Professional Documents
Culture Documents
- Désactiver l'héritage :
Accédez à l'onglet Sécurité du dossier Test2, puis cliquez sur le bouton Paramètres avancés.
Décochez simplement la case Hérite de l'objet parent les entrées d'autorisation qui s'appliquent aux
objets enfants.
Vous pouvez copier le jeu des permissions ou supprimer le masque des permissions. Cliquez sur le
bouton Supprimer, puis sur Appliquer et sur Oui. Fermez cette fenêtre en validant par OK.
Le bouton Supprimer vous permet de repartir de zéro
Vous pouvez toujours accéder au dossier Test1, mais plus au dossier Test2. Cependant, il vous est
toujours possible d'accéder aux propriétés du dossier Test2. Il n'y a aucun masque de permissions
NTFS qui est défini.
- Changer de propriétaire :
Vous pouvez changer de nom de propriétaire de la même façon. Cliquez sur le bouton Paramètres
avancés, puis sur l'onglet Propriétaire. Cochez la case Remplacer le propriétaire des sous-conteneurs
et des objets.
Les autorisations spéciales
Les autorisations fonctionnent selon un schéma de dépendances allant des autorisations génériques
vers les autorisations spéciales :
- Contrôle total : Modification - Lecture et exécution - Affichage du contenu du dossier - Lecture -
Écriture.
- Modification : Lecture et exécution - Affichage du contenu du dossier - Lecture - Écriture.
- Lecture et exécution : Affichage du contenu du dossier - Lecture.
- Affichage du contenu du dossier : Parcours du dossier/exécuter le fichier - Liste du dossier/lecture de
données - Attributs de lecture - Lecture des attributs étendus - Autorisations de lecture.
- Lecture : Liste du dossier/lecture de données - Attributs de lecture - Lecture des attributs étendus -
Autorisations de lecture.
- Écriture : Création de fichier/écriture de données - Création de dossier/ajout de données - Attributs
d'écriture - Écriture d'attributs étendus.
Nous avons encore trois autorisations spéciales qui sont induites par l'autorisation générique Contrôle
total :
* Suppression de sous-dossier et fichier
* Suppression
* Synchronisation
Il reste deux autorisations qui sont appliqués par défaut à tout propriétaire d'un objet :
* Modification des autorisations
* Appropriation
En d'autre termes, quelque soit le masque des permissions défini il vous sera toujours possible de
vous approprier un objet de l'Explorateur ou de modifier le jeu des autorisations. Cela fonctionne donc
comme une sorte de garde-fou.
Certaines autorisations spéciales qui ont un double intitulé s'appliquent en fonction de leur contexte
aux dossiers ou aux fichiers.
Par ailleurs, signalons que le groupe Tout le monde n'inclut pas l'autorisation Ouverture de session
anonyme dans Windows XP à moins d'activer la stratégie correspondante : Configuration
ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité :
Accès réseau : les autorisations Tout le monde s'appliquent aux utilisateurs anonymes.
Afin que ce soit plus clair nous allons prendre un exemple :
1) Créez à la racine de votre disque dur un dossier nommé test1
2) Dans test1 créez un sous-dossier nommé test2
3) Dans test1 copiez un fichier exécutable et créez un nouveau document Texte nommé test.txt.
Concernant le fichier exécutable, vous n'avez qu'à copier ce fichier : notepad.exe.
4) Avec le bouton droit de la souris cliquez sur le dossier test1 puis sur Propriétés.
5) Cliquez sur l'onglet Sécurité puis le bouton Paramètres avancés...
6) Décochez la case Hérite de l'objet parent les entrées d'autorisation qui s'appliquent aux objets
enfants...
7) Cliquez sur le bouton Supprimer, OK et Oui.
8) Cliquez sur les boutons Ajouter.../Avancé... et Rechercher.
9) Dans la colonne Nom (RDN) sélectionnez votre nom d'utilisateur puis cliquez deux fois sur OK.
Une autorisation ne se comprend que mise en perspective avec celles qui font partie de sa "famille".
