Windows Server 2003 - Dossiers partagés et droits NTFS

Page 1 / 2
  • Publié le : 14 décembre 2011 à 20:52
  • Par Lionel Eppe

Configuration requise :
- Active Directory

Comme ce tuto parlera des dossiers partagés et des droits, on va utiliser un exemple concret que l'on pourrait retrouver en entreprise, car les serveurs sont souvent utilisés dans le monde professionnel (entreprise et école) pour pouvoir gérer les droits de chaque utilisateur ou groupe d'utilisateurs. Le plus souvent pour éviter que les employés n’installent n'importe quoi ou ne fassent une mauvaise manipulation sans le savoir.

L'exemple est le suivant et est composé de 3 utilisateurs :
- La secrétaire qui n'y connait la plupart du temps pas beaucoup aux ordinateurs (tout simplement parce que ce n'est pas son job).
- Le patron de l'entreprise qui veut avoir accès à tous les fichiers et dossiers (y compris ceux de ces employés).
- L'informaticien qui aura un contrôle total sur le serveur puisque c'est lui qui fait les maintenances, soit périodiquement, soit lorsque le serveur ne fonctionne plus correctement, soit parce que le patron lui demande d'effectuer telle ou telle tâche.

En résumé, les droits que l'on va leur attribuer pour le tuto seront :
- Pour la secrétaire : Lecture seulement et n'a accès qu'a son dossier.
- Pour le patron : Accès en Lecture & Modification aux 3 dossiers (secretaire, patron et informaticien).
- Pour l'informaticien : Contrôle total sut les 3 dossiers.

  1. Création des 3 utilisateurs
  2. Création des dossiers et partages de ceux-ci
  3. Ajouter les dossiers partagés dans l'Active Directory
  4. Connecter un lecteur réseau sur chaque dossier partagé pour un accès plus facile à celui-ci à partir du client sous "Windows XP"

1. Création des 3 utilisateurs

Pour commencer, ouvrez la fenêtre "Gérer votre serveur" et cliquez sur "Gérer les utilisateurs et les ordinateurs dans Active Directory".

Faites un clic droit sur votre domaine et cliquez sur "Nouveau --> Unité d'organisation".
Il n'est pas obligatoire d'en créer une, mais cela permet de s'y retrouver lorsque l'on a un gros serveur. C'est comparable à un dossier où l'on créerait des fichiers.

On la nomme "InformatiUser", car on va y mettre nos 3 utilisateurs que l'on va créer, mais vous pouvez lui donner n'importe quel nom.

On va maintenant créer nos 3 utilisateurs nommés plus haut.
Pour cela, on fait un clic droit sur l'unité d'organisation "InformatiUser" que l'on vient de créer et on clique sur "Nouveau --> Utilisateur".

Pour le tuto on va mettre le même nom (à savoir : secretaire, patron, informaticien) pour le prénom ainsi que le nom d'utilisateur. Je vous conseille quand même de ne pas mettre de majuscule ni d'accent dans le nom d'utilisateur pour éviter les problèmes de connexion du style "nom d'utilisateur inexistant" à cause d'une majuscule que n'auriez par exemple pas mise, ...

Entrez un mot de passe respectant les règles de sécurité :
- Longueur minimum : 8 caractères.
- Complexité : Majuscules/Minuscules.
Les caractères spéciaux ne sont pas obligatoires pour que le mot de passe soit accepté, mais il est tout de même recommandé d'en mettre.
- Chiffres.

L'assistant vous affiche un résumé de la configuration de l'utilisateur. Cliquez sur "Terminer" et refaites la même chose pour les 2 autres utilisateurs : patron et informaticien.

Une fois les 3 utilisateurs créés ils seront affichés dans la liste de droite.

