Apprenez à utiliser Windows ACL pour gérer les autorisations d'accès aux données de votre NAS ASUSTOR.

OBJECTIFS DU COURS

Une fois ce cours terminé, vous devriez être en mesure d’:

1. Comprendre les principes de base de l'utilisation de Windows ACL avec votre NAS ASUSTOR.
2. Utiliser Windows ACL pour gérer les autorisations d'accès aux données sur votre NAS ASUSTOR.

PRÉ-REQUIS

Cours pré-requis :

NAS 106: Utiliser le NAS avec Microsoft Windows

Les étudiants doivent avoir une connaissance pratique de :

Dossiers Partagés, Contrôle d'Accès

SOMMAIRE

1. Introduction à Windows ACL

1.1 Dois-je activer Windows ACL?

2. Configuration de la liste de contrôle d'accès Windows

2.1 Activer Windows ACL

2.2 Configurer les autorisations Windows ACL avec l'Explorateur de Fichiers

2.3 Configurer les autorisations Windows ACL avec l'Explorateur Windows

2.4 Règles et précautions d'autorisation Windows ACL

2.5 Déplacer des objets vers votre NAS tout en conservant les autorisations ACL

1. Introduction à Windows ACL

Windows ACL comprend les 13 différents types d'autorisations de fichiers conçus par Microsoft pour les systèmes de fichiers NTFS qui peuvent être appliqués à des utilisateurs et des groupes spécifiques. Dans ce type d'infrastructure, les administrateurs peuvent effectuer des configurations d'autorisation d'accès plus détaillées et plus précises.

De plus, dans l'infrastructure de domaine Windows AD (largement utilisée par les entreprises), les autorisations Windows ACL peuvent être appliquées à tous les utilisateurs et groupes du domaine. Les utilisateurs peuvent utiliser n'importe quel ordinateur du réseau pour se connecter, et tant qu'ils utilisent le même nom de compte, toutes les autorisations resteront les mêmes. Le personnel informatique n'aura pas besoin de configurer les autorisations pour chaque serveur et poste de travail PC, ce qui augmentera considérablement l’efficience.

Afin d'intégrer plus étroitement le NAS ASUSTOR aux domaines AD, en simplifiant la gestion informatique et en augmentant la productivité, ASUSTOR a profondément intégré le système d'autorisations Windows ACL avec ADM, offrant les fonctionnalités uniques suivantes :

1. La possibilité d'activer Windows ACL pour des dossiers partagés individuels.
2. Prise en charge complète des 13 types d'autorisations ACL Windows.
3. Possibilité d'afficher en détail les autorisations effectives ACL Windows depuis ADM.
4. Prise en charge des utilisateurs et des groupes du réseau.
5. Possibilité d'appliquer des autorisations ACL à Samba, à l’Explorateur de fichiers, AFP, FTP, WebDAV, Rsync.

1.1 Do I need to enable Windows ACL?

Comme décrit dans la section précédente, Windows ACL fournit jusqu'à 13 paramètres d'autorisation différents qui peuvent être appliqués à tous les utilisateurs et groupes sur le NAS et sur le domaine (si le NAS a été ajouté à un domaine Windows AD). En cas de planification ou de configuration incorrecte des autorisations, il est possible que tous les utilisateurs ne puissent pas accéder à un certain dossier ou fichier. Évidemment, ce type d'erreur peut être résolu en utilisant un compte administrateur, mais le temps perdu entre le moment où le problème survient et sa résolution peut être considéré comme un coût intangible important pour les entreprises.

Le NAS ASUSTOR a été développé sur la base du système d'exploitation Linux, de sorte que les paramètres natifs d'ADM utilisent le mécanisme de gestion des autorisations Linux :

• Permissions applicables : RW (Lecture Ecriture), RO (Lecture Seule), DA (Accès refusé)
• Les permissions peuvent être appliquées à : « Propriétaire », le groupe dont le propriétaire fait partie et « Autre ».

Le plus petit nombre d'options permet une configuration plus simple. Cependant, la flexibilité et l'adaptabilité des autorisations sont très limitées. Par exemple, lors de l'utilisation du mécanisme d'autorisations Linux, il n'est pas possible de donner à un utilisateur la possibilité de modifier un fichier sans lui donner l'autorisation de supprimer le fichier.

Si vous n'utilisez votre NAS qu'entre vous et un nombre limité de membres de votre famille et d'amis, il est recommandé d'utiliser le mécanisme de gestion des autorisations d'origine d'ADM. Cependant, si votre NAS est utilisé pour le stockage de données professionnelles, il est conseillé de consulter d'abord votre personnel informatique pour décider s'il est approprié d'activer les autorisations Windows ACL, puis de compléter un plan de déploiement des autorisations si vous décidez de l'utiliser.

