Android. Système opérateur. Multimédia. Réseaux sociaux. Instruments. Codecs. Arts graphiques
Êtes-vous ici: » »

Comment autoriser l'écriture de fichiers dans un dossier. Définition des droits pour les fichiers et dossiers

Les informations sont tirées du treizième chapitre du livre "Windows 2000. Guide de l'administrateur". Écrit par William R. Stanek.

Sur les volumes NTFS, vous pouvez définir des autorisations de sécurité pour les fichiers et les dossiers. Ces autorisations accordent ou refusent l'accès aux fichiers et aux dossiers. Pour afficher les autorisations de sécurité actuelles, procédez comme suit:

Comprendre les autorisations de fichier et de dossier

Le tableau 13-3 présente les autorisations de base qui s'appliquent aux fichiers et aux dossiers.
Les autorisations d'accès aux fichiers de base sont: Contrôle total, Modification, Lecture et exécution, Lecture et écriture.
Pour les dossiers, les autorisations de base suivantes s'appliquent: contrôle total, modification, lecture et exécution, liste du contenu du dossier, lecture et écriture.

Gardez toujours à l'esprit les points suivants lors de la définition des autorisations de fichiers et de dossiers:

Pour exécuter des scripts, vous devez uniquement disposer de l'autorisation de lecture. L'autorisation d'exécution de fichier (autorisation spéciale d'exécution de fichier) est facultative.
Vous avez besoin d'une autorisation de lecture pour accéder au raccourci et à l'objet associé.
L'autorisation d'écriture dans un fichier (autorisation spéciale d'écriture de données) sans l'autorisation de suppression de fichier (autorisation de suppression spéciale) permet toujours à l'utilisateur de supprimer le contenu du fichier.
Si un utilisateur dispose d'une autorisation de contrôle total de base sur un dossier, il peut supprimer tous les fichiers de ce dossier, quelles que soient les autorisations sur ces fichiers.

Tableau 13-3 - Autorisations de base sur les fichiers et les dossiers sous Windows 2000

Résolution de base Valeur pour les dossiers Valeur pour les fichiers
Lis Permet de parcourir les dossiers et d'afficher une liste de fichiers et de sous-dossiers Permet la visualisation et l'accès au contenu du fichier
Écrire Permet d'ajouter des fichiers et des sous-dossiers Permet d'écrire des données dans un fichier
Permet de parcourir les dossiers et d'afficher une liste de fichiers et de sous-dossiers; hérité par les fichiers et les dossiers Permet de visualiser et d'accéder au contenu du fichier, ainsi que de lancer le fichier exécutable
Permet de parcourir les dossiers et d'afficher une liste de fichiers et de sous-dossiers; hérité uniquement des dossiers N'est pas applicable
Modifier Permet de visualiser le contenu et de créer des fichiers et des sous-dossiers; permet la suppression du dossier Permet de lire et d'écrire des données dans un fichier; permet la suppression de fichiers
Controle total Permet la visualisation du contenu, ainsi que la création, la modification et la suppression de fichiers et de sous-dossiers Permet la lecture et l'écriture de données, ainsi que la modification et la suppression d'un fichier

Les autorisations de base sont créées par des autorisations spécifiques au regroupement logique, qui sont présentées dans les tableaux 13-4 (pour les fichiers) et 13-5 (pour les dossiers). Des autorisations spéciales peuvent être attribuées individuellement à l'aide des paramètres avancés. Lors de l'examen des autorisations de fichiers spécifiques, tenez compte des éléments suivants:
Si les droits d'accès ne sont pas explicitement définis pour un groupe ou un utilisateur, l'accès au fichier leur est refusé.
Lors du calcul des autorisations effectives d'un utilisateur, toutes les autorisations attribuées à l'utilisateur et aux groupes dont il est membre sont prises en compte. Par exemple, si l'utilisateur GeorgeJ a un accès en lecture, et en même temps est membre du groupe Techies, qui a un accès Modifier, alors, en conséquence, GeorgeJ a un accès Modifier. Si le groupe Techniciens est inclus dans le groupe Administrateurs avec contrôle total, GeorgeJ aura un contrôle total sur le fichier.

Tableau 13-4 - Autorisations de fichiers spécifiques

Autorisations spéciales Controle total Modifier Lire et exécuter Lis Écrire
Exécuter le fichier X X X
Lire les données X X X X
X X X X
X X X X
Écrire des données X X X
Ajouter des données X X X
X X X
X X X
Supprimer X X
X X X X X
X
X

Le tableau 13-5 montre les autorisations spécifiques utilisées pour créer des autorisations de dossier de base. Tenez compte des éléments suivants lorsque vous explorez les autorisations de dossier spécial:

Lorsque vous définissez des autorisations sur un dossier parent, vous pouvez faire correspondre les éléments d'autorisation des fichiers et des sous-dossiers aux autorisations du dossier parent actuel. Pour ce faire, cochez la case Réinitialiser les autorisations sur tous les objets enfants et activer la propagation des autorisations héritables.
Les fichiers créés héritent de certaines des autorisations du parent. Ces autorisations sont affichées comme autorisations de fichier par défaut.

Tableau 13-5 - Autorisations spéciales pour les dossiers

Autorisations spéciales Controle total Modifier Lire et exécuter Liste du contenu du dossier Lis Écrire
Dossier Traverse X X X X
Contenu du dossier (dossier de liste) X X X X X
Lire les attributs X X X X X
Lecture des attributs étendus X X X X X
Créer des fichiers X X X
Créer des dossiers X X X
Écrire des attributs X X X
Écrire des attributs étendus X X X
Supprimer les sous-dossiers et les fichiers X
Supprimer X X
Lire les autorisations X X X X X X
Modifier les autorisations X
Prendre possession X

Définition des autorisations de fichier et de dossier

Pour définir les autorisations pour les fichiers et les dossiers, procédez comme suit:

1. Sélectionnez un fichier ou un dossier et faites un clic droit.
2. Dans le menu contextuel, sélectionnez la commande Propriétés et dans la boîte de dialogue allez dans l'onglet Sécuritéillustré à la Figure 13-12.


Figure 13-12 - Configuration des autorisations de base pour les fichiers ou dossiers dans l'onglet Sécurité
3. Dans la liste Nom répertorie les utilisateurs ou groupes qui ont accès au fichier ou au dossier. Pour modifier les autorisations de ces utilisateurs ou groupes, procédez comme suit:

Mettez en surbrillance l'utilisateur ou le groupe pour lequel vous souhaitez modifier les autorisations.

Utilisez une liste Autorisations: (autorisations) pour définir ou révoquer des autorisations.

Conseil. Les cases d'autorisation héritées sont grisées. Pour révoquer une autorisation héritée, annulez-la.
4. Pour définir des autorisations sur des utilisateurs, des contacts, des ordinateurs ou des groupes qui ne sont pas répertoriés Nom, appuie sur le bouton Ajouter (Ajouter)... La boîte de dialogue illustrée à la Figure 13-13 apparaîtra.


Figure 13-13 - Sélectionnez les utilisateurs, les ordinateurs et les groupes pour lesquels vous devez autoriser ou refuser l'accès.
5. Utiliser une boîte de dialogue Choix: utilisateur, ordinateur ou groupe (sélectionnez utilisateurs, ordinateurs ou groupes) pour sélectionner les utilisateurs, ordinateurs ou groupes pour lesquels vous souhaitez définir des autorisations d'accès. Cette fenêtre contient les champs décrits ci-dessous:

Rechercher dans (Regarder dans) Cette liste déroulante vous permet d'afficher les comptes disponibles d'autres domaines. Cela inclut une liste du domaine actuel, des domaines approuvés et d'autres ressources disponibles. Pour voir tous les comptes d'un dossier, sélectionnez Répertoire entier.

Nom Cette colonne affiche les comptes existants du domaine ou de la ressource sélectionné.

Ajouter (Ajouter) Ce bouton ajoute les noms en surbrillance à la liste des noms sélectionnés.

Vérifier les noms Ce bouton vous permet de vérifier les noms d'utilisateurs, d'ordinateurs ou de groupes dans la liste des noms sélectionnés. Cela peut être utile lorsque les noms sont saisis manuellement et que vous devez vous assurer qu'ils sont corrects.

