Autorisations et descripteurs de sécurité

Chaque conteneur et chaque objet du réseau sont liés à un ensemble d’informations de contrôle d’accès. Regroupées sous le nom de descripteur de sécurité, ces informations contrôlent le type d’accès autorisé aux utilisateurs et aux groupes. Le descripteur de sécurité est automatiquement créé avec le conteneur ou l’objet créé. Un fichier est un bon exemple d’objet avec descripteur de sécurité.

Les autorisations sont définies dans le descripteur de sécurité d’un objet. Les autorisations sont associées, ou affectées, à des utilisateurs et des groupes spécifiques. Par exemple, dans le cas du fichier Temp.dat, des autorisations Lecture, Écriture et Suppression peuvent être affectées au groupe Administrateurs intégrés tandis que seules des autorisations Lecture et Écriture sont affectées au groupe Opérateurs de sauvegarde.

Chaque affectation d’autorisations à un utilisateur ou groupe est représentée dans le système sous la forme d’une entrée de contrôle d’accès (ACE). L’ensemble des entrées d’autorisations d’un descripteur de sécurité constitue un ensemble d’autorisations ou liste de contrôle d’accès (ACL). Ainsi, dans le cadre d’un fichier Temp.dat, l’ensemble d’autorisations inclut deux entrées d’autorisations, l’une pour le groupe Administrateurs intégrés, l’autre pour le groupe Opérateurs de sauvegarde.

Autorisations explicites et autorisations héritées

Il existe deux types d’autorisations : les autorisations explicites et les autorisations héritées.

  • Les autorisations explicites sont celles définies soit par défaut sur les objets non-enfants au moment de la création de l’objet, soit par une action de l’utilisateur sur des objets non-enfants, parents ou enfants.

  • Les autorisations héritées sont celles qui sont communiquées à un objet par son parent. Les autorisations héritées sont plus faciles à gérer et restent cohérentes sur tous les objets d’un conteneur donné.

Par défaut, les objets d’un conteneur héritent à leur création des autorisations attribuées au conteneur. Par exemple, lorsque vous créez un dossier appelé MonDossier, tous les sous-dossiers et tous les fichiers créés dans ce dossier héritent automatiquement des autorisations qui lui ont été attribuées. Par conséquent, les autorisations du dossier MonDossier sont explicites et celles de ses sous-dossiers et fichiers sont héritées.

Remarques

Les autorisations Refuser héritées n’empêchent pas l’accès à un objet si celui-ci dispose d’une entrée d’autorisation Autoriser explicite. Les autorisations explicites sont prioritaires sur les autorisations héritées, y compris sur les autorisations Refuser héritées.

Références supplémentaires


Table des matières