Nous utilisons des cookies pour améliorer notre page Web. Veuillez lire notre politique relative aux cookies .

NAS 471

Introduction à Windows ACL

Apprenez à utiliser Windows ACL pour gérer les autorisations d'accès aux données de votre NAS ASUSTOR.

2024-05-31

OBJECTIFS DU COURS

Une fois ce cours terminé, vous devriez être en mesure d’:

  1. Comprendre les principes de base de l'utilisation de Windows ACL avec votre NAS ASUSTOR.
  2. Utiliser Windows ACL pour gérer les autorisations d'accès aux données sur votre NAS ASUSTOR.

PRÉ-REQUIS

Cours pré-requis :

NAS 106: Utiliser le NAS avec Microsoft Windows

Les étudiants doivent avoir une connaissance pratique de :

Dossiers Partagés, Contrôle d'Accès


SOMMAIRE

1. Introduction à Windows ACL

1.1 Dois-je activer Windows ACL?

2. Configuration de la liste de contrôle d'accès Windows

2.1 Activer Windows ACL

2.2 Configurer les autorisations Windows ACL avec l'Explorateur de Fichiers

2.3 Configurer les autorisations Windows ACL avec l'Explorateur Windows

2.4 Règles et précautions d'autorisation Windows ACL

2.5 Déplacer des objets vers votre NAS tout en conservant les autorisations ACL





1. Introduction à Windows ACL

Windows ACL comprend les 13 différents types d'autorisations de fichiers conçus par Microsoft pour les systèmes de fichiers NTFS qui peuvent être appliqués à des utilisateurs et des groupes spécifiques. Dans ce type d'infrastructure, les administrateurs peuvent effectuer des configurations d'autorisation d'accès plus détaillées et plus précises.

De plus, dans l'infrastructure de domaine Windows AD (largement utilisée par les entreprises), les autorisations Windows ACL peuvent être appliquées à tous les utilisateurs et groupes du domaine. Les utilisateurs peuvent utiliser n'importe quel ordinateur du réseau pour se connecter, et tant qu'ils utilisent le même nom de compte, toutes les autorisations resteront les mêmes. Le personnel informatique n'aura pas besoin de configurer les autorisations pour chaque serveur et poste de travail PC, ce qui augmentera considérablement l’efficience.

Afin d'intégrer plus étroitement le NAS ASUSTOR aux domaines AD, en simplifiant la gestion informatique et en augmentant la productivité, ASUSTOR a profondément intégré le système d'autorisations Windows ACL avec ADM, offrant les fonctionnalités uniques suivantes :

  1. La possibilité d'activer Windows ACL pour des dossiers partagés individuels.
  2. Prise en charge complète des 13 types d'autorisations ACL Windows.
  3. Possibilité d'afficher en détail les autorisations effectives ACL Windows depuis ADM.
  4. Prise en charge des utilisateurs et des groupes du réseau.
  5. Possibilité d'appliquer des autorisations ACL à Samba, à l’Explorateur de fichiers, AFP, FTP, WebDAV, Rsync.


1.1 Do I need to enable Windows ACL?

Comme décrit dans la section précédente, Windows ACL fournit jusqu'à 13 paramètres d'autorisation différents qui peuvent être appliqués à tous les utilisateurs et groupes sur le NAS et sur le domaine (si le NAS a été ajouté à un domaine Windows AD). En cas de planification ou de configuration incorrecte des autorisations, il est possible que tous les utilisateurs ne puissent pas accéder à un certain dossier ou fichier. Évidemment, ce type d'erreur peut être résolu en utilisant un compte administrateur, mais le temps perdu entre le moment où le problème survient et sa résolution peut être considéré comme un coût intangible important pour les entreprises.

Le NAS ASUSTOR a été développé sur la base du système d'exploitation Linux, de sorte que les paramètres natifs d'ADM utilisent le mécanisme de gestion des autorisations Linux :

  • Permissions applicables : RW (Lecture Ecriture), RO (Lecture Seule), DA (Accès refusé)
  • Les permissions peuvent être appliquées à : « Propriétaire », le groupe dont le propriétaire fait partie et « Autre ».

