COMMENT FAIRE : Configurer la sécurité des fichiers et des dossiers sur un réseau (domaine)

Ce guide présente étape par étape les procédures de configuration de la sécurité pour les fichiers et les dossiers sur un réseau, pour protéger les données contre tout accès non autorisé.

Par exemple, partons de l'hypothèse que vous recevez un appel de Julie, le directeur de votre département Comptes clients. Julie a travaillé sur plusieurs feuilles de calcul, enregistrées sur un serveur de fichier dans votre domaine, et ne voudrait pas que des employés non autorisés à accéder à ces fichiers soient en mesure de les ouvrir et de les modifier. Les fichiers se trouvent dans le dossier nommé C:\Comptes sur le serveur, et ce dossier est partagé sous le nom de Comptes. Les autorisations de partage sur le partage Comptes pour les membres du groupe Utilisateurs de domaine sont définies sur Contrôle total. Julie veut permettre aux membres du groupe Comptables de modifier les fichiers et d'ajouter de nouveaux fichiers, et aux membres du groupe Vente de lire les fichiers, sans pouvoir les modifier. Julie doit être la seule personne en mesure de modifier les autorisations, et personne d'autre ne doit pouvoir accéder à ces fichiers.

Configuration de la sécurité sur un dossier

Pour configurer la sécurité d'un dossier et d'un fichier

1. Ouvrez une session sur le serveur à l'aide de votre nom d'utilisateur de domaine et de votre mot de passe.
2. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Explorateur Windows.
3. Développez Poste de travail, puis cliquez sur le lecteur, qui contient le dossier que vous voulez configurer. Cliquez avec le bouton droit sur le dossier à sécuriser (par exemple Comptabilité), puis cliquez sur Propriétés.
4. Cliquez sur l'onglet Sécurité, puis désactivez la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet.
5. Dans la boîte de dialogue Sécurité, cliquez sur Copier.
   
   REMARQUE : Les autorisations héritées sont copiées directement dans ce dossier.
6. Pour ajouter un ensemble d'autorisations, dans la boîte de dialogue Propriétés, dans l'onglet Sécurité, cliquez sur Ajouter. Dans la boîte de dialogue Sélection d'utilisateurs, d'ordinateurs ou de groupes, double-cliquez sur les groupes ou les comptes d'utilisateur appropriés. Une fois que vous avez sélectionné tous les utilisateurs et les groupes auxquels vous voulez attribuer des autorisations, cliquez sur OK. Les groupes et les utilisateurs que vous avez ajoutés, parallèlement au groupe Tous les utilisateurs, sont affichés dans la moitié supérieure de la fenêtre de l'onglet Sécurité.
7. Dans la liste Nom, sélectionnez chaque utilisateur ou groupe individuellement, puis appliquez les autorisations appropriées dans la liste Autorisations.
   
   Le paramètre par défaut Autoriser pour Lire, Afficher le contenu du dossier et Lire & Exécuter les autorisations accorde au groupe Vente le niveau d'autorisation approprié. Pour le groupe Comptabilité, pour l'autorisation Modifier, cliquez sur Autoriser, de sorte que les membres de ce groupe puissent ajouter de nouveaux fichiers au dossier ou modifier les fichiers dans le dossier. Pour le compte d'utilisateur de Julie, pour l'autorisation Contrôle total, cliquez sur Autoriser, ce qui permet à Julie de lire, modifier, supprimer et modifier les autorisations sur le dossier et son contenu.
8. Une fois les autorisations appropriées définies, cliquez sur le groupe Tous les utilisateurs, puis cliquez sur Supprimer.

Pièges

Des utilisateurs ne peuvent pas accéder aux fichiers et aux dossiers auxquels ils devraient pouvoir, lorsqu'ils ont ouvert une session localement

Les autorisations d'accès sont associées à partir de toutes les autorisations attribuées directement à l'utilisateur et de toutes celles attribuées aux groupes, dont l'utilisateur est membre.

