Conservation des droits explicites + Héritage	Héritage

La règle à mémoriser est la suivante :

Il y a héritage des droits NTFS dans tous les cas sauf dans le cas ou Stéphane déplace le fichier dans la même partition. Dans ce cas, il conserve les droits NTFS explicites du fait que le pointeur se trouvant dans l’index de la partition n’est que modifié et non pas créé comme dans les trois autres cas) ET hérite des droits du dossier de destination.

Vous trouverez ici un petit script powershell qui vous permet de générer automatiquement les groupes de domaine locaux et d'y affecter les droits par défaut. Il vous permet de séléctionner la ressource à traiter qui contient les dossiers pour lesquels je souhaite créer les groupes.

Le script crééra automatiquement dans votre domaine une Ou "groupes" dans laquelle sera créé les 4 groupes de domaine locaux par dossier en suivant cette méthodologie:

La première lettre "L" du groupe indique que c'est un groupe de domaine local
La ou les deux lettres suivantes indiquent les droits qui seront définies:
- "L" pour lecture
- "LE" pour lecture/écriture
- "M" pour modification
- "CT" pour contrôle total
La partie suivant reflète le nom du dossier

Pour un dossier nommé "SAV" disponible en lecture/écriture, le groupe s'apellera "LLE_sav"

La commande CACLS

CACLS nomfichier /T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G util:perm] [/R util [...]] [/P util:autor [...]] [/D util [...]] nomfichier: Affiche les listes ACL.
/T Modifie les listes ACL des fichiers dans le répertoire et les sous-répertoires.
/L Fonctionne sur le lien symbolique par opposition à la cible
/M Modifie les listes ACL des volumes montés dans un répertoire
/S Affiche la chaîne SDDL pour la liste DACL.
/S:SDDL Remplace les listes ACL par celles spécifiées dans la chaîne SDDL (non valide avec /E, /G, /R, /P ou /D).
/E Modifie la liste ACL au lieu de la remplacer.
/C Continue la modif. des ACL et ignore les erreurs
/G util:autor Accorde des accès à l'utilisateur
Perm : R Lecture
W Écriture
C Modification (en écriture)
F Contrôle total
/R util Révoque les accès de l'utilisateur (valide uniquement avec /E).
/P util:autor Remplace les accès de l'utilisateur
Perm peut être : N Aucun
R Lecture
W Écriture
C Modification (en écriture)
F Contrôle total
/D util Refuse l'accès à l'utilisateur
Utilisez des caractères génériques pour spécifier plusieurs fichiers dans une commande. Vous pouvez spécifier plusieurs utilisateurs dans une commande.

Abréviations :
CI - Héritage de conteneur.
Les répertoires héritent de l'entrée de contrôle d'accès.
OI - Héritage d'objet.
Les fichiers héritent de l'entrée de contrôle d'accès.
IO - Héritage unique.
L'entrée de contrôle d'accès ne s'applique pas au fichier/répertoire en cours.
ID - Hérité.
L'entrée de contrôle d'accès a hérité de la liste de contrôle d'accès du répertoire parent.

La commande Icalcs

ICACLS nom /save fichierACL [/T] [/C] [/L] [/Q]
Stocke les listes de contrôle d'accès discrétionnaire pour les fichiers et les dossiers qui correspondent au nom dans fichierACL pour une utilisation ultérieure avec /restore.Notez que les SACL, le propriétaire et les noms d'intégrité ne sont pas enregistrés.

ICACLS répertoire [/substitute AncienSID NouveauSID [...]] /restore fichierACL [/C] [/L] [/Q]
Applique les listes de contrôle d'accès discrétionnaire stockées aux fichiers présents dans le répertoire.

ICACLS nom /setowner utilisateur [/T] [/C] [/L] [/Q]
Modifie le propriétaire de tous les noms correspondants. Cette option ne force pas la modification du propriétaire ; utilisez pour cela l'utilitaire takeown.exe.

ICACLS nom /findsid SID [/T] [/C] [/L] [/Q]
Recherche tous les noms correspondants qui contiennent une liste de contrôle d'accès mentionnant de façon explicite le SID.

ICACLS nom /verify [/T] [/C] [/L] [/Q]
Recherche tous les fichiers dont la liste de contrôle d'accès n'est pas canonique ou dont les longueurs ne sont pas cohérentes avec les nombres d'entrées de contrôle d'accès.

ICACLS nom /reset [/T] [/C] [/L] [/Q]
Remplace les listes de contrôle d'accès par les listes héritées par défaut pour tous les fichiers correspondants.