Le plus petit nombre d'options permet une configuration plus simple. Cependant, la flexibilité et l'adaptabilité des autorisations sont très limitées. Par exemple, lors de l'utilisation du mécanisme d'autorisations Linux, il n'est pas possible de donner à un utilisateur la possibilité de modifier un fichier sans lui donner l'autorisation de supprimer le fichier.

Si vous n'utilisez votre NAS qu'entre vous et un nombre limité de membres de votre famille et d'amis, il est recommandé d'utiliser le mécanisme de gestion des autorisations d'origine d'ADM. Cependant, si votre NAS est utilisé pour le stockage de données professionnelles, il est conseillé de consulter d'abord votre personnel informatique pour décider s'il est approprié d'activer les autorisations Windows ACL, puis de compléter un plan de déploiement des autorisations si vous décidez de l'utiliser.

Nous vous offrons la possibilité d'activer ou de désactiver Windows ACL pour des dossiers partagés individuellement, ce qui est très utile pour l'évaluation et la planification. Vous pouvez créer un dossier partagé pour les tests, activer Windows ACL, puis configurer les paramètres des permissions. Ensuite, vous pouvez vérifier si les résultats sont ceux que vous escomptiez Une fois que vous obtenez les résultats dont vous avez besoin, vous pouvez ensuite appliquer les paramètres au dossier partagé de votre choix. Cela vous permet d'éviter toute erreur ou erreur de planification qui pourrait empêcher l'accès à des données importantes, affectant le fonctionnement de votre entreprise.




2. Configuration de la liste de contrôle d'accès Windows


2.1 Activation de Windows ACL


Création d'un nouveau dossier partagé :

  • Connectez-vous à votre ADM avec un compte administrateur à l'aide de votre navigateur web.
  • Sélectionnez Dossiers Partagés au sein de Contrôle d'Accès.
  • Cliquez sur Ajouter.


  • Saisissez un nom pour votre nouveau dossier partagé puis cliquez sur [Suivant].


  • Après avoir défini les droits d'accès pour le dossier partagé, cochez la case [Activer Windows ACL] puis cliquez sur [Suivant].

    Remarque : Les droits d'accès aux dossiers partagés constituent la première couche de vérification des permissions. Si un utilisateur ou un groupe n'a pas reçu de permission/autorisation "Lecture écriture, toutes les autorisations Windows ACL qui lui sont attribuées seront bloquées. Par conséquent, il est recommandé de configurer des droits d'accès plus indulgents pour les dossiers partagés sur lesquels Windows ACL est activé, puis d'utiliser Windows ACL pour configurer ultérieurement des autorisations plus spécifiques. Cliquez sur [Terminer] pour terminer la création du dossier partagé.


  • Sélectionnez [Sauter] et cliquez sur [Suivant].


  • Confirmez vos paramètres puis cliquez sur [Finir].


Activer Windows ACL pour les dossiers partagés déjà existants :

  • Sélectionnez Dossiers Partagés au sein de Contrôle d'Accès.
  • Sélectionnez le dossier partagé pour lequel vous souhaitez activer Windows ACL, puis cliquez sur [Editer]


  • Sélectionnez [Windows ACL].
  • Sélectionnez [Activer Windows ACL], puis cliquez sur [Fermer].

À propos de Windows ACL

  1. Après avoir activé les ACL Windows pour un dossier partagé, le dossier partagé et tous les sous-dossiers et tous les fichiers contenus dedans peuvent être affectés à des autorisations d'utilisateur ou de groupe.
  2. Les dossiers partagés suivants ne prennent pas en charge les autorisations d'ACL Windows : Racine, racines des utilisateurs, PhotoGallery, Web, Surveillance, MyArchive, corbeille réseau, périphériques virtuels, périphériques externes (disques durs USB, lecteurs optiques).
  3. Après avoir activé les ACL Windows, vous pourrez utiliser File Explorer d'ADM ou l'Explorateur Windows de Microsoft pour configurer les autorisations. Après avoir désactivé les ACL Windows, vous ne pourrez configurer les autorisations que dans File Explorer d'ADM.
  4. Si vous activez les ACL Windows et décidez par la suite de les désactiver, tous les fichiers et dossiers seront réaffectés avec des permissions en lecture et en écriture pour tous les utilisateurs.
  5. Que vous utilisiez les ACL Windows ou non, les utilisateurs devront disposer des autorisations d'accès aux fichiers et dossiers pour accéder aux fichiers.