L'exception à cette règle est lorsqu'il existe une autorisation Refuser explicite sur le dossier ou le fichier. Cela peut se produire car les autorisations Refuser sont énumérées en premier, lorsque Windows 2000 détermine si un utilisateur particulier peut ou non effectuer une tâche spécifique. C'est pourquoi vous devez éviter d'utiliser des autorisations Refuser explicites (c'est-à-dire, éviter d'activer une case à cocher dans la colonne Refuser), à moins qu'il n'existe pas d'autre moyen d'obtenir la combinaison d'autorisations, dont vous avez besoin.

Les utilisateurs peuvent accéder aux fichiers et dossiers avec des autorisations incorrectes, lorsqu'ils sont connectés localement

Par exemple, les utilisateurs peuvent écrire au lieu de lire simplement, lorsqu'ils sont connectés localement. Par défaut, les autorisations sont héritées du dossier qui contient l'objet. Si vous rencontrez des niveaux d'autorisation inappropriés, vérifiez les autorisations héritées qui sont incorrectes pour cet objet et les appartenances aux groupes, qui peuvent attribuer des niveaux d'autorisations différents de ceux que vous voulez.

Les utilisateurs ne peuvent pas accéder aux fichiers et dossiers, auxquels ils devraient pouvoir accéder via le réseau

Lorsque vous accédez à des données sur le réseau, les autorisations de partage et les autorisations de fichier et de dossier s'appliquent. Les autorisations d'accès de partage sont associées à partir de toutes les autorisations qui sont attribuées directement à l'utilisateur et celles attribuées à tous les groupes, dont l'utilisateur est membre. L'exception à cette règle est lorsqu'il existe une autorisation Refuser explicite sur le dossier ou le fichier. Cela peut se produire car les autorisations Refuser sont énumérées en premier, lorsque Windows 2000 détermine si un utilisateur particulier peut ou non effectuer une tâche spécifique. Ainsi, si Frank, par exemple, est membre d'un groupe, dont la case à cocher Refuser est activée pour Lire dans la colonne Refuser, il n'est pas en mesure de lire le fichier ou le dossier, même si d'autres autorisations doivent lui permettre de le faire.

Vous devez éviter d'utiliser des autorisations Refuser explicites (c'est-à-dire, éviter d'activer une case à cocher dans la colonne Refuser), à moins qu'il n'existe pas d'autre moyen d'obtenir la combinaison d'autorisations, dont vous avez besoin. Vérifiez à la fois les autorisations de partage et les autorisations de fichier et de dossier pour l'utilisateur et tous les groupes, dont il est membre.

Il n'y a pas d'onglet Sécurité dans la boîte de dialogue des propriétés du dossier

Si l'onglet Sécurité n'apparaît pas dans les propriétés du dossier, il est probable que vous utilisiez le système de fichier FAT ou FAT32. Windows 2000 inclut un utilitaire qui vous permet de convertir en toute sécurité votre lecteur du système de fichier FAT ou FAT32 au système de fichier NTFS.

AVERTISSEMENT : Ne convertissez pas votre lecteur si vous exécutez à la fois Windows 2000 et un autre système d'exploitation sur l'ordinateur (c'est-à-dire, s'il s'agit d'un ordinateur à double amorçage) et que l'autre système d'exploitation ne peut pas lire les lecteurs NTFS.

Pour convertir une partition à NTFS :

1. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Invite de commande.
2. Tapez convert lecteur: /FS:NTFS, où lecteur est le lecteur à convertir.
   
   Par exemple, pour convertir le lecteur D à NTFS, tapez la ligne de commande suivante :
   convert D: /FS:NTFS
3. Si vous tentez de convertir un lecteur alors que Windows 2000 y accède, Windows 2000 affiche un message vous invitant à convertir le lecteur après le redémarrage de l'ordinateur. Cliquez sur Oui, fermez tous les programmes en cours d'exécution, puis redémarrez votre ordinateur.