ICACLS nom [/grant[:r] SID:autorisation[...]]
[/deny SID:autorisation [...]]
[/remove[:g|:d]] SID[...]] [/T] [/C] [/L] [/Q]
[/setintegritylevel Level:policy [...]]

/grant[:r] SID:autorisation : octroie les droits d'accès utilisateur spécifiés.

Avec :r, les autorisations remplacent toute autorisation explicite précédemment accordée.

Sans :r, les autorisations sont ajoutées aux autorisations explicites précédemment accordées.

/deny Sid:autorisation : refuse de manière explicite les droits d'accès utilisateur spécifiés. Une entrée de contrôle d'accès de refus explicite est ajoutée aux autorisations mentionnées et les mêmes autorisations dans tout accord explicite sont supprimées.

/remove[:[g|d]] SID : supprime toutes les occurrences de SID dans la liste de contrôle d'accès.

Avec :g, toutes les occurrences de droits accordés à ce SID sont supprimées.

Avec :d, toutes les occurrences de droits refusés à ce SID sont supprimées.

/setintegritylevel [(CI)(OI)]Ce niveau ajoute explicitement un ACE d'intégrité à tous les fichiers correspondants. Le niveau peut être :
L[ow]
M[edium]
ou H[igh]
Les options d'héritage de l'ACE d'intégrité peuvent précéder le niveau et ne sont appliquées qu'aux répertoires.

/inheritance:e|d|r
e - Active l'héritage.
d - Désactive l'héritage et copie les ACE.
r - Supprime toutes les ACE héritées.

Remarque :
Les SID peuvent être spécifiés au format numérique ou sous forme de nom convivial. Si le format numérique est utilisé, ajoutez un * avant le SID.

/T indique que cette opération est effectuée sur tous les fichiers/répertoires correspondants qui se trouvent sous les répertoires spécifiés dans le nom.

/C indique que cette opération se poursuivra sur toutes les erreurs de fichiers. Les messages d'erreurs continueront à s'afficher.

/L indique que cette opération est effectuée directement sur un lien symbolique plutôt que sur sa cible.

/Q indique qu'icacls doit supprimer les messages de réussite.

ICACLS conserve l'ordre canonique des entrées de contrôle d'accès :
Refus explicites
Octrois explicites
Refus hérités
Octrois hérités

L'argument autorisation est un masque d'autorisation et peut être fourni sous deux formes :
une série de droits simples :
N - Aucun accès
F - Accès complet
M - Accès en modification
RX - Accès en lecture et exécution
R - Accès en lecture seule
W - Accès en écriture seule
D - Accès en suppression
une liste séparée par des virgules de droits spécifiques entre parenthèses :
DE - Suppression
RC - Contrôle en lecture
WDAC - Accès en écriture à la liste de contrôle d'accès
WO - Accès en écriture du propriétaire
S - Synchronisation
AS - Accès à la sécurité système
MA - Maximum autorisé
GR - Lecture générique
GW - Écriture générique
GE - Exécution générique
GA - Générique pour tout
RD - Lecture de données/Liste du répertoire
WD - Écriture de données/Ajout de fichiers
AD - Ajout de données/Ajout de sous-répertoires
REA - Attributs de lecture étendus
WEA - Attributs d'écriture étendus
X - Exécution/Parcours
DC - Suppression de l'enfant
RA - Attributs de lecture
WA - Attributs d'écriture
Les droits d'héritage peuvent précéder n'importe quelle forme et ne sont appliqués qu'aux répertoires :
(OI) - Héritage d'objet
(CI) - Héritage de conteneur
(IO) - Héritage uniquement
(NP) - Ne pas transmettre l'héritage
(I) - Autorisation héritée du conteneur parent

Exemples :

icacls c:\windows\* /save fichierACL /T
- Enregistre les listes de contrôle d'accès de tous les fichiers sous c:\windows et ses sous-répertoires dans fichierACL.

icacls c:\windows\ /restore fichierACL
- Restaure les listes de contrôle d'accès pour tous les fichiers contenus dans le fichierACL présent dans c:\windows et ses sous-répertoires.

icacls fichier /grant Administrateur:(D,WDAC)
- Octroie à l'utilisateur Administrateur les autorisations d'accès en suppression et en écriture à la liste de contrôle d'accès au fichier.

icacls fichier /grant *S-1-1-0:(D,WDAC)
- Octroie à l'utilisateur défini par le SID S-1-1-0 les autorisations d'accès en suppression et en écriture à la liste de contrôle d'accès au fichier.