2.2 Configuration des permissions Windows ACL avec ADM Explorateur de Fichiers


  • Sur le bureau ADM, sélectionnez [Explorateur de fichiers].
  • Sélectionnez un dossier partagé (ou un sous-dossier ou un fichier) pour lequel vous avez activé Windows ACL. Cliquez avec le bouton droit sur le dossier partagé, puis sélectionnez [Propriétés].


  • Sélectionnez l'onglet [Permissions] . Ici, vous pourrez voir les permissions actuellement configurées pour le dossier.


Après avoir activé Windows ACL pour un dossier partagé, le système attribuera par défaut les permissions « Lecture et écriture », mais ne peut pas supprimer » à « Tout le monde », « Administrateurs » et le compte « admin ». Ces permissions seront appliquées au dossier partagé uniquement et ne seront pas héritées par les objets ci-dessous sous la mention « non héritées ». Ces permissions par défaut peuvent être modifiées à l'aide des boutons [Editer] ou [Supprimer].

Remarque : Un fichier ou dossier individuel peut utiliser jusqu'à 250 autorisations ACL Windows (y compris les autorisations héritées).


  • Inclure les permissions pouvant être héritées du parent de cet objet :
    Cette option est activée par défaut. Le système configurera automatiquement les sous-dossiers et les fichiers pour hériter des permissions de l'objet au-dessus. La désactivation de cette option rejettera toutes les permissions pouvant être héritées et ne conservera que les permissions nouvellement ajoutées.
  • Remplacer toutes les permissions de l’objet enfant avec les permissions héritées de cet objet :
    l'activation de cette option remplacera toutes les autorisations de sous-dossier et de fichier par celles de l'objet parent.

Les fonctions de gestion que vous pourrez utiliser ici sont les suivantes :

Ajouter :

  • Cliquez sur le bouton [Ajouter] pour créer une nouvelle permission pour l'objet.


  • Utilisateur ou groupe :
    Spécifiez l'utilisateur ou le groupe auquel vous souhaitez appliquer la permission


  • Type :
    Sélectionnez [Autoriser] ou [Refuser] pour accorder ou refuser la permission à l'utilisateur ou au groupe.
  • Appliquer à :
    Cette option n'apparaîtra que lors de l'ajout de permissions à un dossier. Dans le menu déroulant, vous pouvez sélectionner où la permission sera appliquée. La manière dont la permission sera appliquée sera déterminée par le fait que vous cochez ou non la case [Appliquer ces permissions aux objets et/ou contenants au sein du contenant uniquement].
  • Appliquer ces permissions aux objets et/ou contenants au sein du contenant uniquement :
    • Lorsque l'option n'est pas cochée :
      Appliquer à Appliquer la permission au dossier actuel Appliquer la permission aux sous-dossiers du dossier actuel Appliquer la permission aux fichiers du dossier actuel Appliquer la permission à tous les sous-dossiers suivants Appliquer la permission aux fichiers dans tous les sous-dossiers suivants
      Ce dossier uniquement
      Ce dossier, ses sous-dossiers et ses fichiers
      Ce dossier et ses sous-dossiers
      Ce dossier et ses fichiers
      Sous-dossiers et fichiers uniquement
      Sous-dossiers uniquement
      Fichiers uniquement
    • Lorsque l'option est cochée :
      Appliquer à Appliquer la permission au dossier actuel Appliquer la permission aux sous-dossiers du dossier actuel Appliquer la permission aux fichiers du dossier actuel Appliquer la permission à tous les sous-dossiers suivants Appliquer la permission aux fichiers dans tous les sous-dossiers suivants
      Ce dossier uniquement
      Ce dossier, ses sous-dossiers et ses fichiers
      Ce dossier et ses sous-dossiers
      Ce dossier et ses fichiers
      Sous-dossiers et fichiers uniquement
      Sous-dossiers uniquement
      Fichiers uniquement