6. Dans la liste Nom mettez en surbrillance un utilisateur, un contact, un ordinateur ou un groupe à configurer, puis cochez ou décochez les cases dans le Autorisations: (autorisations) pour déterminer les droits d'accès. Répétez les mêmes étapes pour les autres utilisateurs, ordinateurs ou groupes.
7. Lorsque vous avez terminé, cliquez sur D'ACCORD.

Audit des ressources système

L'audit est le meilleur moyen de suivre les événements sur les systèmes Windows 2000. L'audit peut être utilisé pour collecter des informations relatives à l'utilisation d'une ressource. Les exemples d'événements pour l'audit incluent l'accès aux fichiers, les ouvertures de session et les changements de configuration système. Après avoir activé l'audit d'un objet, les entrées sont écrites dans le journal de sécurité du système chaque fois qu'une tentative est effectuée pour accéder à cet objet. Le journal de sécurité peut être consulté à partir du composant logiciel enfichable Observateur d'événements.

Remarque. Pour modifier la plupart des paramètres d'audit, vous devez être connecté avec le compte Administrateur ou un membre du groupe Administrateurs, ou Gérer le journal d'audit et de sécurité dans la stratégie de groupe.

Définition des politiques d'audit

L'application de politiques d'audit améliore considérablement la sécurité et l'intégrité des systèmes. Presque tous les systèmes informatiques du réseau doivent être configurés avec des journaux de sécurité. La configuration des stratégies d'audit est disponible dans le composant logiciel enfichable Stratégie de groupe... À l'aide de ce composant, vous pouvez définir des stratégies d'audit pour l'ensemble d'un site, d'un domaine ou d'une unité organisationnelle. Des politiques peuvent également être définies pour les postes de travail personnels ou les serveurs.

Après avoir sélectionné le conteneur de stratégie de groupe souhaité, vous pouvez configurer les stratégies d'audit comme suit:

1. Comme le montre la Figure 13-14, vous pouvez trouver le nœud en descendant l'arborescence de la console: La configuration d'un ordinateur, Paramètres Windows, Les paramètres de sécurité, Politiques locales, Politique d'audit.


Figure 13-14 - Configuration de la stratégie d'audit à l'aide du nœud Stratégie d'audit dans la stratégie de groupe.
2. Il existe les catégories d'audit suivantes:

Auditer les événements de connexion au compte surveille les événements liés à la connexion et à la déconnexion des utilisateurs.

Gestion des comptes d'audit surveille tous les événements liés à la gestion des comptes, aux outils de composant logiciel enfichable. Les enregistrements d'audit apparaissent lorsque vous créez, modifiez ou supprimez des comptes d'utilisateurs, d'ordinateurs ou de groupes.

Surveille les événements d'accès à Active Directory. Les enregistrements d'audit sont générés chaque fois que des utilisateurs ou des ordinateurs accèdent à l'annuaire.

Suit les événements de connexion ou de déconnexion et les connexions réseau à distance.

Surveille l'utilisation des ressources système par les fichiers, répertoires, partages et objets Active Directory.

Changement de politique d'audit surveille les modifications des stratégies d'attribution des droits utilisateur, des stratégies d'audit ou des stratégies d'approbation.

Suit chaque tentative d'un utilisateur d'utiliser un droit ou un privilège qui lui est accordé. Par exemple, les droits d'archiver des fichiers et des répertoires.

Remarque. Politique Utilisation des privilèges d'audit ne suit pas les événements liés à l'accès au système, tels que l'utilisation du droit de se connecter de manière interactive ou d'accéder à un ordinateur à partir du réseau. Ces événements sont surveillés par une politique Evénements de connexion d'audit.

Suivi du processus d'audit surveille les processus du système et les ressources qu'ils utilisent.

Événements du système d'audit surveille les événements de démarrage, de redémarrage ou d'arrêt de l'ordinateur, ainsi que les événements affectant la sécurité du système ou reflétés dans le journal de sécurité.

3. Pour configurer une stratégie d'audit, double-cliquez sur la stratégie requise ou sélectionnez la commande dans le menu contextuel de la stratégie sélectionnée Propriétés... Cela ouvrira une boîte de dialogue Paramètre de stratégie de sécurité locale (propriétés).
4. Cochez la case Définir ces paramètres de stratégie... Puis cochez ou décochez les cases Succès et Échec... L'audit de réussite signifie la création d'un enregistrement d'audit pour chaque événement réussi (par exemple, une tentative de connexion réussie). L'audit des échecs signifie la création d'un enregistrement d'audit pour chaque événement infructueux (comme une tentative de connexion échouée).
5. Lorsque vous avez terminé, cliquez sur D'accord.

Audit des opérations avec fichiers et dossiers

Si la politique est impliquée Audit de l'accès aux objets, vous pouvez utiliser l'audit au niveau des dossiers et fichiers individuels. Cela permettra de suivre avec précision leur utilisation. Cette fonctionnalité est disponible uniquement sur les volumes avec le système de fichiers NTFS.

Pour configurer l'audit des fichiers et des dossiers, procédez comme suit:

1. DANS Windows Explorer sélectionnez le fichier ou le dossier pour lequel vous souhaitez configurer l'audit. Dans le menu contextuel, sélectionnez la commande Propriétés.
2. Aller à l'onglet Sécuritépuis cliquez sur Avancée.
3. Dans la boîte de dialogue, allez dans l'onglet Auditillustré à la Figure 13-15.


Figure 13-15 - Configuration des stratégies d'audit pour des fichiers ou des dossiers individuels dans l'onglet Audit.
4. Pour que les paramètres d'audit soient hérités de l'objet parent, la case à cocher Autoriser les entrées d'audit héréditaires du parent à se propager vers cet objet doit être cochée.
5. Pour que les objets enfants héritent des paramètres d'audit de l'objet actuel, cochez la case Réinitialiser les éléments d'audit pour tous les objets enfants et activer la migration des éléments d'audit hérités (Réinitialiser les entrées d'audit sur tous les objets enfants et activer la propagation des entrées d'audit héritables).
6. Utilisez une liste Retirer.
7. Ajouter (Ajouter) pour qu'une boîte de dialogue apparaisse D'accord, une boîte de dialogue apparaît Élément d'audit pour Nom du dossier ou du fichier illustré à la Figure 13-16.

Remarque. Si vous souhaitez suivre les actions de tous les utilisateurs, utilisez le groupe spécial Toutes les personnes... Dans d'autres cas, sélectionnez des utilisateurs individuels ou des groupes dans n'importe quelle combinaison pour l'audit.


Figure 13-16 - Boîte de dialogue Élément d'audit pour Nom du dossier ou du fichier (Entrée d'audit pour un nouveau dossier), utilisé pour définir des éléments d'audit sur un utilisateur, un contact, un ordinateur ou un groupe.
8. Appliquer sur.
9. Vérifie les boites Réussi et / ou Échoué pour les événements d'audit requis. L'audit de réussite signifie la création d'un enregistrement d'audit pour un événement réussi (comme une lecture de fichier réussie). L'audit des échecs signifie la création d'un enregistrement d'audit pour un événement ayant échoué (par exemple, une tentative infructueuse de suppression d'un fichier). Les événements à auditer sont les mêmes que les autorisations spéciales (tableaux 13-4 et 13-5), à l'exception de la synchronisation des fichiers et dossiers hors ligne, qui ne peut pas être audité.
10. Lorsque vous avez terminé, cliquez sur D'accord... Répétez ces étapes pour configurer l'audit pour d'autres utilisateurs, groupes ou ordinateurs.

Audit des objets Active Directory Directory

Si la politique est impliquée Audit de l'accès au service d'annuaire, vous pouvez utiliser l'audit au niveau de l'objet Active Directory. Cela permettra de suivre avec précision leur utilisation.

