--Permissions des utilisateurs----------

 

limites dans un réseau égalitaire :

 

L'activation des permissions (un système d'autorisations liées aux utilisateurs plutôt qu'aux partages) est un système théoriquement conçu pour une administration de type clients - serveur. Dans un réseau égalitaire, chaque ordinateur possède sa propre base de sécurité et les utilisateurs sont différents d'un poste à l'autre (même s'ils portent le même nom et s'ils sont physiquement les mêmes). On aura intérêt, pour la gestion des utilisateurs d'un réseau d'entreprise, à migrer un poste vers un Os de type WINDOWS 2000 ou 2003 Server.

Toutefois, il est possible, poste par poste, sous Windows XP, de réglementer l'accès aux ressources locales sans possibilité de créer de profil errant (appliquer dans une base SAM unique les mêmes privilèges et configuration sur tous les postes du réseau pour un utilisateur ou un groupe donné) ni de script d'ouverture de session sur tout le réseau. Cela permettra simplement de protéger les ressources personnelles de chacun sur une machine aux utilisateurs multiples.

 

système de fichiers :

 

Pour ce faire, il faut que les partitions sur lesquelles sont hébergées les ressources soient de type NTFS.

Pour connaître les système de fichiers dont vous disposez demandez, dans le poste de travail, les propriétés de chaque volume (en clic droit sur leur icône).

Vous pouvez convertir un volume FAT32 en NTFS en utilisant dans l'invite de commande l'instruction

convert x: /FS:NTFS (X: étant la lettre du volume)

Ne le faites que si le volume ne contient pas d'autres systèmes d'exploitation de type Windows 9x/Me. Si le volume que vous souhaitez convertir est votre lecteur principal (contenant l'amorce et l'OS), Convert vous interdira la manoeuvre. Cliquez alors sur le bouton démarrer - exécuter. tapez l'instruction et validez. Un message vous informera que l'opération est impossible mais que Windows peut la planifier au redémarrage. Répondez alors oui.

Sachez enfin que les données des disques convertis seront normalement préservées. Par sécurité, faites en, tout de même,  une sauvegarde. (voir chapitre 3)

 

activation des permissions :

L'activation des permissions et un service accessible dans les outils d'administration. Par défaut, Windows XP est paramétré pour la gestion "simple" des droits aux ressources. Nous allons devoir modifier le fonctionnement de ce service pour pouvoir gérer nos permissions.

Cliquez sur le bouton démarrer

Cliquez sur Exécuter...

7 saisissez " secpol.msc /s

Cliquez sur le bouton "OK"

On obtiendrait le même résultat par le menu démarrer - panneau de configuration - outils d'administration - stratégie de sécurité locale.

 

Cliquez sur stratégies locales puis sur options de sécurité

double-Cliquez sur le service "Accès réseau : modèle de sécurité pour les comptes locaux"

changez le choix "invité seul..." pour "Classique..."

Cliquez sur le bouton "OK"

cliquer sur le bouton de la fenêtre paramètres de sécurité.

 

La grande différence, à présent, est qu'en clic droit sur n'importe quel dossier apparaît un nouvel onglet "sécurité" qui nous permet d'attribuer les permissions aux utilisateurs

 

création des permissions :

contrairement aux partages, les permissions s'adressent à la fois aux dossiers et aux fichiers, y compris les exécutables, ce qui vous permet de contrôler quels sont les programmes que chaque utilisateur pourra utiliser

Sous XP, sauf pour le cas particulier des imprimantes (voir plus bas), il existe cinq types de permissions génériques que voici de la plus restrictive à la plus permissive :

  • l'affichage du contenu d'un dossier qui permet aux utilisateurs de visualiser son contenu de fichiers (mais sans pouvoir les ouvrir) et  de répertoires (et d'en parcourir l'arborescence)

  • La lecture qui permet aux utilisateurs de consulter le contenu d'un fichier s'il dispose de privilèges suffisants pour lancer le programme qui lui est associé

  • L'écriture qui permet aux utilisateurs de créer des nouveaux fichiers ou dossiers

  • Lecture et exécution qui permet de lancer un programme ou d'ouvrir un fichier (même s'il ne dispose pas de privilèges suffisants pour lancer le programme qui lui est associé)

  • la modification qui permet de modifier (et donc, de supprimer) des fichiers, des dossiers et des programmes.

IL existe une sixième permission qui cumule les cinq autres : le"contrôle total", qui, comme sont nom l'indique, donne droit de vie et de mort sur la ressource permise. Ajoutons en une septième pour les puristes : l'absence de permission afin d'être exhaustif.