Les 13 types d'autorisations Windows ACL sont listés et décrits ci-dessous :

  • Traverser Dossiers/Exécuter fichiers : Traverser Dossiers autorise ou interdit le déplacement dans les dossiers pour atteindre d'autres fichiers ou dossiers, même si l'utilisateur n'a aucune permission pour les dossiers traversés (s'applique uniquement aux dossiers). Exécuter les fichiers autorise ou interdit l'exécution des fichiers de programme (s'applique uniquement aux fichiers).
  • Lister dossiers/lire données : Lister dossiers autorise ou interdit l'affichage des noms de fichiers et des noms de sous-dossiers dans le dossier (s'applique uniquement aux dossiers). Lire données autorise ou refuse l'affichage des données dans les fichiers (s'applique uniquement aux fichiers).
  • Lire attributs : autorise ou refuse l'affichage des attributs d'un fichier ou d'un dossier, tels que lecture seule, masqué, compressé et crypté.
  • Lire attributs étendus : autorise ou refuse l'affichage des attributs étendus d'un fichier ou d'un dossier. Les attributs étendus sont définis par les programmes et peuvent varier d'un programme à l'autre.
  • Créer fichiers/écrire données : Créer des fichiers autorise ou interdit la création de fichiers dans le dossier (s'applique uniquement aux dossiers). Écrire des données autorise ou interdit d'apporter des modifications au fichier et d'écraser le contenu existant (s'applique uniquement aux fichiers).
  • Créer dossiers/ajouter données : Créer dossiers autorise ou interdit la création de dossiers dans le dossier (s'applique uniquement aux dossiers). Ajouter données autorise ou interdit d'apporter des modifications à la fin du fichier, mais pas de modifier, de supprimer ou d'écraser des données existantes (s'applique uniquement aux fichiers).
  • Écrire attributs : autorise ou refuse la modification des attributs d'un fichier ou d'un dossier.
  • Écrire attributs étendus : autorise ou refuse la modification des attributs étendus d'un fichier ou d'un dossier. Les attributs étendus sont définis par les programmes et peuvent varier d'un programme à l'autre.
  • Supprimer les Sous-Dossiers et fichiers : autorise ou refuse la suppression de sous-dossiers et de fichiers, même si la permission de suppression n'a pas été accordée sur le sous-dossier ou le fichier (s'applique aux dossiers).
  • Supprimer : autorise ou refuse la suppression du fichier ou du dossier.
  • Autorisations de lecture : autorise ou refuse les autorisations de lecture du fichier ou du dossier.
  • Modifier les permissions : autorise ou refuse la modification des permissions du fichier ou du dossier.
  • Appropriation : autorise ou refuse l'appropriation du fichier ou du dossier. Le propriétaire d'un fichier ou d'un dossier peut toujours modifier les permissions sur celui-ci, quelles que soient les permissions existantes qui protègent le fichier ou le dossier.

Editer :

  • Sélectionner une permission puis cliquer sur le bouton [Éditer] vous permettra de éditer la permission.



Supprimer :

  • Sélectionner une permission puis cliquer sur [Supprimer] supprimera la permission de l'objet actuel.

Permissions effectives :

  • Cliquer sur le bouton [Permissions effectives] puis sélectionner un utilisateur dans la liste vous permettra d'afficher les permissions effectives de l'utilisateur concernant le dossier ou le fichier spécifié. Les permissions effectives sont déterminées à partir de la combinaison des permissions ACL Windows et des droits d'accès aux dossiers partagés.



2.3 Configuration des autorisations Windows ACL avec l'Explorateur Windows

Tout d'abord, utilisez un compte administrateur de Windows pour mapper un dossier partagé compatible Windows ACL en tant que lecteur réseau. Pour plus d'informations, consultez NAS 106: Utiliser le NAS avec Microsoft Windows.


  • Cliquez avec le bouton droit sur n'importe quel fichier ou sous-dossier dans le dossier partagé, puis sélectionnez [Propriétés].


  • Sélectionnez ensuite l’onglet [Sécurité] . Ici, vous pourrez voir une liste d'utilisateurs et de groupes et leurs autorisations ACL pour le fichier ou le sous-dossier.