Pour configurer l'audit d'un objet, procédez comme suit:

1. En un clin d'œil Utilisateurs et ordinateurs Active Directory sélectionnez le conteneur d'objets.
2. Faites un clic droit sur l'objet à auditer et sélectionnez la commande Propriétés.
3. Aller à l'onglet Sécurité et appuyez sur le bouton Avancée.
4. Aller à l'onglet Audit boite de dialogue Paramètres de contrôle d'accès... Pour que les paramètres d'audit soient hérités de l'objet parent, la case à cocher Autoriser les entrées d'audit héréditaires du parent à se propager vers cet objet doit être cochée.
5. Utilisez une liste Auditer les entrées pour sélectionner des utilisateurs, des ordinateurs ou des groupes dont les activités seront surveillées. Pour supprimer un compte de cette liste, sélectionnez-le et cliquez sur Retirer.
6. Pour ajouter un compte, cliquez sur le bouton Ajouter (Ajouter)... Une boîte de dialogue apparaîtra Choix: utilisateurs, contacts, ordinateurs ou groupesdans lequel sélectionnez le compte à ajouter. Lorsque vous cliquez D'accord, une boîte de dialogue apparaît Élément d'audit pour Nom du dossier ou du fichier (Entrée d'audit pour un nouveau dossier).
7. Si vous devez affiner les objets pour appliquer les paramètres d'audit, utilisez la liste déroulante Appliquer sur.
8. Vérifie les boites Réussi et / ou Échoué pour les événements d'audit requis. L'audit de réussite signifie la création d'un enregistrement d'audit pour chaque événement réussi (par exemple, une lecture de fichier réussie). L'audit des échecs signifie la création d'un enregistrement d'audit pour chaque événement ayant échoué (par exemple, une tentative infructueuse de suppression d'un fichier).
9. Lorsque vous avez terminé, cliquez sur D'accord... Répétez ces étapes pour configurer l'audit pour d'autres utilisateurs, contacts, groupes ou ordinateurs.


Matériel tiré du livre "Windows 2000. Guide de l'administrateur". Écrit par William R. Stanek. Copyright © 1999 Microsoft Corporation. Tous droits réservés.

Le système de fichiers NTFS vous permet de personnaliser les autorisations d'accès à des dossiers ou fichiers spécifiques pour des utilisateurs individuels. Vous avez le droit de configurer l'accès aux dossiers / fichiers comme vous le souhaitez: pour fermer l'accès à vos fichiers pour certains utilisateurs et ouvrir l'accès à d'autres utilisateurs. Dans ce cas, le premier pourra travailler avec vos documents, tandis que le second verra une fenêtre avec le message " L'acccès au dossier n'a pas été accepté "... Mais la possibilité de personnaliser l'accès aux dossiers / fichiers ne se limite pas au fait que les utilisateurs peuvent ou non accéder à vos documents. Vous pouvez spécifier les autorisations d'accès. Ainsi, certains utilisateurs ne pourront lire que le document, tandis que d'autres pourront le modifier.

Comment ouvrir ou fermer l'accès aux fichiers ou dossiers dans Windows?

Pour configurer les droits d'accès à un fichier / dossier, sélectionnez Propriétés dans le menu contextuel de ce fichier / dossier. Dans la fenêtre qui s'ouvre, allez dans l'onglet sécurité... Ensuite, deux méthodes vous sont proposées pour configurer les droits d'accès.

  1. Appuyez sur le bouton Éditer... Ensuite, nous voyons l'image suivante:
    Dans cette fenêtre, nous pouvons ajouter ou supprimer un utilisateur ou tout un groupe d'utilisateurs pour lesquels nous voulons configurer les droits d'accès à cet objet. À ces fins, vous devez utiliser les boutons Ajouter à et Supprimer... Après avoir sélectionné les utilisateurs pour lesquels vous souhaitez configurer les droits d'accès appropriés, sélectionnez-les un par un et attribuez-leur les droits appropriés sur la base de différents droits. Pour autoriser ou, au contraire, refuser l'accès, vous devez cocher les éléments appropriés. Pour enregistrer les modifications, cliquez sur Appliquer, puis D'accord.
  2. appuie sur le bouton aditionellement... Cette fenêtre fournit des options supplémentaires pour définir les droits d'accès à un objet.

    La fonctionnalité présentée dans le premier paragraphe est contenue dans l'onglet Autorisations... Utilisation des boutons Ajouter à et Supprimer Vous pouvez ajouter des utilisateurs à la liste ou les supprimer en conséquence. Pour définir les autorisations appropriées pour l'utilisateur sélectionné ou, vous devez utiliser le bouton Éditer.

    Dans le menu déroulant, vous pouvez sélectionner le type d'autorisation (autoriser ou refuser), et dans le cas des dossiers, vous pouvez sélectionner la portée de ces règles. Comme vous pouvez le voir, cette fenêtre fournit tout de même pour l'objet. Mais si vous appuyez sur le bouton Affichage des autorisations supplémentairesalors vous obtiendrez le tout.

    La sélection des autorisations appropriées se fait en ajoutant une coche en face de l'élément correspondant.

    Languette Audit vous permet de configurer la documentation des différentes tentatives d'accès à un fichier / dossier. Ainsi, vous pouvez recevoir une notification chaque fois que quelqu'un ouvre avec succès ou échec un dossier / fichier, lorsque quelqu'un change le nom ou le contenu d'un document, etc. Vous pouvez auditer les actions réussies et non réussies. Pour l'audit, vous pouvez également configurer son étendue. Les données documentées peuvent être consultées dans Journal des événements.

    Languette Droits d'accès valides affichera les droits d'accès à cet objet pour l'utilisateur sélectionné.

Autoriser l'accès ou refuser l'accès?

Avant de commencer à ajouter des cases à cocher pour des utilisateurs, vous devez savoir ce qui suit: les droits d'accès doivent être explicitement configurés. Cela signifie qu'une autorisation explicite doit être obtenue pour accéder à l'objet. Mais pour empêcher l'accès à l'objet, il suffit de ne pas attribuer de permissions du tout. Après tout, si vous n'avez pas spécifié explicitement l'autorisation d'accès, l'utilisateur ne pourra pas accéder à cet objet. Par conséquent, une question raisonnable se pose de savoir pourquoi un type de résolution est nécessaire Interdire? Et pour cela, vous devez connaître deux autres règles:

  1. Type de résolution Interdire a priorité sur le type Autoriser.
  2. Le total y pour l'utilisateur est obtenu en additionnant toutes les règles d'accès à l'objet donné.

S'il n'y a pas de questions sur le premier point, le second nécessite une explication. Prenons un exemple: si le dossier papka utilisateur régulier utilisateur a l'autorisation de lecture et d'écriture, et le groupe Utilisateurs avoir une autorisation en lecture seule sur le dossier papka, puis les droits d'accès totaux de l'utilisateur utilisateur autorisera à la fois la lecture et l'écriture relatives à ce dossier, ce qui est contraire à la politique selon laquelle les utilisateurs ne peuvent lire que ce dossier. C'est pourquoi le type d'autorisation est nécessaire Interdire... Si, selon une politique, l'utilisateur doit avoir accès au fichier, sinon non, il est alors nécessaire de refuser explicitement l'accès au fichier, sinon il l'aura, et cela contredit la deuxième politique.

C'est afin de faciliter la sommation de toutes les règles d'accès à un objet, et il y a un onglet Droits d'accès valides.

Utilisateurs, administrateurs, utilisateurs authentifiés, etc.

En plus de tout ce qui précède, vous devez savoir que tous les utilisateurs, quels que soient les droits d'accès configurés, sont inclus dans le groupe par défaut Utilisateurs... Et par défaut, les utilisateurs de ce groupe ont un accès en lecture et en modification à tous les objets (à l'exception de certains objets du système d'exploitation). Et voici les utilisateurs du groupe Administrateurs par défaut, ils ont un accès complet à tous les objets système. Au groupe d'utilisateurs Vérifié Tous les utilisateurs connectés sont inclus. Leurs autorisations d'accès sont à peu près égales à celles des utilisateurs ordinaires.

Sachant cela, vous pouvez vous épargner les tracas de l'octroi d'un accès complet à un utilisateur spécifique avec des droits administratifs ou de la configuration d'un accès en lecture et en écriture pour un utilisateur régulier. Tout cela a déjà été fait.

De plus, ne supprimez pas les groupes ci-dessus des droits d'accès à aucun objet. N'émettez pas non plus de refus d'accès pour ces groupes. Même si vous êtes un utilisateur avec des droits administratifs, l'accès au groupe est refusé Utilisateurs à n'importe quel objet vous frappera sans cérémonie dans le cou, puisque vous êtes également un utilisateur de ce groupe. Par conséquent, veillez à ne pas essayer de modifier les paramètres par défaut.

Cet article poursuit idéologiquement l'article. Comme il y est dit, après avoir sélectionné les utilisateurs et (ou) les groupes, vous devez leur spécifier les paramètres d'accès. Vous pouvez le faire en utilisant les autorisations du système de fichiers NTFS, décrites dans le tableau suivant.

