Comprendre les niveaux d'accès: Partager vs NTFS, et comment définir un accès individuel – Bien choisir son serveur d impression

La plupart d'entre nous ont entendu parler de «partage excessif» au sens social (c'est-à-dire de donner trop de détails sur votre vie personnelle), mais qu'en est-il du «partage partiel» dans le domaine Windows Server? Qu'est ce que ça veut dire? Eh bien, je viens de l'inventer, mais cela a du sens lorsque vous y pensez en termes de création d'un partage Windows qui ne fournit pas suffisamment d'autorisations.

Je ne serais pas surpris que certaines personnes soient encore confuses quant à la meilleure façon de gérer les autorisations de partage et NTFS. Microsoft n'a pas rendu la tâche très facile en s'appuyant sur les développeurs de cours et les rédacteurs d'examens pour injecter leurs propres opinions sur la question au lieu de suivre une norme définie. Cependant, nous, les formateurs de Windows Server à l'ancienne, revendiquons notre propre scénario de «meilleures pratiques» depuis un certain temps. Microsoft nous a enfin rattrapés.

Un bref historique des autorisations de partage

Commençons par l'origine des autorisations de partage. Au début de la mise en réseau Windows et de la création de partages, aucune autorisation NTFS n'était disponible. Les systèmes de fichiers étaient FAT16. Étant donné que le système de fichiers n'avait aucune autorisation sous-jacente disponible, la seule façon de sécuriser l'accès au contenu était d'avoir des autorisations sur le point d'entrée du système de fichiers, qui est le partage.

Limitations des autorisations de partage

Malheureusement, la structure des autorisations de partage est entravée par de nombreuses limitations.

  1. 3 niveaux de contrôle: Complet, Modifier, Lire ou tout simplement ne fournir aucun accès au partage pour un quatrième niveau de contrôle implicite.
  2. Manque de contrôle granulaire: une fois les autorisations accordées au partage, ces autorisations s'appliquent aux fichiers, dossiers et sous-dossiers en dessous de ce point. Il n'y a aucun moyen d'être plus granulaire et d'un niveau inférieur sans créer encore un autre partage.

Tous ces problèmes ont été résolus avec l'introduction du système de fichiers NTFS à partir de Windows NT 3.1. Cependant, tout le monde n'a pas adopté NTFS immédiatement et a plutôt opté pour les systèmes de fichiers FAT et HPFS plus rétrocompatibles pendant un certain temps. Au moment où Windows NT 4.0 est apparu, NTFS prenait enfin racine.

Que sont les autorisations NTFS?

Les autorisations NTFS permettent un contrôle granulaire pour Microsoft Windows NT et les fichiers d'exploitation ultérieurs; ils permettent aux utilisateurs d'accéder aux données à plusieurs niveaux. Plus important encore, ils permettent l'accès à des utilisateurs individuels lors de la connexion Windows, indépendamment de leur emplacement ou du réseau qu'ils utilisent.

La solution au compte invité et au compte invité Internet: utilisateurs authentifiés

Un autre problème est celui du compte «Tout le monde». À partir de Windows NT 3.1, jusqu'à Windows NT 4.0, le compte Invité a été automatiquement activé. En tant que membre du groupe Tout le monde, même les invités ont obtenu le même accès que les utilisateurs authentifiés partout où tout le monde se trouve sur une liste de contrôle d'accès. Dans Windows 2000, le compte Invité a été désactivé par défaut, mais le compte Invité Internet est entré en jeu et a été activé dès la sortie sur les serveurs Windows 2000 ET les clients Windows 2000. L'Invité Internet est également membre de Tout le monde.

Pour résoudre ce problème, Microsoft a introduit le groupe Utilisateurs authentifiés pour différencier les utilisateurs invités et non invités. C'est la raison pour laquelle vous trouvez autant de personnes utilisant des autorisations Utilisateurs authentifiés sur le partage au lieu de Tout le monde.

Heureusement, dans les versions modernes de Windows Client and Server (à partir de Windows Server 2008), le compte Invité Internet n'est plus un problème et le compte Invité est toujours désactivé par défaut. Cela signifie que le compte Tout le monde par défaut que nous trouvons sur un partage n'a pas besoin d'être remplacé d'urgence par des utilisateurs authentifiés partout où nous le voyons.

Malheureusement, de nombreuses organisations gèrent toujours leurs Actions comme si c'était 1995 (environ 22 ans au moment de la rédaction). Cela équivaudrait à utiliser un téléphone public à l'ère des téléphones portables universels d'aujourd'hui. Il est donc temps de moderniser cette approche des autorisations de partage tout comme nous avons adopté l'ère de la mobilité permanente.

Comment Share & NTFS peut permettre un accès spécifique à chaque individu

Je peux résumer l'approche en une phrase: Définir tout le monde – Contrôle total sur le partage et se concentrer sur les autorisations granulaires via NTFS. (Voir, c'était facile!)