- Affichage du dossier :
-Cochez l'autorisation générique Affichage du dossier puis décochez une à une les stratégies
suivantes :
- Parcours du dossier/exécuter le fichier :
Cette permission possède un lien avec cette stratégie de groupe : Configuration
ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Attribution des droits des
utilisateurs : Outrepasser le contrôle de défilement. Par défaut, il est possible d'outrepasser le contrôle
de défilement pour ces groupes d'utilisateurs :
Administrateurs
Opérateurs de sauvegarde
Tout le monde
Utilisateurs
Utilisateurs avec pouvoir
Cela veut donc dire que même si cette autorisation n'est pas cochée, un utilisateur appartenant à un
des groupes listés ci-dessus pourra traverser un dossier alors même qu'il ne possède pas de droits
sur ce dossier.
* Dossiers : définit si un utilisateur peut "traverser" un dossier sans posséder d'autorisations sur cet
objet.
* Fichiers : définit si l'exécution d'un fichier programme est autorisée ou non.
Cliquez sur Démarrer/Exécuter puis saisissez : c:\test1\notepad.exe. Le Bloc-notes Windows s'ouvrira
normalement. Nous pouvons faire le même constat concernant ces commandes : c:\test1\test.txt.
- Liste du dossier/lecture des données :
* Liste du dossier : définit si l'affichage des noms des fichiers est autorisé ou non.
Si cette autorisation est décochée il sera impossible d'accéder au contenu du dossier test1 mais le
dossier test2 sera lui visible.
* Lecture des données : définit si l'affichage du contenu des fichiers est autorisée ou non.
1) Désactivez le mécanisme d'héritage pour le fichier test.txt en supprimant les permissions NTFS
existantes.
2) Ajoutez votre nom d'utilisateur en ne désactivant que les permissions Contrôle total et Liste du
dossier/lecture des données.
3) Ouvrez ce fichier.
Son contenu ne sera pas visible.
- Attributs de lecture :
Cette permission permet de définir si l'affichage des attributs des fichiers est autorisée ou non.
Cette manipulation appliquée au fichier test.txt fera que l'onglet Résumé ne sera pas visible.
- Attributs de lecture étendus :
Cette permission permet de définir si l'affichage des attributs étendus d'un fichier est autorisé ou non.
Apparemment dans ce cas, cette autorisation fait double emploi avec la précédente.
- Autorisations de lecture :
Cette permission permet de définir si la lecture des autorisations d'un fichier ou d'un dossier est
autorisée ou non. Par défaut, puisque vous êtes le propriétaire de l'objet vous avez accès au jeu des
permissions même si celle-ci est décochée.
- Lecture :
C'est vraiment la même chose que précédemment puisque par défaut vous pouvez traverser un
dossier en outrepassant le contrôle de défilement.
- Écriture :
Cochez l'autorisation générique Écriture (mais aussi éventuellement "Lecture" !) puis décochez une à
une les stratégies suivantes :
- Création de fichier/écriture de données :
* Création de fichier : définit si la création des fichiers est autorisée ou non.
* Écriture de données : définit si la modification des fichiers est autorisée ou non.
Si vous essayez de créer un nouveau fichier vous obtiendrez ce message d'erreur : "Accès refusé".
Si vous essayez de modifier le fichier test.txt vous obtiendrez ce message d'erreur : "Impossible de
créer le fichier Nom_Fichier - Vérifiez que le nom et le chemin d'accès sont corrects".
- Création de dossier/ajout de données :
* Création de dossier : définit si la création d'un sous-dossier est autorisée ou non.
Il sera impossible de créer un sous-dossier.
* Ajout de données : définit si l'ajout de données en fin d'un fichier est autorisée ou non.
Dans les faits, cette permission semble strictement identique à "Création de fichier/écriture de
données".
- Attributs d'écriture :
Cette permission permet de définir si la modification des attributs de fichier est autorisée ou non.
Si vous tentez de modifier l'attribut Lecture seule ou Fichier caché vous obtiendrez ce message
d'erreur : "Une erreur s'est produite en appliquant des attributs au fichier..."
- Écriture d'attributs étendus :
Cette permission permet de définir si la modification des attributs étendus d'un fichier ou d'un dossier
est autorisée ou non.
Si vous tentez d'enregistrer des informations dans les zones de texte accessibles en cliquant sur
l'onglet Résumé vous obtiendrez ce message d'erreur : "Les modifications apportées aux propriétés
de résumé n'ont pas pu être enregistrées; l'accès a été refusé".