Si un objet a simultanément hérité des permissions de son parent et également des permissions explicites, les permissions héritées seront cochées en gris tandis que les permissions explicites seront cochées en noir.


  • Cliquez sur [Editer] [Ajouter].


  • Dans le champ [Depuis cet emplacement :], vous devriez voir les informations suivantes :
    • Si le NAS a été ajouté à un domaine Windows AD, vous verrez le nom de domaine AD.
    • Si le NAS n'a pas été ajouté à un domaine Windows AD, vous verrez l'adresse IP du NAS.


  • Dans le champ [Saisir les noms d'objets à sélectionner] , saisissez les informations suivantes :
    • Si le NAS a été ajouté à un domaine Windows AD, saisissez le nom d'utilisateur ou de groupe du domaine, puis cliquez sur [Vérifier les noms] afin de vérifier le nom de l'utilisateur/du groupe. Ensuite, cliquez sur [OK].
    • Si le NAS n'a pas été ajouté à un domaine Windows AD, saisissez le nom de l'utilisateur ou du groupe local ADM, puis cliquez sur [Vérifier le nom] afin de vérifier le nom de l'utilisateur/du groupe. Ensuite, cliquez sur [OK].


  • Maintenant, vous devriez pouvoir voir l'utilisateur ou le groupe nouvellement ajouté dans la liste [Groupe ou nom d’utilisateur:]. Sélectionnez l'utilisateur ou le groupe, puis utilisez les cases à cocher [Autoriser] et [Refuser] pour configurer leurs permissions d'accès à l'objet. Une fois que vous avez terminé, cliquez sur [Appliquer].



2.4 Règles et précautions de permissions de Windows ACL


Permissions ACL conflictuelles :

  • Si vous rencontrez des permissions ACL Windows conflictuelles, les permissions explicites de l'objet seront prioritaires. Par exemple, si l'utilisateur "testuser" hérite des permissions "Autoriser la lecture et l'exécution" pour un fichier mais que les permissions explicites données pour le fichier sont "Refuser la lecture et l'exécution", alors "testuser" ne pourra pas accéder au fichier.
  • Inversement, si "testuser" hérite des permissions "Refuser la lecture" mais que la permission explicite accordée au fichier est "Autoriser la lecture", alors "testuser" pourra accéder au fichier.



Règles de déplacement de fichiers et de dossiers :

Copier Déplacer
Déplacement dans le même dossier partagé A1. ACL dsactivée Conserver les permissions existantes Conserver les permissions existantes
A2. ACL activée
  • Supprimer les permissions ACL héritées du dossier source
  • Supprimer les permissions ACL explicites
  • Appliquer permissions ACL héritées du dossier de destination
  • Supprimer les permissions ACL héritées du dossier source
  • Conserver les permissions ACL explicites
  • Appliquer permissions ACL héritées du dossier de destination
Se déplacer entre différents dossiers partagés B1. ACL dsactivée ACL dsactivée Conserver les permissions existantes Conserver les permissions existantes
B2. ACL dsactivée ACL activée Appliquer permissions ACL héritées du dossier de destination Appliquer permissions ACL héritées du dossier de destination
B3. ACL activée ACL dsactivée
  • Supprimer toutes permissions ACL
  • Les permissions seront réinitialisées en "Accès complet pour tous les utilisateurs"
  • Supprimer toutes permissions ACL
  • Les permissions seront réinitialisées en "Accès complet pour tous les utilisateurs"
B4. ACL activée ACL activée
  • Supprimer les permissions ACL héritées du dossier source
  • Supprimer les permissions ACL explicites
  • Appliquer permissions ACL héritées du dossier de destination
  • Supprimer les permissions ACL héritées du dossier source
  • Supprimer les permissions ACL explicites
  • Appliquer permissions ACL héritées du dossier de destination

Exceptions : lorsque des données sont supprimées d'un dossier partagé activé par ACL et déplacées vers la corbeille réseau, les règles de "B3" dans le tableau ci-dessus ne s'appliquent pas. Cela permet d'éviter la situation où les fichiers avec des permissions "Refuser l'accès" sont supprimés et déplacés vers la corbeille réseau, puis deviennent entièrement accessibles à tous les utilisateurs. En tenant compte de la confidentialité et de la sécurité, les fichiers des dossiers activés par ACL qui sont déplacés vers la corbeille réseau se verront attribuer l'autorisation "Lecture et écriture pour les propriétaires, Refuser l'accès pour tous les autres utilisateurs".