Nous vous offrons la possibilité d'activer ou de désactiver Windows ACL pour des dossiers partagés individuellement, ce qui est très utile pour l'évaluation et la planification. Vous pouvez créer un dossier partagé pour les tests, activer Windows ACL, puis configurer les paramètres des permissions. Ensuite, vous pouvez vérifier si les résultats sont ceux que vous escomptiez Une fois que vous obtenez les résultats dont vous avez besoin, vous pouvez ensuite appliquer les paramètres au dossier partagé de votre choix. Cela vous permet d'éviter toute erreur ou erreur de planification qui pourrait empêcher l'accès à des données importantes, affectant le fonctionnement de votre entreprise.

2. Configuration de la liste de contrôle d'accès Windows

2.1 Activation de Windows ACL

Création d'un nouveau dossier partagé :

• Connectez-vous à votre ADM avec un compte administrateur à l'aide de votre navigateur web.
• Sélectionnez Dossiers Partagés au sein de Contrôle d'Accès.
• Cliquez sur Ajouter.

• Saisissez un nom pour votre nouveau dossier partagé puis cliquez sur [Suivant].

• Après avoir défini les droits d'accès pour le dossier partagé, cochez la case [Activer Windows ACL] puis cliquez sur [Suivant].

  Remarque : Les droits d'accès aux dossiers partagés constituent la première couche de vérification des permissions. Si un utilisateur ou un groupe n'a pas reçu de permission/autorisation "Lecture écriture, toutes les autorisations Windows ACL qui lui sont attribuées seront bloquées. Par conséquent, il est recommandé de configurer des droits d'accès plus indulgents pour les dossiers partagés sur lesquels Windows ACL est activé, puis d'utiliser Windows ACL pour configurer ultérieurement des autorisations plus spécifiques. Cliquez sur [Terminer] pour terminer la création du dossier partagé.

• Sélectionnez [Sauter] et cliquez sur [Suivant].

• Confirmez vos paramètres puis cliquez sur [Finir].

Activer Windows ACL pour les dossiers partagés déjà existants :

• Sélectionnez Dossiers Partagés au sein de Contrôle d'Accès.
• Sélectionnez le dossier partagé pour lequel vous souhaitez activer Windows ACL, puis cliquez sur [Editer]

• Sélectionnez [Windows ACL].
• Sélectionnez [Activer Windows ACL], puis cliquez sur [Fermer].

2.2 Configuration des permissions Windows ACL avec ADM Explorateur de Fichiers

• Sur le bureau ADM, sélectionnez [Explorateur de fichiers].
• Sélectionnez un dossier partagé (ou un sous-dossier ou un fichier) pour lequel vous avez activé Windows ACL. Cliquez avec le bouton droit sur le dossier partagé, puis sélectionnez [Propriétés].

• Sélectionnez l'onglet [Permissions] . Ici, vous pourrez voir les permissions actuellement configurées pour le dossier.

Après avoir activé Windows ACL pour un dossier partagé, le système attribuera par défaut les permissions « Lecture et écriture », mais ne peut pas supprimer » à « Tout le monde », « Administrateurs » et le compte « admin ». Ces permissions seront appliquées au dossier partagé uniquement et ne seront pas héritées par les objets ci-dessous sous la mention « non héritées ». Ces permissions par défaut peuvent être modifiées à l'aide des boutons [Editer] ou [Supprimer].

Remarque : Un fichier ou dossier individuel peut utiliser jusqu'à 250 autorisations ACL Windows (y compris les autorisations héritées).

• Inclure les permissions pouvant être héritées du parent de cet objet :
  Cette option est activée par défaut. Le système configurera automatiquement les sous-dossiers et les fichiers pour hériter des permissions de l'objet au-dessus. La désactivation de cette option rejettera toutes les permissions pouvant être héritées et ne conservera que les permissions nouvellement ajoutées.
• Remplacer toutes les permissions de l’objet enfant avec les permissions héritées de cet objet :
  l'activation de cette option remplacera toutes les autorisations de sous-dossier et de fichier par celles de l'objet parent.

Les fonctions de gestion que vous pourrez utiliser ici sont les suivantes :

Ajouter :

• Cliquez sur le bouton [Ajouter] pour créer une nouvelle permission pour l'objet.