Mais, attendez… comment se fait-il que tout le monde soit d'accord sur le partage? N'est-ce pas un danger pour la sécurité?

Pas du tout.

Partager en tant qu'accès principal, NTFS en tant qu'accès secondaire

Même si les invités ne sont plus impliqués, il est vrai que tout le monde inclut tous les utilisateurs authentifiés de toute la forêt (tout comme les utilisateurs authentifiés d'ailleurs). Cependant, nous pouvons considérer l'action comme la porte d'un vestibule ou d'un hall. Dans de nombreuses organisations avec une grande installation d'entreprise, vous aurez une porte pour entrer dans le hall. N'importe qui peut entrer par cette porte. Mais, à l'intérieur de cette porte se trouve une personne de sécurité ou un porte-clés / porte-clés / porte-clés que seuls les utilisateurs autorisés peuvent dépasser. Eh bien, cette deuxième couche est exactement comme les autorisations NTFS que nous utilisons dans un système de fichiers.

Imaginez simplement que nous disions que seuls les vendeurs peuvent entrer dans le hall, même si le bâtiment dispose également de bureaux pour les ingénieurs, les informaticiens et les gestionnaires. C’est ce qu’une action fait. Si un partage est plus restrictif que les autorisations NTFS, même si les dossiers et fichiers de niveau inférieur autorisent l'accès, le partage aura priorité. Donc, dans le scénario de bureau, votre carte-clé vous laisserait entrer si vous faites partie des ventes, mais vous ne pouvez pas entrer dans le hall en tant que non-vendeur même si la sécurité intérieure vous laisse passer.

Le problème avec l'ajout de plusieurs listes de contrôle d'accès au partage

Au fil des ans, pour remédier à ces lacunes de partage, Microsoft a appris aux gens à ajouter plusieurs ACL au partage, reflétant ce qui est défini sur les dossiers NTFS. Cela peut créer un assortiment d'autorisations complexe et déroutant. L'algorithme de calcul de ces interactions d'autorisation est le suivant: totaliser les autorisations cumulatives du côté NTFS, puis totaliser les autorisations cumulatives du côté Partager. Le plus restrictif des deux devient l'autorisation effective.

Prenez le scénario suivant, par exemple.

Il existe un dossier appelé E: SalesData sur un serveur partagé en tant que SalesData. Joe est membre des ventes et de la gestion. Dans le dossier NTFS, Joe a lu en tant qu'utilisateur, Modify from Sales et Full Control from Management. Sur le partage, la seule entrée est Ventes avec lecture. Lorsque Joe tente d'accéder au dossier, il ne peut lire que les données car les autorisations de partage sont plus restrictives. (Maintenant, vous voyez d'où je tire le concept de «sous-partage»!)

Désormais, la meilleure pratique suggérée par Microsoft consiste à laisser le partage à Tout le monde – Contrôle total et à définir avec diligence vos autorisations sur le dossier NTFS. (Il est temps que je prêche cela depuis plus de 20 ans!) Donc, dans notre scénario précédent, si nous modifions les autorisations de partage à Tout le monde – Contrôle total, Joe aura désormais le contrôle total du dossier comme il le devrait depuis qu'il a est un manager. Cependant, si Jane accède au dossier et n'est membre que de Sales, elle n'obtiendra que les autorisations de lecture car ses autorisations NTFS sont calculées en lecture et sont plus restrictives que Tout le monde – Contrôle total à partir du partage. Si Bob arrive et n'est membre d'aucun groupe, il n'obtient rien. Nada. Rien. Très simple, très facile à gérer et très sécurisé si vous faites vos devoirs sur les autorisations NTFS.

Accorder un contrôle total sur le partage donne-t-il également l'autorisation de gérer le partage?

La réponse est non. Donner à quelqu'un un contrôle total sur le partage ne lui donne PAS l'autorisation de gérer ou de faire quoi que ce soit SUR le partage. Vous ne pouvez contrôler un partage que si vous êtes administrateur ou opérateur de serveur sur le serveur où le partage existe.

Donc, l'essentiel est, allez-y et surpartagez vos autorisations de partage. C'est bon. Personne ne pensera pire à vous pour cela. En fait, cela peut vous simplifier la vie en tant qu'administrateur au point où vous avez réellement le temps de faire une partie de cette surpartage sur vos médias sociaux pour un changement!

Cours connexes

Mise à niveau de vos compétences vers Windows Server 2016 MCSA (M20743)
Sécurisation de Windows Server 2016 (M20744)
Installation, stockage et calcul avec Windows Server 2016 (M20740)

Comprendre les niveaux d'accès: Partager vs NTFS, et comment définir un accès individuel – Bien choisir son serveur d impression
4.9 (98%) 32 votes