Permission de suppression de fichiers :

Il existe 2 autorisations associées à la suppression de fichiers :

  1. L'utilisateur dispose d'une permission explicite de « Supprimer » pour le fichier.
  2. L'utilisateur dispose de l'autorisation « Supprimer les Sous-Dossiers et fichiers » pour le dossier parent du fichier.

Si l'une des autorisations ci-dessus est configurée sur "Refuser", l'utilisateur ne pourra pas supprimer le fichier. Ce n'est que si aucune des autorisations ci-dessus n'a été configurée sur "Refuser" et au moins l'une d'entre elles a été configurée sur "Autoriser", que l'utilisateur pourra supprimer le fichier.


Droit d'accès des objets :

Une fois que Windows ACL a été activé pour un dossier partagé, chaque objet (sous-dossiers et fichiers) contenu dans le dossier aura un droit d'accès.

  • Vous pouvez afficher le droit d'accès pour un objet en le sélectionnant dans l'Explorateur de fichiers d’ADM, en cliquant dessus avec le bouton droit de la souris, puis en sélectionnant [Propriétés] . Il y aura un lien d'édition dans la section [Droits d'Accès Dossier Partagé] de l'onglet [Général].



La personne qui a le droit d'accès pourra configurer les permissions ACL pour cela. Par exemple, l'utilisateur admin dans le graphique ci-dessus est le propriétaire du dossier "ACL_Test". Par conséquent, admin pourra configurer les permissions ACL pour le dossier, le sous-dossier et les fichiers qu'il contient.
Pour chaque objet nouvellement ajouté, le créateur de l'objet sera défini comme les droits d'accès par défaut. De plus, les utilisateurs du groupe administrateur auront la possibilité de modifier les droits d'accès. Par exemple, si nous voulions transférer la propriété du dossier "ACL_Test" dans le graphique ci-dessus à d'autres utilisateurs (par exemple, testuser), admin et tous les utilisateurs du groupe administrateur auraient la possibilité de transférer la propriété. Une fois qu'testuser devient propriétaire du dossier "ACL_Test", elle pourra reconfigurer les permissions pour ses sous-dossiers et fichiers même si elle n'avait pas DE permissions d'accès pour eux à l'origine.




2.5 Déplacement d'objets vers votre NAS tout en conservant les permissions ACL

Lorsque tous les PC Windows et périphériques NAS d'un environnement réseau ont été ajoutés au même domaine Windows AD, tous les comptes d'utilisateurs et permissions sur le domaine peuvent être combinés. Cependant, lors du déplacement de fichiers ou de dossiers d'un serveur PC vers un NAS, les permissions ACL existantes ne seront pas conservées (en utilisant les règles de la section précédente). Cela oblige le personnel informatique à reconfigurer les autorisations.

Si vous souhaitez conserver les autorisations ACL existantes lors du déplacement de fichiers ou de dossiers vers votre NAS, vous pouvez utiliser Fastcopy, un logiciel tiers. Dans l'exemple ci-dessous, nous allons montrer comment utiliser Fastcopy.



  • Ouvrez Fastcopy.
  • [Source] : Spécifiez ici le dossier source.
  • [DestDir] : Indiquez ici le dossier de destination (le lecteur réseau mappé à l'étape précédente).
  • Cochez la case [ACL] pour vous assurer que Fastcopy conservera les autorisations ACL d'origine de vos fichiers lors de leur déplacement.
  • Cliquez sur [Exécuter] pour commencer à déplacer le dossier.


  • Une fois le dossier déplacé avec succès, toutes les données déplacées vers la destination conserveront leurs permission ACL de la source (y compris toutes les autorisations explicites et héritées). Ces données n'hériteront d'aucune permission de l'objet parent à la source.

Est-ce que cet article a été utile ? Oui / Non