• Utilisateur ou groupe :
  Spécifiez l'utilisateur ou le groupe auquel vous souhaitez appliquer la permission

• Type :
  Sélectionnez [Autoriser] ou [Refuser] pour accorder ou refuser la permission à l'utilisateur ou au groupe.
• Appliquer à :
  Cette option n'apparaîtra que lors de l'ajout de permissions à un dossier. Dans le menu déroulant, vous pouvez sélectionner où la permission sera appliquée. La manière dont la permission sera appliquée sera déterminée par le fait que vous cochez ou non la case [Appliquer ces permissions aux objets et/ou contenants au sein du contenant uniquement].
• Appliquer ces permissions aux objets et/ou contenants au sein du contenant uniquement :
  • Lorsque l'option n'est pas cochée :

    Appliquer à	Appliquer la permission au dossier actuel	Appliquer la permission aux sous-dossiers du dossier actuel	Appliquer la permission aux fichiers du dossier actuel	Appliquer la permission à tous les sous-dossiers suivants	Appliquer la permission aux fichiers dans tous les sous-dossiers suivants
    Ce dossier uniquement
    Ce dossier, ses sous-dossiers et ses fichiers
    Ce dossier et ses sous-dossiers
    Ce dossier et ses fichiers
    Sous-dossiers et fichiers uniquement
    Sous-dossiers uniquement
    Fichiers uniquement

  • Lorsque l'option est cochée :

    Appliquer à	Appliquer la permission au dossier actuel	Appliquer la permission aux sous-dossiers du dossier actuel	Appliquer la permission aux fichiers du dossier actuel	Appliquer la permission à tous les sous-dossiers suivants	Appliquer la permission aux fichiers dans tous les sous-dossiers suivants
    Ce dossier uniquement
    Ce dossier, ses sous-dossiers et ses fichiers
    Ce dossier et ses sous-dossiers
    Ce dossier et ses fichiers
    Sous-dossiers et fichiers uniquement
    Sous-dossiers uniquement
    Fichiers uniquement

Editer :

• Sélectionner une permission puis cliquer sur le bouton [Éditer] vous permettra de éditer la permission.

Supprimer :

• Sélectionner une permission puis cliquer sur [Supprimer] supprimera la permission de l'objet actuel.

Permissions effectives :

• Cliquer sur le bouton [Permissions effectives] puis sélectionner un utilisateur dans la liste vous permettra d'afficher les permissions effectives de l'utilisateur concernant le dossier ou le fichier spécifié. Les permissions effectives sont déterminées à partir de la combinaison des permissions ACL Windows et des droits d'accès aux dossiers partagés.

2.3 Configuration des autorisations Windows ACL avec l'Explorateur Windows

Tout d'abord, utilisez un compte administrateur de Windows pour mapper un dossier partagé compatible Windows ACL en tant que lecteur réseau. Pour plus d'informations, consultez NAS 106: Utiliser le NAS avec Microsoft Windows.

• Cliquez avec le bouton droit sur n'importe quel fichier ou sous-dossier dans le dossier partagé, puis sélectionnez [Propriétés].

• Sélectionnez ensuite l’onglet [Sécurité] . Ici, vous pourrez voir une liste d'utilisateurs et de groupes et leurs autorisations ACL pour le fichier ou le sous-dossier.

Si un objet a simultanément hérité des permissions de son parent et également des permissions explicites, les permissions héritées seront cochées en gris tandis que les permissions explicites seront cochées en noir.

• Cliquez sur [Editer] [Ajouter].

• Dans le champ [Depuis cet emplacement :], vous devriez voir les informations suivantes :
  • Si le NAS a été ajouté à un domaine Windows AD, vous verrez le nom de domaine AD.
  • Si le NAS n'a pas été ajouté à un domaine Windows AD, vous verrez l'adresse IP du NAS.

• Dans le champ [Saisir les noms d'objets à sélectionner] , saisissez les informations suivantes :
  • Si le NAS a été ajouté à un domaine Windows AD, saisissez le nom d'utilisateur ou de groupe du domaine, puis cliquez sur [Vérifier les noms] afin de vérifier le nom de l'utilisateur/du groupe. Ensuite, cliquez sur [OK].
  • Si le NAS n'a pas été ajouté à un domaine Windows AD, saisissez le nom de l'utilisateur ou du groupe local ADM, puis cliquez sur [Vérifier le nom] afin de vérifier le nom de l'utilisateur/du groupe. Ensuite, cliquez sur [OK].

• Maintenant, vous devriez pouvoir voir l'utilisateur ou le groupe nouvellement ajouté dans la liste [Groupe ou nom d’utilisateur:]. Sélectionnez l'utilisateur ou le groupe, puis utilisez les cases à cocher [Autoriser] et [Refuser] pour configurer leurs permissions d'accès à l'objet. Une fois que vous avez terminé, cliquez sur [Appliquer].

2.4 Règles et précautions de permissions de Windows ACL

Permissions ACL conflictuelles :

• Si vous rencontrez des permissions ACL Windows conflictuelles, les permissions explicites de l'objet seront prioritaires. Par exemple, si l'utilisateur "testuser" hérite des permissions "Autoriser la lecture et l'exécution" pour un fichier mais que les permissions explicites données pour le fichier sont "Refuser la lecture et l'exécution", alors "testuser" ne pourra pas accéder au fichier.
• Inversement, si "testuser" hérite des permissions "Refuser la lecture" mais que la permission explicite accordée au fichier est "Autoriser la lecture", alors "testuser" pourra accéder au fichier.