2. Création des dossiers et partages de ceux-ci

Créez 3 dossiers où vous voulez, mais éviter le bureau, le dossier "mes documents" ainsi que les répertoires utilisateurs se trouvant dans : "C:\Documents and Settings" ainsi que le dossier de Windows, car les autorisations de ces dossiers peuvent refuser parfois l'accès comme sous Windows XP lorsque vous définissez un mot de passe pour votre session utilisateur et que vous cliquez sue "rendre privé". Car cette action modifie les droits NTFS du répertoire de l’utilisateur concerné et bloque l'accès aux autres utilisateurs. C'est à cause de ça qu'il faut éviter de mettre les dossiers partagés dans le répertoire utilisateur, car les dossiers partagés pourront peut-être un jour se voir refuser l'accès à cause de ça.
En ce qui concerne le dossier "Windows" c'est pour la simple et bonne raison qu'il s'agit d'un dossier système et qu'il faut éviter de partager des dossiers qui se trouvent dans Windows.

Une fois les dossiers créés vous obtenez ceci :

On va commencer par partager le dossier secretaire en faisant un clic droit sur son dossier et en cliquant sur "Partage et sécurité...".

Pour faciliter le tuto, on va laisser le nom du partage par défaut. Cliquez sur "Autorisation" pour mettre les droits d'accès au partage.

Petite différence par rapport à un OS classique comme "Windows XP" qui correspond à l'édition serveur "Windows Server 2003", c'est que l'on va mettre les droits dans l'onglet "sécurité" qui est beaucoup plus complet que l'onglet "partage".
On va donc configurer les droits d'accès au partage (onglet "Partage") à Contrôle total pour les utilisateurs qui ont au moins un droit (lecture, modification, ...). Ensuite, on configurera les droits NTFS (onglet "sécurité) avec les droits cités au début de ce tuto "Dossiers partagés et droits".
Note : Il est indispensable que la partition soit formatée en NTFS pour que les droits NTFS soient disponibles. Ceci dit tous les nouveaux disques durs ne peuvent être formatés qu'en NTFS et plus en FAT32. Du moins à la base, car il existe peut-être des utilitaires permettant de le faire.

Commencez d'abord par supprimer le groupe "Tout le monde", car c'est une faille de sécurité, et si vous ne le l'enlevez pas, les droits pourront être incorrects, car le groupe "Tout le monde" regroupe tous les utilisateurs y compris ceux que l'on vient de créer.
Une fois supprimé, on va ajouter les 3 utilisateurs, un par un, en cliquant sur "Ajouter".

Pour ajouter les utilisateurs, écrivez le début du nom d'utilisateur ou groupe et cliquez sur "Vérifier les noms" pour que le nom complet s'écrive automatiquement.
Refaites la même opération pour les 2 autres utilisateurs.

Une fois les utilisateurs ajoutés, cochez les 3 cases "Autoriser" pour les 3 utilisateurs.
Note : il faut sélectionner un utilisateur pour modifier les cases à cocher qui le concernent.

Une fois ceci fait, cliquez sur "OK" pour quitter la fenêtre et vous revenez à cette fenêtre.
Il est important de cliquer sur le bouton "Appliquer" avant de configurer l'onglet "sécurité" car si vous ne le faites pas vous obtiendrez un message "Erreur : Cette ressource n'était pas encore partagée" et vous devrez recommencer la configuration de ce dossier partagé ainsi que de l'onglet "sécurité".

Nous allons maintenant configurer les droits NTFS (onglet "sécurité") avec les droits cités au début du tuto.
Pour commencer, on va d'abord supprimer les droits déjà existants qui sont en réalité hérités des répertoires parents. Pour cela, cliquez sur le bouton "Paramètres avancés".

Pour enlever ces héritages des droits NTFS pour un dossier il suffit de décocher la case "Permettre aux autorisations héritées du parent de se propager ...".

Lorsque l'on enlève cet héritage, il nous demande si l'on veut copier les droits du dossier parent pour qu’ils soient indépendants des droits NTFS du dossier parent en les supprimer pour le dossier en cours.
Cliquez sur "Supprimer".

Si vous avez encore une ligne comme moi, supprimez-la aussi. Il s'agit des autorisations pour le groupe "Administrateurs" qui contient d'ailleurs le compte "Administrateur" avec lequel vous vous êtes connecté au serveur.
Remarquez que le groupe possède un "s" à la fin, ce qui le différencie de l'utilisateur "Administrateur".