Droits d'accès aux fichiers

  • En train de lire. Le fichier peut être lu, ainsi que la vue de ses paramètres tels que le nom du propriétaire, les autorisations et les propriétés supplémentaires.
  • Enregistrement. Autorisé à écraser le fichier, modifier ses paramètres, afficher le nom de son propriétaire et les autorisations.
  • Lire et faire. Autorisation de lecture et droit d'exécuter l'application exécutable.
  • Changement. Autorisé à modifier et supprimer le fichier, ainsi que tout ce qui est fourni par les autorisations de lecture et d'exécution et d'écriture.
  • Accès total.
  • Accès complet aux fichiers autorisé. Cela signifie que toutes les actions prévues par toutes les autorisations ci-dessus sont autorisées. Vous pouvez également prendre possession du fichier et modifier ses autorisations.

Autorisations de dossier

  • En train de lire. Vous êtes autorisé à afficher les sous-dossiers et les fichiers et leurs propriétés telles que le nom du propriétaire, les autorisations et les attributs en lecture seule tels que Lecture seule, Masqué, Archivé et Système.
  • Enregistrement. Il est permis de créer et de placer de nouveaux fichiers et sous-dossiers dans le dossier, ainsi que de modifier les paramètres du dossier et d'afficher ses propriétés, en particulier le nom du propriétaire et les autorisations d'accès.
  • Liste du contenu du dossier. Vous êtes autorisé à afficher les noms des fichiers et des sous-dossiers contenus dans le dossier.
  • Lire et faire. L'accès aux fichiers des sous-dossiers est autorisé même s'il n'y a pas d'accès au dossier lui-même. En outre, les mêmes actions sont autorisées que pour les autorisations de lecture et de liste de contenu de dossier.
  • Changement. Toutes les actions pour les autorisations de lecture et de lecture et d'exécution sont autorisées et le dossier peut être supprimé.
  • Accès total. L'accès complet au dossier est autorisé. En d'autres termes, toutes les actions prévues par toutes les autorisations répertoriées ci-dessus sont autorisées. En outre, il est autorisé à prendre possession du dossier et à modifier ses autorisations.
  • Autorisations spéciales. Un ensemble d'autorisations supplémentaires qui diffèrent des autorisations standard.

Le créateur du fichier est toujours considéré comme son propriétaire, qui a les droits Accès total, même si le compte propriétaire n'est pas répertorié dans l'onglet Sécurité des fichiers... En plus des autorisations de fichier ci-dessus, vous pouvez sélectionner deux types d'autorisations supplémentaires.

  • Changement de propriétaire... Ce type d'autorisation permet à l'utilisateur de s'approprier le fichier. Ce type d'autorisation est attribué par défaut au groupe Administrateurs.
  • Modifier les autorisations... L'utilisateur a la possibilité de modifier la liste des utilisateurs et des groupes qui ont accès au fichier, ainsi que de modifier les types d'autorisations d'accès au fichier.

Les ordinateurs exécutant les systèmes d'exploitation Windows peuvent fonctionner avec divers systèmes de fichiers tels que FAT32 et NTFS. Sans entrer dans les similitudes, nous pouvons dire une chose qu'ils diffèrent principalement - le système de fichiers NTFS vous permet de configurer les paramètres de sécurité pour chaque fichier ou dossier (répertoire). Ceux. Pour chaque fichier ou dossier, le système de fichiers NTFS stocke des listes de contrôle d'accès (ACL), qui répertorient tous les utilisateurs et groupes disposant de droits d'accès spécifiques à un fichier ou dossier donné. Le système de fichiers FAT32 n'a pas cette capacité.

Dans le système de fichiers NTFS, chaque fichier ou dossier peut avoir les droits de sécurité suivants:

  • En train de lire - Permet de parcourir les dossiers et d'afficher une liste de fichiers et de sous-dossiers, d'afficher et d'accéder au contenu des fichiers;
  • Enregistrement - Permet d'ajouter des fichiers et des sous-dossiers, d'écrire des données dans un fichier;
  • Lecture et exécution - Permet de parcourir les dossiers et de visualiser une liste de fichiers et de sous-dossiers, permet de visualiser et d'accéder au contenu d'un fichier, ainsi que de lancer un fichier exécutable;
  • Liste du contenu du dossier - Permet de parcourir les dossiers et de visualiser uniquement la liste des fichiers et sous-dossiers. Cette autorisation ne donne pas accès au contenu du fichier!;
  • Éditer - Permet de visualiser le contenu et de créer des fichiers et des sous-dossiers, de supprimer un dossier, de lire et d'écrire des données dans un fichier, de supprimer un fichier;
  • Accès total - Permet la visualisation du contenu, ainsi que la création, la modification et la suppression de fichiers et de sous-dossiers, la lecture et l'écriture de données, ainsi que la modification et la suppression d'un fichier

Les droits énumérés ci-dessus sont de base. Les droits fondamentaux sont constitués de droits spéciaux. Les droits spéciaux sont des droits plus détaillés à partir desquels les droits fondamentaux sont formés. L'utilisation de droits spéciaux vous offre une grande flexibilité lors de la configuration des droits d'accès.

Liste des droits d'accès spéciaux aux fichiers et dossiers:

  • Parcourir les dossiers / exécuter des fichiers - Permet de se déplacer dans la structure des dossiers à la recherche d'autres fichiers ou dossiers, d'exécuter des fichiers;
  • Contenu du dossier / lecture des données - Permet de visualiser les noms de fichiers ou de sous-dossiers contenus dans un dossier, la lecture de données à partir d'un fichier;
  • Lecture des attributs - Permet d'afficher les attributs d'un fichier ou d'un dossier comme "Lecture seule" et "Caché";
  • Lire des attributs supplémentaires - Permet de visualiser des attributs supplémentaires d'un fichier ou d'un dossier;
  • Création de fichiers / écriture de données - Permet de créer des fichiers dans un dossier (s'applique uniquement aux dossiers), d'apporter des modifications à un fichier et d'écraser le contenu existant (s'applique uniquement aux fichiers);
  • Créer des dossiers / Ajouter des données - Permet de créer des dossiers dans un dossier (s'applique uniquement aux dossiers), d'ajouter des données à la fin du fichier, mais pas de modifier, supprimer ou remplacer les données existantes (s'applique uniquement aux fichiers);
  • Écriture des attributs - Autorise ou refuse la modification des attributs d'un fichier ou d'un dossier comme «Lecture seule» et «Caché»;
  • Écrire des attributs supplémentaires - Autorise ou refuse le changement d'attributs supplémentaires d'un fichier ou d'un dossier;
  • Suppression de sous-dossiers et de fichiers - Permet de supprimer des sous-dossiers et des fichiers même si vous n'avez pas l'autorisation "Supprimer" (s'applique uniquement aux dossiers);
  • Suppression - Permet de supprimer un fichier ou un dossier. Si le fichier ou le dossier ne dispose pas de l'autorisation Supprimer, vous pouvez toujours supprimer l'objet si vous disposez de l'autorisation Supprimer les sous-dossiers et fichiers sur le dossier parent;
  • Autorisations de lecture - Permet la lecture de ces autorisations d'accès aux fichiers ou aux dossiers comme «Contrôle total», «Lire» et «Écrire»;
  • Modifier les autorisations - Permet de modifier ces autorisations pour accéder à un fichier ou un dossier, comme "Contrôle total", "Lire" et "Écrire";
  • Changement de propriétaire - Permet de prendre possession d'un fichier ou d'un dossier;
  • Synchronisation - Permet à différents flux d'attendre des fichiers ou des dossiers et de les synchroniser avec d'autres flux qui pourraient les occuper. Cette autorisation s'applique uniquement aux programmes exécutés en mode multithread avec plusieurs processus;

!!! Tous les droits fondamentaux et spéciaux sont à la fois permissifs et prohibitifs.

Toutes les autorisations de fichiers et de dossiers sont divisées en deux types: explicites et héritées. Le mécanisme d'héritage implique le transfert automatique de quelque chose du parent à l'enfant. Dans un système de fichiers, cela signifie que tout fichier ou dossier peut hériter de ses droits du dossier parent. Il s'agit d'un mécanisme très pratique qui élimine le besoin d'attribuer des droits explicites à tous les fichiers et dossiers nouvellement créés. Imaginez que vous ayez plusieurs milliers de fichiers et de dossiers sur un disque, comment pouvez-vous leur donner tous les droits d'accès, s'asseoir et attribuer chacun d'eux? Ne pas. Le mécanisme d'héritage fonctionne ici. Nous avons créé un dossier à la racine du disque, le dossier recevait automatiquement exactement les mêmes droits que la racine du disque. Modification des droits du dossier nouvellement créé. Ensuite, un autre sous-dossier a été créé dans le dossier créé. Ce sous-dossier nouvellement créé héritera des autorisations du dossier parent et ainsi de suite. etc.