Règles de déplacement de fichiers et de dossiers :

Exceptions : lorsque des données sont supprimées d'un dossier partagé activé par ACL et déplacées vers la corbeille réseau, les règles de "B3" dans le tableau ci-dessus ne s'appliquent pas. Cela permet d'éviter la situation où les fichiers avec des permissions "Refuser l'accès" sont supprimés et déplacés vers la corbeille réseau, puis deviennent entièrement accessibles à tous les utilisateurs. En tenant compte de la confidentialité et de la sécurité, les fichiers des dossiers activés par ACL qui sont déplacés vers la corbeille réseau se verront attribuer l'autorisation "Lecture et écriture pour les propriétaires, Refuser l'accès pour tous les autres utilisateurs".

Permission de suppression de fichiers :

Il existe 2 autorisations associées à la suppression de fichiers :

1. L'utilisateur dispose d'une permission explicite de « Supprimer » pour le fichier.
2. L'utilisateur dispose de l'autorisation « Supprimer les Sous-Dossiers et fichiers » pour le dossier parent du fichier.

Si l'une des autorisations ci-dessus est configurée sur "Refuser", l'utilisateur ne pourra pas supprimer le fichier. Ce n'est que si aucune des autorisations ci-dessus n'a été configurée sur "Refuser" et au moins l'une d'entre elles a été configurée sur "Autoriser", que l'utilisateur pourra supprimer le fichier.

Droit d'accès des objets :

Une fois que Windows ACL a été activé pour un dossier partagé, chaque objet (sous-dossiers et fichiers) contenu dans le dossier aura un droit d'accès.

• Vous pouvez afficher le droit d'accès pour un objet en le sélectionnant dans l'Explorateur de fichiers d’ADM, en cliquant dessus avec le bouton droit de la souris, puis en sélectionnant [Propriétés] . Il y aura un lien d'édition dans la section [Droits d'Accès Dossier Partagé] de l'onglet [Général].

La personne qui a le droit d'accès pourra configurer les permissions ACL pour cela. Par exemple, l'utilisateur admin dans le graphique ci-dessus est le propriétaire du dossier "ACL_Test". Par conséquent, admin pourra configurer les permissions ACL pour le dossier, le sous-dossier et les fichiers qu'il contient.
Pour chaque objet nouvellement ajouté, le créateur de l'objet sera défini comme les droits d'accès par défaut. De plus, les utilisateurs du groupe administrateur auront la possibilité de modifier les droits d'accès. Par exemple, si nous voulions transférer la propriété du dossier "ACL_Test" dans le graphique ci-dessus à d'autres utilisateurs (par exemple, testuser), admin et tous les utilisateurs du groupe administrateur auraient la possibilité de transférer la propriété. Une fois qu'testuser devient propriétaire du dossier "ACL_Test", elle pourra reconfigurer les permissions pour ses sous-dossiers et fichiers même si elle n'avait pas DE permissions d'accès pour eux à l'origine.

2.5 Déplacement d'objets vers votre NAS tout en conservant les permissions ACL

Lorsque tous les PC Windows et périphériques NAS d'un environnement réseau ont été ajoutés au même domaine Windows AD, tous les comptes d'utilisateurs et permissions sur le domaine peuvent être combinés. Cependant, lors du déplacement de fichiers ou de dossiers d'un serveur PC vers un NAS, les permissions ACL existantes ne seront pas conservées (en utilisant les règles de la section précédente). Cela oblige le personnel informatique à reconfigurer les autorisations.

Si vous souhaitez conserver les autorisations ACL existantes lors du déplacement de fichiers ou de dossiers vers votre NAS, vous pouvez utiliser Fastcopy, un logiciel tiers. Dans l'exemple ci-dessous, nous allons montrer comment utiliser Fastcopy.

• Tout d'abord, utilisez un compte administrateur de Windows pour mapper un dossier partagé compatible Windows ACL en tant que lecteur réseau. Pour plus d'informations, consultez NAS 106: Utiliser le NAS avec Microsoft Windows.

• Ouvrez Fastcopy.
• [Source] : Spécifiez ici le dossier source.
• [DestDir] : Indiquez ici le dossier de destination (le lecteur réseau mappé à l'étape précédente).
• Cochez la case [ACL] pour vous assurer que Fastcopy conservera les autorisations ACL d'origine de vos fichiers lors de leur déplacement.
• Cliquez sur [Exécuter] pour commencer à déplacer le dossier.

• Une fois le dossier déplacé avec succès, toutes les données déplacées vers la destination conserveront leurs permission ACL de la source (y compris toutes les autorisations explicites et héritées). Ces données n'hériteront d'aucune permission de l'objet parent à la source.