Une fois la dernière ligne supprimée, la liste est enfin vide. Cliquez sur "OK" pour quitter cette fenêtre.

Le serveur nous affiche un message nous avertissant que tous les droits sont refusés pour tous les utilisateurs, ce qui est logique, car pas de droits = droits refusés, mais pas de panique nous allons les configurer dans la fenêtre suivante.
Cliquez sur "Oui" pour continuer.

Commencer par ajouter les 3 utilisateurs qui ont au moins un droit sur ce partage à savoir : la secretaire, le patron et l'informaticien en appuyant sur le bouton "Ajouter".

L'informaticien a tous les droits sur ce partage. Donc, cochez la case "Contrôle total" et les autres cases "Autoriser" seront cochées automatiquement.

Ensuite, pour les droits du patron c'est légèrement plus compliqué.

Pour rappel : Le patron a les droits de lecture et de modification, mais pas de suppression donc il va falloir autoriser les droits de "Lecture" et de "Modification / Ecriture" et lui refuser les droits de "Suppression".
Pour cela, commencez par cocher les cases comme sur l'image et cliquez ensuite pour configurer le droit de suppression qui ne se trouve que dans les paramètres avancés.

Sélectionnez la ligne "Patron" et cliquez sur le bouton "Modifier...".

En voyant le nombre de cases dans les paramètres, vous comprendrez aisément pourquoi je vous ai fait retourner à la version simplifiée pour mettre la quasi-totalité des droits.
Dans cette fenêtre, cochez les cases "Refuser" pour les 2 droits de suppression à savoir : "Suppression de sous-dossier et fichier" et "Suppression".
Appuyez ensuite sur "OK" pour revenir à la fenêtre précédente.

Vous voyez qu'une ligne supplémentaire a été créée. Il s'agit des droits de type "Refuser" et que l'autorisation est nommée "Spécial", car les cases cochées ne correspondent pas un droit de base comme "Lecture, Modification, ...".

Il nous avertit que les droits "Refuser" sont prioritaires sur ceux "Autoriser". Cela est valable pour tous les droits NTFS que cela soit sur un Windows Serveur ou un Windows Classique.
Cliquez sur "Oui".

Et enfin, pour la secretaire, cochez seulement les droits de "Lecture" comme sur l'image. Et pour finir, cliquez sur "OK".

Une fois les droits paramétrés pour le dossier "secretaire", refaites la même chose pour les autres utilisateurs en respectant les droits suivants :
- Cochez "contrôle total" pour l'informaticien et le patron qui ont au moins un droit sur le dossier du patron. La secretaire n'ayant accès qu'a son dossier, il ne sert à rien de l'ajouter dans la liste, car "pas de droit" = "droits refusés" comme dis plus haut.
Ensuite, cliquez sur OK et sur appliquer sur la fenêtre restante et passez dans l'onglet "sécurité".

Ensuite, dans les droits NTFS, cochez "Contrôle total" pour l'informaticien.

Et les droits de "lecture" et de "modification" pour le patron. N'oubliez pas de refuser les 2 droits de "suppression" dans les paramètres avancés pour le patron comme expliqué précédemment. Une fois les droits de "suppression" refusés vous verrez la case "Refuser" de la ligne "Autorisations spéciales" avec un "v" grisé comme sur l'image ci-dessous.
Cliquez sur "OK".

Et enfin nous allons configurer les droits du 3ème et dernier dossier partagé à savoir le dossier "informaticien".

- Cochez "contrôle total" pour l'informaticien et le patron qui ont au moins un droit sur le dossier de l’informaticien. La secrétaire n'ayant accès qu'a son dossier, il ne sert à rien de l'ajouter dans la liste, car "pas de droit" = "droits refusés" comme dis plus haut.

Cliquez sur "OK" et sur "appliquer" sur la fenêtre restante et passez à l'onglet "sécurité".

Dans l'onglet "sécurité", autorisez le contrôle total pour l'informaticien. Ainsi que les droits de lecture et de modification pour le patron. N'oubliez pas de refuser les 2 droits de "suppression" dans les paramètres avancés pour le patron comme expliqué précédemment.