 

Sur ordinateur Steph2 :

Cliquez sur le bouton démarrer

Cliquez sur mes documents

cliquer droit sur navette

Cliquez sur l'onglet "sécurité"

Par défaut, il existe deux utilisateurs et un groupe disposant du contrôle total sur la ressource permise

  • le créateur propriétaire (l'utilisateur qui a enregistré ou installé la ressource)

  • l'utilisateur qui crée la permission (il peut être différent du créateur s'il bénéficie du privilège d'administrateur)

  • le groupe administrateurs

on peut ajouter (ou supprimer) un utilisateur ou un groupe à (de) la liste des permissions.

Dans notre cas, nous allons partager notre répertoire à tous les utilisateurs en lecture et écriture :

Cliquez sur le bouton ajouter

7 saisissez le nom de l'utilisateur ou du groupe à  ajouter, pour l'exemple " tout le monde"

"tout le monde" et un groupe qui englobe tous les utilisateurs potentiels sans exception, même anonyme, extérieur (via une prise en main à distance) ou invité.

Cliquez sur le bouton "vérifier les noms"

Si XP souligne "tout le monde", c'est qu'il reconnait cette utilisateur

Si, par exemple, vous entrez le nom d'utilisateur Michel sur l'ordinateur "compta1", il apparaîtra sous la forme compta1\Michel

Cliquez sur le bouton OK

Cliquez sur "tout le monde" dans la liste des utilisateurs

 

Dans la colonne "autoriser", cochez "écriture"

 

N'importe quel utilisateur de l'ordinateur pourra maintenant consulter les fichiers du dossier navette et en ajouter mais il ne pourra en aucun cas supprimer ou modifier les vôtres (le droit modification ne lui est pas accordé).

 

Vous l'aurez compris, les permissions sont un moyen formidable de sécuriser l'usage d'un ordinateur utilisé par plusieurs personnes tant pour l'utilisation des logiciels que pour le respect des fichiers. n'oubliez pas les quelques conseils ci-dessous :

  • Les utilisateurs que vous créez (panneau de configuration - comptes d'utilisateurs) sont par défaut "administrateurs". Ils ont donc accès à tout en contrôle total. Rétrogradez leurs droits au rang d'invité puis créez pour eux des permissions pour les ressources dont ils ont besoin. Par contre, ne supprimez jamais le groupe administrateurs de la liste des permissions. En mode maintenance, c'est le seul accès qui vous reste sous XP !

  • Les permissions sont descendantes, c'est à dire qu'elles s'appliquent aux dossiers et fichiers contenus dans le dossier sur lequel on applique les permissions (comme pour les partages) mais cette descendance est modifiable. Appliquez toujours vos permissions au niveau le plus bas, comme pour un partage.

  • Si vous créez des groupes d'utilisateurs afin de leur donner les mêmes droits (mais ceci serait surtout valable dans un domaine), gardez à l'esprit que si les permissions d'un utilisateur sur une ressource sont différentes de celles du groupe auquel il appartient sur cette même ressource, c'est la plus restrictive des deux permissions qui s'appliquera pour lui.

Par exemple, l'utilisateur "chef comptable" appartient au groupe "direction" qui dispose du contrôle total sur le dossier "bilans". Il appartient aussi au groupe "comptabilité" qui ne possède qu'un droit "lecture et exécution" sur ce même dossier. Sa permission effective sera alors "lecture et exécution". C'est le genre d'erreurs classique qui se produit lorsque l'organigramme des permissions n'a pas été conçu avec soin. Autre exemple : vous supprimez le groupe administrateurs de la liste des permissions sur une ressource pour être sûr(e) d'être la / le seul(e) à en avoir l'usage, mais comme vous êtes vous-même un utilisateur du groupe administrateurs et comme la permission la plus restrictive s'applique, plus personne n'aura jamais accès à la ressource !

 

Pour les imprimantes, les types de permissions sont différents mais leur gestion et la même que pour les programmes, fichiers et répertoires.

  • imprimer et une permission attribuée par défaut au groupe "tout le monde". Elle permet la sortie vers le périphérique d'impression

  • la gestion d'imprimante permet de modifier les réglages (qualité, couleur, format...). Elle est accordée par défaut aux utilisateurs avec pouvoir (ce groupe est vide au départ) et aux administrateurs

  • gestion de documents permet d'intervenir sur la file d'impression (spool) afin d'établir des priorités, de supprimer des travaux en attente ou de suspendre les impressions. Elle est accordée par défaut aux utilisateurs avec pouvoir et aux administrateurs.

Si vous souhaitez interdire à certains utilisateurs le droit d'imprimer, supprimez le groupe "tout le monde" et ajoutez un par un les utilisateurs autorisés comme nous l'avons vu plus haut (ou ajoutez les au groupe "utilisateurs avec pouvoir").

 

Attention, si votre imprimante est partagée au réseau, vous condamnez par la même occasion toute impression depuis un autre poste car les utilisateurs provenant du réseau sont considérés comme "extérieurs" (donc dans le groupe tout le monde).