Le résultat de l'application de droits explicites et hérités sera les droits réels sur un dossier ou un fichier spécifique. Il y a de nombreux pièges. Par exemple, vous avez un dossier dans lequel vous autorisez l'utilisateur "Vasya" à supprimer des fichiers. Ensuite, vous vous souvenez que dans ce dossier, il y a un fichier très important que Vasya ne doit en aucun cas supprimer. Vous définissez une interdiction explicite sur un fichier important (droit d'interdiction spécial "Suppression")... Il semblerait que l'acte soit fait, le fichier est clairement protégé contre la suppression. Et Vasya entre calmement dans le dossier et supprime ce fichier super-protégé. Pourquoi? Parce que Vasya a le droit de supprimer du dossier parent, qui dans ce cas sont prioritaires.

Essayez de ne pas utiliser l'attribution de droits directement aux fichiers, attribuez des droits aux dossiers.

!!! Essayez d'attribuer des droits uniquement aux groupes, cela simplifie grandement l'administration. L'attribution de droits à des utilisateurs spécifiques n'est pas recommandée par Microsoft. N'oubliez pas qu'un groupe peut inclure non seulement des utilisateurs, mais également d'autres groupes.

Par exemple. Si un ordinateur est inclus dans un domaine, le groupe Utilisateurs du domaine (utilisateurs du domaine) est automatiquement ajouté à son groupe Utilisateurs local, et le groupe Administrateurs du domaine (administrateurs de domaine) est automatiquement ajouté au groupe Administrateurs local, et en conséquence, l’affectation à tout droit de dossier à un groupe d'utilisateurs locaux, vous attribuez automatiquement des droits à tous les utilisateurs du domaine.

Ne vous découragez pas si tout ce qui est décrit ci-dessus n'est pas immédiatement clair. Des exemples et un travail indépendant régleront rapidement la situation!

Passons aux détails.

Tous les exemples que je montrerai sur l'exemple des fenêtres Windows XP. Dans Windows 7 et supérieur, l'essence reste la même, mais il y a un peu plus de fenêtres.

Ainsi, pour attribuer ou modifier les droits sur un fichier ou un pack, vous devez cliquer avec le bouton droit sur le fichier ou dossier souhaité dans l'explorateur et sélectionner l'élément de menu "Propriétés"

Vous devez ouvrir une fenêtre avec un signet "Sécurité"

S'il n'y a pas un tel onglet, nous procédons comme suit. Lancez l'Explorateur, puis ouvrez le menu "Un service""Propriétés du dossier…"

Dans la fenêtre qui s'ouvre, allez dans l'onglet "Affichage" et décochez le paramètre Utiliser le partage de fichiers simple (recommandé)

Voilà, maintenant toutes les propriétés du système de fichiers NTFS sont à votre disposition.

Retour au signet "Sécurité".

De nombreuses informations nous sont disponibles dans la fenêtre qui s'ouvre. Ci-dessus est la liste "Groupes et utilisateurs:", qui répertorie tous les utilisateurs et groupes ayant des droits d'accès à ce dossier (flèche 1). La liste inférieure affiche les autorisations pour l'utilisateur / groupe sélectionné (flèche 2). Dans ce cas, il s'agit de l'utilisateur SYSTEM. Dans cette liste d'autorisations, vous pouvez voir les autorisations de base. Veuillez noter que dans la colonne "Autoriser" les coches sont estompées et non modifiables. Cela indique que ces droits sont hérités du dossier parent. Encore une fois, dans ce cas, tous les droits d'utilisateur SYSTEM sur le dossier "Travail" sont complètement hérités du dossier parent, et l'utilisateur SYSTEM a tous les droits ( "Accès total")

En mettant en évidence le groupe ou l'utilisateur souhaité dans la liste, nous pouvons voir les droits de base pour ce groupe ou cet utilisateur. Mettre en évidence l'utilisateur "Utilisateur invité ( [email protected] vous pouvez voir qu'il a tous les droits explicites

Et voici le groupe "Utilisateurs (KAV-VM1 \\ Utilisateurs" a des droits combinés, certains d'entre eux sont hérités du dossier parent (carrés gris opposés Lire et exécuter, "Liste du contenu du dossier", "En train de lire"), et la partie est clairement établie - c'est le bon "Changement" et "Record"

!!!Attention. Faites attention aux noms des utilisateurs et des groupes. Le groupe ou l'affiliation utilisateur est indiqué entre parenthèses. Les groupes et les utilisateurs peuvent être locaux, c'est-à-dire créé directement sur cet ordinateur, ou peut être un domaine. Dans ce cas, le groupe "Administrateurs" local, car l'entrée entre parenthèses indique le nom de l'ordinateur KAV-VM1 et la barre oblique est suivie du nom du groupe lui-même. Au contraire, l'utilisateur "Utilisateur invité" est un utilisateur du domaine btw.by, comme indiqué par l'enregistrement du nom complet [email protected]

Souvent, lors de l'affichage ou de la modification des droits, vous pouvez vous limiter à une fenêtre avec des droits de base, mais parfois cela ne suffit pas. Ensuite, vous pouvez ouvrir une fenêtre dans laquelle vous modifiez les autorisations spéciales, le propriétaire ou affichez les autorisations effectives. Comment faire? Cliquez sur le bouton "Aditionellement"... Cette fenêtre s'ouvre

Dans cette fenêtre du tableau Éléments d'autorisation tous les utilisateurs ayant des droits sur ce dossier sont répertoriés. De la même manière que pour les autorisations de base, nous sélectionnons l'utilisateur ou le groupe souhaité et cliquons sur le bouton "Changement"... Ouvre une fenêtre affichant toutes les autorisations spéciales pour l'utilisateur ou le groupe sélectionné

À l'instar des autorisations de base, les autorisations spéciales héritées du dossier parent seront affichées dans une couleur gris pâle et ne seront pas modifiables

Comme vous l'avez peut-être remarqué, il existe plusieurs lignes dans la fenêtre des autorisations spéciales pour certains utilisateurs ou groupes.


En effet, il peut y avoir différents types de droits pour un utilisateur ou un groupe: explicites et hérités, autorisant ou refusant, différant par le type d'héritage. Dans ce cas, les droits de lecture du groupe Utilisateurs sont hérités du dossier parent et les droits de modification sont explicitement ajoutés.

Exemples d'attribution de droits.

!!! Tous les exemples viendront avec une complexité croissante. Lisez-les et traitez-les dans le même ordre que dans le texte. Je vais omettre les actions du même type dans les exemples suivants pour réduire la quantité de texte. 🙂

Exemple 1. Octroi d'un accès en lecture seule à un dossier à un groupe de sécurité local spécifique.

Tout d'abord, nous allons créer un groupe local dans lequel nous inclurons la liste complète des utilisateurs dont nous avons besoin. C'est possible sans groupe, mais pour chaque utilisateur, vous devrez configurer les droits séparément, et chaque fois que vous devez donner des droits à une nouvelle personne, vous devrez refaire toutes les opérations. Et si vous accordez les droits à un groupe local, une seule action est nécessaire pour configurer une nouvelle personne, y compris cette personne dans le groupe local. La création d'un groupe de sécurité local est lue dans l'article «Configuration des groupes de sécurité locaux».

Alors. Nous avons créé un groupe de sécurité local nommé Read Colleagues


auquel tous les utilisateurs nécessaires ont été ajoutés.

Maintenant, je configure les droits d'accès au dossier. Dans cet exemple, je vais rendre les droits d'accès au groupe créé "Aux collègues pour lecture" par dossier "Photo".

Faites un clic droit sur le dossier "PHOTO" et sélectionnez l'élément de menu "Propriétés", aller au signet "Sécurité".

Dans l'onglet ouvert "Sécurité" les droits du dossier en cours sont affichés "PHOTO"... Après avoir sélectionné les groupes et les utilisateurs dans la liste, vous pouvez voir que les droits de ce dossier sont hérités du dossier parent (coches grises dans la colonne "Autoriser"). Dans cette situation, je ne veux pas que quiconque autre que le groupe nouvellement créé ait au moins un accès au dossier "PHOTO".

