Le contrôle d’accès est le processus autorisant des utilisateurs, des groupes et des ordinateurs à accéder à des objets du réseau ou de l’ordinateur.
Pour comprendre et gérer le contrôle d’accès, vous devez comprendre la relation entre les éléments suivants :
- Objets (fichiers, imprimantes et autres ressources)
- Jetons d’accès
- Listes de contrôle d’accès (ACL) et entrées de contrôle d’accès (ACE)
- Sujets (utilisateurs ou applications)
- Système d’exploitation
- Autorisations
- Droits et privilèges d’utilisateurs
Pour qu’un sujet puisse accéder à un objet, il doit s’identifier auprès du sous-système de sécurité du système d’exploitation. Cette identité est contenue dans un jeton d’accès qui est recréé chaque fois qu’un sujet se connecte. Avant d’autoriser le sujet à accéder à un objet, le système d’exploitation vérifie si le jeton d’accès du sujet est autorisé à accéder à l’objet et à effectuer la tâche demandée. Pour cela, il compare les informations contenues dans le jeton d’accès aux entrées de contrôle d’accès de l’objet.
Les entrées de contrôle d’accès autorisent ou refusent un certain nombre de comportements différents, en fonction du type d’objet. Par exemple, un objet fichier peut inclure les options Lecture, Écriture et Exécution. Sur une imprimante, les entrées de contrôle d’accès disponibles incluent Imprimer, Gérer les imprimantes et Gérer les documents.
Les différentes entrées de contrôle d’accès d’un objet sont combinées dans une liste de contrôle d’accès. Le sous-système de sécurité consulte la liste de contrôle d’accès de l’objet à la recherche d’entrées de contrôle d’accès qui s’appliquent à l’utilisateur et aux groupes auxquels il appartient. Il parcourt chaque entrée de contrôle d’accès jusqu’à en trouver une qui autorise ou refuse l’accès à l’utilisateur ou à l’un de ses groupes, ou jusqu’à ce qu’il n’y ait plus d’entrées de contrôle d’accès à vérifier. S’il atteint la fin de la liste de contrôle d’accès et que l’accès demandé n’est toujours pas autorisé ou refusé de manière explicite, le sous-système de sécurité refuse l’accès à l’objet.
Autorisations
Les autorisations définissent le type d’accès accordé à un utilisateur ou à un groupe sur un objet ou une de ses propriétés. Par exemple, le groupe Comptabilité peut disposer d’autorisations d’accès en lecture et en écriture à un fichier appelé Paye.dat.
À l’aide de l’interface utilisateur du contrôle d’accès, vous pouvez définir des autorisations NTFS pour les objets tels que les fichiers, les objets Active Directory, les objets du Registre ou les objets système comme les processus. Les autorisations peuvent être accordées à n’importe quel utilisateur, groupe ou ordinateur. Il est recommandé d’affecter des autorisations aux groupes car cela améliore les performances du système lors de la vérification de l’accès à un objet.
Pour tout objet, vous pouvez accorder des autorisations à :
-
des groupes, des utilisateurs et autres objets dotés d’identificateurs de sécurité du domaine ;
-
des groupes et des utilisateurs de ce domaine et des éventuels domaines approuvés ;
-
des groupes et des utilisateurs locaux de l’ordinateur sur lequel l’objet réside.
Les autorisations attachées à un objet dépendent du type de ce dernier. Par exemple, les mêmes autorisations ne peuvent pas être attachées à un fichier et à une clé du Registre. Cependant, certaines autorisations sont communes à la plupart des types d’objets. Il s’agit des autorisations suivantes :
-
Lecture
-
Modification
-
Changement de propriétaire
-
Supprimer
Lorsque vous établissez des autorisations, vous définissez le niveau d’accès des groupes et des utilisateurs. Vous pouvez, par exemple, autoriser un utilisateur à lire le contenu d’un fichier, un autre à modifier ce fichier, et empêcher tous les autres utilisateurs d’y accéder. Vous pouvez établir des autorisations similaires dans le cas d’une imprimante afin que certains utilisateurs puissent la configurer et les autres uniquement imprimer des documents.
Lorsque vous devez modifier les autorisations d’un fichier, démarrez l’Explorateur Windows, cliquez avec le bouton droit sur le nom du fichier, puis cliquez sur Propriétés. Sous l’onglet Sécurité, vous pouvez modifier les autorisations du fichier. Pour plus d’informations, voir Gestion des autorisations.
 | Remarques |
|
Un autre type d’autorisations, appelées autorisations de partage, est défini sous l’onglet Partage de la page Propriétés d’un dossier ou via l’Assistant Dossier partagé. Pour plus d’informations, voir Partage et autorisations NTFS sur un serveur de fichier. |
Appropriation des objets
À la création d’un objet, le système lui affecte un propriétaire. Par défaut, il s’agit du créateur de l’objet. Quelles que soient les autorisations définies sur un objet, le propriétaire de l’objet peut toujours les modifier. Pour plus d’informations, voir Gestion de l’appropriation d’objet.
Héritage des autorisations
L’héritage permet aux administrateurs d’affecter et de gérer facilement les autorisations. Cette fonction permet aux objets d’un conteneur d’hériter automatiquement de toutes les autorisations héritables de ce conteneur. Par exemple, les fichiers d’un dossier peuvent hériter des autorisations de ce dossier lors de leur création. Seules les autorisations marquées en vue d’un héritage seront héritées.
Droits et privilèges d’utilisateurs
Les droits d’utilisateur accordent des privilèges spécifiques et des droits d’ouverture de session à des utilisateurs et des groupes de votre environnement informatique. Les administrateurs peuvent affecter des droits spécifiques à des comptes de groupes ou d’utilisateurs individuels. Ces droits autorisent les utilisateurs à effectuer des actions spécifiques, par exemple ouvrir une session interactive sur un système ou sauvegarder des fichiers et des répertoires.
Les droits de l’utilisateur sont différents des autorisations car ils s’appliquent à son compte alors que les autorisations sont liées à des objets. Bien que les droits de l’utilisateur puissent s’appliquer à des comptes d’utilisateurs individuels, il vaut mieux les administrer dans des comptes de groupe. L’interface utilisateur du contrôle d’accès ne prend pas en charge l’octroi de droits d’utilisateurs ; toutefois, l’affectation des droits d’utilisateurs peut être administrée par le biais du composant logiciel enfichable Stratégie de sécurité locale sous Stratégies locales\Attribution des droits utilisateur. Pour plus d’informations, voir Droits et privilèges d’utilisateurs.
Audit des objets
Si vous détenez des droits d’administrateur, vous pouvez auditer l’accès réussi ou infructueux des utilisateurs aux objets. Vous pouvez sélectionner le type d’accès aux objets à auditer à l’aide de l’interface utilisateur du contrôle d’accès, mais vous devez d’abord activer la stratégie d’audit en sélectionnant Auditer l’accès aux objets sous Stratégie locale\Stratégie d’audit\Stratégies locales dans le composant logiciel enfichable Stratégie de sécurité locale. Vous pouvez ensuite afficher ces événements liés à la sécurité dans le journal de sécurité via l’Observateur d’événements.
Références supplémentaires
- Pour plus d’informations sur l’autorisation et le contrôle d’accès, voir l’article relatif à la
collection de sécurité Windows (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=4565). - Pour plus d’informations sur la stratégie d’autorisation, voir l’article relatif à la
conception d’une stratégie d’autorisation des ressources (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=4734).