Par conséquent, je dois supprimer l'héritage des droits et supprimer les utilisateurs et groupes inutiles de la liste. J'appuie sur le bouton "Aditionellement"... Dans la fenêtre qui s'ouvre,


Je décoche la case "Hériter des autorisations d'objet parent applicables aux objets enfants, en les ajoutant à celles définies explicitement dans cette fenêtre." ... Cela ouvrira une fenêtre dans laquelle je pourrai choisir quoi faire avec les droits hérités actuels.

Dans la plupart des cas, je vous conseille de cliquer sur le bouton ici "Copie"parce que si tu choisis "Supprimer", alors la liste des droits devient vide et vous pouvez en fait vous retirer les droits. Oui, ne soyez pas surpris, c'est très facile à faire. Et si vous n'êtes pas administrateur de votre ordinateur, ni utilisateur d'un groupe Opérateurs d'archives, il vous sera alors impossible de restaurer les droits. La situation est comme une porte avec un verrou automatique que vous fermez tout en laissant les clés à l'intérieur. Par conséquent, il est préférable de toujours appuyer sur le bouton. "Copie", puis supprimez les fichiers inutiles.

Après avoir appuyé sur "Copie", Je reviens à nouveau à la fenêtre précédente, uniquement avec la case décochée.

j'appuie "D'ACCORD" et revenez à la fenêtre des droits de base. Tous les droits sont devenus disponibles pour l'édition. Je dois laisser les droits au groupe local "Administrateurs" et utilisateur SYSTÈMEet supprimez le reste. Je sélectionne les utilisateurs et groupes inutiles un par un et clique sur le bouton "Supprimer".

En conséquence, j'obtiens cette image.

Maintenant je dois juste ajouter le groupe "Aux collègues pour lecture" et attribuez des droits de lecture à ce groupe.

J'appuie sur le bouton Ajouter, et dans la fenêtre de sélection standard, je sélectionne le groupe local "Aux collègues pour lecture"... L'utilisation de la fenêtre de sélection est décrite en détail dans l'article.

À la suite de toutes les actions, j'ai ajouté le groupe "Pour les collègues à lire" à la liste des droits de base, et ce groupe s'est vu attribuer automatiquement les droits Lire et exécuter, "Liste du contenu du dossier", "En train de lire".

Tout, il reste à appuyer sur le bouton "D'ACCORD" et les droits sont attribués. Désormais, tout utilisateur appartenant au groupe de sécurité local "Aux collègues pour lecture", pourra lire l'intégralité du contenu du dossier "PHOTO".

Exemple 2. Octroi d'un accès personnel aux utilisateurs à leurs sous-dossiers dans un dossier.

Cette situation est également courante dans la pratique. Par exemple, vous disposez d'un dossier pour les nouveaux documents numérisés. Un sous-dossier distinct est créé pour chaque utilisateur de ce dossier. Après la numérisation, le document est extrait par l'utilisateur de son sous-dossier. La tâche consiste à attribuer des droits afin que chaque utilisateur puisse voir uniquement le contenu de son sous-dossier et ne puisse pas accéder au sous-dossier du collègue.

Pour cet exemple, je reformulerai un peu l'affectation. Disons que nous avons un dossier partagé "PHOTO", qui a un sous-dossier pour chaque utilisateur. Il est nécessaire de configurer les droits pour que l'utilisateur ait tous les droits dans son sous-dossier, et les sous-dossiers des autres utilisateurs lui seraient inaccessibles.

Pour cette configuration, je répète complètement toutes les étapes du premier exemple. À la suite de la répétition, j'obtiens les droits pour tout le groupe. "Aux collègues pour lecture" pour lire dans tous les sous-dossiers. Mais ma tâche est de ne rendre visible que "mon" sous-dossier à l'utilisateur. Par conséquent, dans la fenêtre des droits de base, je clique sur le bouton "Aditionellement"


et aller à la fenêtre des droits spéciaux, dans laquelle je sélectionne le groupe "Aux collègues pour lecture" et appuyez sur le bouton "Changement"

Dans la fenêtre qui s'ouvre, je change les règles d'héritage, au lieu de la valeur dans le champ "Utilisation:" je choisis la valeur "Uniquement pour ce dossier".

C'est le point clé de cet exemple. Valeur "Uniquement pour ce dossier" provoque les droits de lecture du groupe "Aux collègues pour lecture" s'appliquent uniquement à la racine du dossier "PHOTO"mais pas aux sous-dossiers. Ainsi, chaque utilisateur pourra accéder à son dossier, mais il ne pourra pas regarder dans celui voisin, il n'a pas le droit de visualiser les sous-dossiers. Si vous ne donnez pas du tout ce droit au groupe, les utilisateurs ne pourront pas du tout accéder à leurs sous-dossiers. Le système de fichiers ne les laissera pas passer même dans le dossier "PHOTO".

En conséquence, les utilisateurs pourront entrer dans le dossier "PHOTO" mais ils ne pourront pas aller plus loin dans les sous-dossiers!

Dans la fenêtre des droits spéciaux, cliquez sur "D'ACCORD" et quittez la fenêtre précédente, maintenant dans la colonne "Postuler à" en face du groupe "Aux collègues pour lecture" vaut la valeur "Uniquement pour ce dossier".

Cliquez dans toutes les fenêtres "D'ACCORD" et nous partons.

Tout. Il reste maintenant à configurer les droits personnels pour chaque sous-dossier. Cela devra être fait pour chaque sous-dossier, les droits sont personnels pour chaque utilisateur.

Vous avez déjà fait toutes les actions nécessaires dans le premier exemple, nous allons répéter le passé 🙂

Sur un sous-dossier "Utilisateur1" J'appuie sur le bouton droit de la souris, je sélectionne l'élément de menu "Propriétés", aller au signet "Sécurité"... J'appuie sur le bouton Ajouter

et dans la fenêtre de sélection standard, je sélectionne un utilisateur de domaine avec le nom "Utilisateur1".

Reste à cocher la case du droit permissif "Changement"... Dans ce cas, une coche pour le droit permissif "Record" sera installé automatiquement.

Pousser "D'ACCORD"... Nous partons. Il reste à répéter les mêmes étapes pour tous les sous-dossiers.

Exemple 3. Accorder un accès personnel à un utilisateur à son sous-dossier pour l'écriture, tout en interdisant les modifications ou les suppressions.

Je comprends que cela semble difficile, mais je vais essayer d'expliquer. J'appelle ce genre d'accès un verrou. Dans la vie de tous les jours, nous avons une situation similaire avec une boîte aux lettres ordinaire, dans laquelle nous jetons des lettres en papier. Ceux. Vous pouvez jeter une lettre dans la boîte, mais vous ne pouvez pas la sortir de la boîte. Dans l'économie informatique, cela peut être utile dans une situation où quelqu'un écrit un rapport dans votre dossier. Ceux. le fichier est écrit par l'utilisateur, mais cet utilisateur ne peut rien faire avec ce fichier. Ainsi, vous pouvez être sûr que le créateur ne pourra plus modifier ou supprimer le rapport soumis.

Comme dans l'exemple précédent, nous répétons toutes les actions, sauf que nous ne donnons pas immédiatement à l'utilisateur tous les droits sur son dossier, initialement dans les autorisations de base nous ne donnons qu'un accès en lecture, et cliquez sur le bouton "Aditionellement"

Dans la fenêtre qui s'ouvre, sélectionnez "Utilisateur1" et appuyez sur le bouton "Changement"

Dans la fenêtre qui s'ouvre, on voit les droits de lecture standard

Afin de donner à l'utilisateur le droit de créer des fichiers, définissez l'autorisation sur le "Créer des fichiers / écrire des données", mais à droite "Suppression des sous-dossiers et des fichiers" et "Suppression" nous avons mis une interdiction. Quitter l'héritage standard "Pour ce dossier, ses sous-dossiers et fichiers".

Après avoir appuyé sur le bouton "D'ACCORD" et revenez à la fenêtre précédente, vous pouvez voir des changements importants. Au lieu d'une entrée pour "Utilisateur1" deux sont apparus.

En effet, deux types de droits sont définis, l'un interdisant, ils entrent en premier dans la liste, le second permissif, ils sont en second dans la liste. Étant donné que les droits spéciaux ne sont pas standard, dans la colonne "Résolution" vaut la valeur "Spécial"... Lorsque le bouton est enfoncé "D'ACCORD" une fenêtre apparaît, dans laquelle Windows avertit qu'il existe des droits de refus et qu'ils ont une priorité plus élevée. Traduit, cela signifie la même situation avec une porte à fermeture automatique, dont les clés sont à l'intérieur. J'ai décrit une situation similaire dans le deuxième exemple.

Tout. Les droits sont établis. Maintenant "Utilisateur1" peut écrire n'importe quel fichier dans son dossier, l'ouvrir, mais ne peut pas le modifier ni le supprimer.

Mais qu'en est-il de l'analogie complète avec une vraie boîte aux lettres?

Pour empêcher l'utilisateur d'ouvrir ou de copier le fichier enregistré, procédez comme suit. Encore une fois, ouvrez les autorisations spéciales pour "Utilisateur1", et sur le terrain "Utilisation:" changer la valeur en "Uniquement pour ce dossier"

Dans ce cas, l'utilisateur n'a pas le droit de lire ou de copier le fichier.

Tout. Maintenant, l'analogie avec une boîte aux lettres physique est presque terminée. Il ne pourra voir que les noms des fichiers, leur taille, leurs attributs, mais il ne pourra pas voir le fichier lui-même.

Afficher les droits actifs.

Je tiens à dire tout de suite que la possibilité de visualiser les droits actuels d'un dossier ou d'un fichier est une fiction complète. À mon avis, ces outils devraient fournir des informations garanties. Dans ce cas, ce n'est pas le cas. Microsoft reconnaît lui-même que cet outil ne prend pas en compte de nombreux facteurs qui affectent les droits qui en résultent, tels que les conditions d'entrée. Par conséquent, utiliser un tel outil n'est que se tromper sur les droits réels.

Le cas décrit au tout début de l'article, avec l'interdiction de supprimer un fichier d'un dossier, est dans ce cas très éloquent. Si vous simulez une situation similaire et regardez les droits d'un fichier protégé contre la suppression, vous verrez que les droits de suppression du fichier sont interdits. Cependant, la suppression de ce fichier n'est pas difficile. Pourquoi Microsoft a fait cela - je ne sais pas.

Si vous décidez toujours de consulter les droits actuels, vous devez pour cela cliquer sur le bouton dans la fenêtre des droits de base "Aditionellement", et dans la fenêtre des droits spéciaux, allez dans l'onglet "Permis valides".

Ensuite, vous devez appuyer sur le bouton "Choisir" et sélectionnez l'utilisateur ou le groupe requis dans la fenêtre de sélection standard.

Une fois sélectionné, vous pouvez voir les autorisations valides «approximatives».

En conclusion, je tiens à dire que le sujet des droits du système de fichiers NTFS est très vaste, les exemples ci-dessus ne sont qu'une très petite partie de ce qui peut être fait. Par conséquent, si vous avez des questions, posez-les dans les commentaires de cet article. J'essaierai d'y répondre.

Chaque objet géré par Mac OS X est associé à un ensemble spécifique de droits d'accès (dans l'environnement Unix, le terme privilèges d'accès est utilisé), qui définit complètement à qui appartient cet objet et ce que les différents utilisateurs peuvent en faire.

Ces droits peuvent être consultés dans la fenêtre des propriétés de l'objet - commande Fichier \u003e\u003e Propriétés, voir Partage et droits d'accès.

À qui sont attribués les droits d'accès

Dans la fenêtre des propriétés de l'objet, dans la colonne Nom, les utilisateurs ou, plus précisément, les catégories d'utilisateurs qui ont des droits spécifiques sur cet objet sont indiqués: un utilisateur enregistré est indiqué par la silhouette d'une personne, un groupe - deux silhouettes, et tous les autres - trois silhouettes. Examinons-les plus en détail.

Utilisateur enregistré... Par défaut, le premier utilisateur de ce type est le propriétaire - celui qui a créé cet objet. Il peut s'agir de n'importe quel utilisateur enregistré ou root (dans le Finder, root apparaît comme système).

Groupe... Son nom est généralement indiqué dans la fenêtre des propriétés, dans notre exemple c'est staff. Le concept même de groupe est utilisé afin de séparer en quelque sorte de «tout le monde» un certain cercle de personnes qui ont besoin de droits d'accès spéciaux à cet objet.

Par exemple, si nous parlons d'un document important au sein d'une organisation, par exemple un horaire de travail, tous les employés de cette structure peuvent y avoir accès en lecture, et seul un cercle strictement défini de personnes peut le modifier. L'administrateur qui détermine les privilèges d'accès à ce fichier réunira les personnes qui ont le droit d'apporter des modifications au fichier dans un groupe distinct et lui accordera les droits nécessaires.

Sous Mac OS, les groupes suivants sont définis et utilisés par défaut: Admin - tous les administrateurs enregistrés, y compris l'outil, la roue - tous les administrateurs système enregistrés, par défaut ce n'est que root, et le personnel - tous les utilisateurs enregistrés et root, les groupes peuvent être créés dans le panneau Caches de comptabilité dans le bureau système.

Le reste (tout le monde) - ce sont tous les autres utilisateurs qui ne sont pas les propriétaires de cet objet et qui ne sont pas inclus dans un groupe disposant de droits spéciaux en relation avec cet objet.

Quels sont les droits d'accès

En ce qui concerne les droits associés à un objet spécifique, dans Finder, vous pouvez définir les éléments suivants:

  • Seulement lecture indique que l'utilisateur peut, s'il s'agit d'un fichier, l'ouvrir, et s'il s'agit d'un dossier, ouvrir et copier son contenu. En général, les documents et dossiers destinés à être visualisés ne disposent que de ces droits. Un utilisateur en lecture seule ne pourra pas en quelque sorte modifier ou supprimer ces objets. La désignation visuelle d'un dossier dont vous ne pouvez pas modifier le contenu est l'icône de crayon barrée qui apparaît dans le coin inférieur gauche de la fenêtre du Finder.
  • Enregistrer seulement (boîte aux lettres) indique que l'utilisateur peut enregistrer ses fichiers dans ce dossier. De plus, si le droit de «lire» n'est pas associé à la boisson, alors il l'est. ne pourra même pas voir ce qu'il y a dans ce dossier. Il s'avère une telle "boîte noire" dans laquelle vous pouvez simplement jeter quelque chose.
  • Lire et écrire - l'utilisateur a tous les droits: il peut - et ouvrir cet élément, le modifier et le supprimer. En règle générale, les dossiers et documents que vous créez disposent de ces autorisations.
  • Pas d'accès - absence totale de droits sur cet objet. L'utilisateur ne peut voir que son icône - c'est tout. Ainsi, si vous ouvrez le dossier personnel d'un autre utilisateur, les dossiers que vous ne pouvez pas ouvrir seront marqués d'un panneau routier "Aucune entrée".

    • Définition des droits d'accès à un objet

    Lorsque vous créez un nouveau dossier dans votre dossier personnel ou enregistrez votre propre fichier ici, cet objet recevra les droits d'accès suivants: le propriétaire a tous les droits - il peut y écrire des fichiers et ouvrir les objets contenus; les membres du groupe du personnel (c'est-à-dire les utilisateurs enregistrés) peuvent voir son contenu; tous les autres (c'est-à-dire ceux qui se sont connectés à votre Mac avec des droits d'invité) - voient également son contenu.

    Comme vous pouvez le voir, les droits accordés à chaque dossier que vous créez sont très démocratiques (ils diffèrent considérablement des dossiers prédéfinis - seul vous, en tant que propriétaire, y avez accès). Si vous ne souhaitez pas que tous les utilisateurs de votre ordinateur aient accès à toutes les informations de ce dossier, veillez à modifier les droits associés.

    La fenêtre de sélection des utilisateurs et des groupes contient l'objet Carnet d'adresses. En le sélectionnant, vous aurez accès à la liste des personnes dont les contacts sont stockés dans votre carnet d'adresses. Les utilisateurs que vous êtes. ajouter là, sera automatiquement enregistré sur votre Mac uniquement pour l'accès au réseau.

    Les utilisateurs ou groupes qui figurent en haut de la liste des utilisateurs dans la fenêtre des propriétés ont priorité sur ceux ci-dessous. Par exemple, si vous ajoutez le groupe d'enfants à la liste et que vous leur accordez des autorisations de lecture et d'écriture, ils ne seront plus limités par les droits du groupe d'employés, bien qu'ils soient inclus dans son numéro.

    Notez que seuls les administrateurs peuvent modifier librement les droits d'accès aux objets. Si un utilisateur ordinaire, par exemple, essaie de faire «sien» un document «étranger», il devra saisir le mot de passe administrateur.

    Paramétrage de groupe des droits d'accès

    Que faire si vous devez modifier les droits d'accès à plusieurs objets? Bien sûr, vous n'avez pas à les parcourir un à la fois. Il existe plusieurs options pour résoudre ce problème.

  • Vous devez modifier les droits d'accès à plusieurs objetsqui sont dans le même dossier, mais pas tout le contenu de ce dossier. Sélectionnez les objets souhaités. Il doit s'agir d'objets homogènes, c'est-à-dire uniquement des fichiers ou uniquement des dossiers. Ensuite, maintenez la touche Alt enfoncée et choisissez Fichier\u003e Afficher l'inspecteur. La fenêtre des propriétés générales s'ouvre, dans laquelle vous pouvez modifier les droits d'accès à tous les objets sélectionnés en développant la section Partage et droits d'accès.
  • Vous devez modifier les droits d'accès au dossier (disque)et tous les objets qui se trouvent à l'intérieur. Il se peut qu'en raison de vos actions incorrectes ou du fonctionnement incorrect de certains programmes, les droits d'accès à votre dossier personnel ou à son contenu aient été modifiés, ce qui peut affecter le fonctionnement des programmes qui stockent leurs fichiers dans votre dossier personnel (par exemple, Mail et Carnet d'adresses) ...

    Si, lorsque vous essayez d'exécuter un tel programme, vous obtenez un message indiquant que "Le programme ne répond pas" ou quelque chose du genre, vérifiez si les autorisations pour le dossier - / Bibliothèques / sont correctement définies.

    • Vous devez être le seul utilisateur avec un accès en lecture et en écriture. Tous les autres doivent être classés comme «sans accès».

  • Ignorer les droits d'accès sur le disque (volume), Dans la fenêtre des propriétés du disque non amorçable, sous Droits d'accès et de partage, il existe une option pour Ignorer les propriétaires sur ce volume. S'il est désactivé, c'est-à-dire que les droits d'accès sur ce volume sont pris en compte, vous pouvez être confronté à la situation où vos documents qui se trouvent dans votre ancien dossier personnel (dont vous avez "déménagé" il y a longtemps) ne vous sont pas accessibles.

    • Dans ce cas, activez Ignorer les propriétaires dans ce volume et ouvrez tous les documents calmement. Parfois, cela peut vous obliger à redémarrer votre ordinateur.

    Ambulance pour les droits d'accès

    Je vous conseille d'être très prudent lors de la modification des droits d'accès, en particulier aux dossiers contenant des composants système et logiciels. Après des modifications apparemment totalement inoffensives - par exemple, en refusant à tous les autres utilisateurs d'accéder aux dossiers système - le système et d'autres programmes peuvent ne pas fonctionner correctement.

    Par conséquent, il est préférable de vous limiter à la définition des droits pour vos propres dossiers que vous souhaitez masquer de l'accès public.

    Mais l'état des choses avec les droits ne dépendra pas toujours uniquement de vous. Il existe un certain nombre de situations après lesquelles des modifications des droits d'accès aux composants du système sont possibles, ce qui est semé de dysfonctionnements dans le système et certains programmes. Énumérons les principales raisons de l'apparition de problèmes de droits.

  • Les installateurs de programmes tiers peuvent définir de manière incorrecte les autorisations pour leurs dossiers et fichiers, et même pour le dossier / Programmes /. Un symptôme de ces violations est l'apparition d'un point d'interrogation au lieu d'icônes de programme dans le Dock et, éventuellement, des problèmes de connexion Internet.
  • En redémarrant à partir d'un disque système différent et en activant l'option Ignorer les propriétaires sur ce volume, vous obtenez en fait des droits de super-utilisateur sur tous les fichiers Mac OS X qui se trouvent sur le disque dur - vous pouvez même déplacer, supprimer et modifier ses composants système. Pour éviter d'autres problèmes dans le fonctionnement d'un tel système, il est préférable de ne pas effectuer d'action avec des éléments inconnus, pas même de les ouvrir.

    • Pour résoudre les problèmes système liés à des droits mal définis, vous pouvez utiliser le programme Utilitaire de disque (/ Programmes / Utilitaires /). Dans la fenêtre de gauche du profil, sélectionnez le disque (ou la partition de disque) où se trouve le Mac OS «problématique», dans la fenêtre de droite, ouvrez l'onglet Premiers secours. Ce qui peut être fait:

    Vérifier les droits d'accès... Le programme recherchera les conflits de droits d'accès sur ce disque. Vous recevrez un rapport de vérification, sur la base duquel vous pourrez décider si vous devez les corriger ou non.

    Restaurer les droits d'accès... Si lors de la vérification des droits d'accès, des problèmes ont été détectés, vous pouvez essayer de les résoudre. Vous pouvez ignorer les messages tels que "ACL trouvé mais non attendu". La présence d'ACL ne perturbe pas le fonctionnement des composants système et l'Utilitaire de disque, en règle générale, ne les supprime pas.

    Dans Leopard, vous pouvez restaurer les droits d'accès sans redémarrer à partir du disque d'installation, comme requis par les versions précédentes de Mac OS. Les droits d'accès à tous les composants du système d'exploitation et aux programmes Apple seront réinitialisés à l'état «par défaut». Les programmes Apple lors de l'installation écrivent des informations sur leurs composants dans le dossier / Libraries / Receipts /. Ces données sont utilisées par l'utilitaire de disque pour restaurer les droits. Si le contenu du dossier contenant des informations sur ces packages a été détruit, l'utilitaire restaure uniquement les droits système.

    Les programmes tiers resteront inchangés et s'ils ont modifié les droits d'accès au logiciel système pendant l'installation, ils risquent de ne pas fonctionner correctement après la restauration des droits d'accès.

    Moyens d'échange de données entre utilisateurs

    Jusqu'à présent, nous avons expliqué comment Mac OS protège les données des utilisateurs contre les accès non autorisés. Mais il existe de nombreuses situations où, au contraire, de nombreuses données, telles que la bibliothèque iTunes ou les photos iPhoto, devraient être disponibles pour tous les utilisateurs d'un Mac. Voyons quels sont les moyens d'organiser l'échange de fichiers de tous les utilisateurs enregistrés.

    Dossier partagé... Situé dans le dossier / Users /. Les informations contenues dans ce dossier sont disponibles pour tous les utilisateurs - ils peuvent y copier des objets existants et écrire les leurs.

    Dossier général... Situé dans votre dossier personnel. Les informations de ce dossier sont disponibles pour tous les autres utilisateurs en lecture seule. Tout le monde peut l'ouvrir, afficher les fichiers et copier tout ce qu'il contient.

    Boîte aux lettres de dossier... Situé dans le dossier - / General /). Vous seul y aurez pleinement accès. Tout le monde ne peut y écrire que quelque chose, sans même avoir le droit de voir son contenu.

    Par conséquent, si vous devez fournir un fichier ou un dossier à usage public, placez-le dans le dossier / Users / Shared /. Ne vous précipitez pas pour y copier votre bibliothèque ou photothèque. Pour y placer les fichiers de certains programmes, il est préférable de se référer à l'aide de ces programmes - il peut y avoir des nuances quant aux composants qu'il vaut mieux copier là-bas et comment les autres utilisateurs peuvent "se connecter" aux données partagées. Mais si vos fichiers musicaux ou vos images sont stockés en dehors de votre médiathèque ou de votre photothèque, vous pouvez les transférer en toute sécurité vers le dossier partagé - ils seront immédiatement disponibles pour tous les utilisateurs.

    Si vous voulez que tout le monde puisse utiliser vos fichiers, mais que vous ne pouvez pas les supprimer ou ajouter les vôtres, écrivez ces fichiers dans le dossier / General /. Enfin, pour transférer un fichier à quelqu'un en personne, déposez-le dans la boîte aux lettres de cet utilisateur.

    Vous pouvez également créer d'autres dossiers pour l'échange de données en attribuant des droits d'accès appropriés à d'autres utilisateurs.

    Titre: Le fer
    Partagez ceci