À chaque objet est associé un ensemble d’autorisations effectives. L’onglet Autorisations effectives de la page de propriétés Paramètres de sécurité avancés répertorie les autorisations qui seraient accordées au groupe ou à l’utilisateur sélectionné uniquement sur la base des autorisations directement accordées par le biais de l’appartenance à un groupe. Vous pouvez faire appel à l’outil Autorisations effectives pour rechercher les autorisations dont dispose un utilisateur ou un groupe sur un objet.

Facteurs utilisés pour déterminer les autorisations effectives

Les facteurs suivants sont utilisés pour déterminer les autorisations effectives :

  • Appartenance au groupe global

  • Appartenance au groupe local

  • Autorisations locales

  • Privilèges locaux

  • Appartenance à un groupe universel

Facteurs non utilisés pour déterminer les autorisations effectives

Les identificateurs de sécurité (SID) reconnus suivants ne sont pas utilisés pour déterminer des autorisations effectives :

  • Ouverture de session anonyme

  • Tâche, Groupe créateur

  • Ligne

  • Enterprise Domain Controllers

  • Interactif

  • Réseau

  • Proxy

  • Restreint

  • Distant

  • Service

  • Système

  • Utilisateur Terminal Server

  • Une autre organisation

  • Cette organisation

De même, les autorisations de partage n’entrent pas dans le calcul des autorisations effectives. L’accès aux partages peut être refusé via les autorisations de partage même s’il est possible via les autorisations NTFS.

Facteurs non utilisés pour les objets accessibles à distance

Les facteurs suivants ne sont pas utilisés pour déterminer les autorisations effectives des objets accessibles à distance :

  • Appartenance au groupe local

  • Privilèges locaux

  • Autorisations de partage

Les autorisations effectives sont basées sur une évaluation locale de l’appartenance au groupe de l’utilisateur, des privilèges utilisateur et des autorisations. Si la ressource interrogée se trouve sur un ordinateur distant, les autorisations effectives affichées ne comprendront pas les autorisations accordées ou refusées à l’utilisateur par le biais d’un groupe local sur cet ordinateur.

Récupération des autorisations effectives

Toute récupération fidèle des informations présentées ci-dessus signifie obligatoirement que vous êtes autorisé à lire les informations d’appartenance à un groupe. Si l’utilisateur ou le groupe spécifié est un objet domaine, vous devez être autorisé à lire les informations de groupe de l’objet disponibles au sujet de ce domaine.

Important
  • Lorsque vous utilisez l’onglet Autorisations effectives pour déterminer les autorisations que possèdent un utilisateur pour certaines ressources d’un domaine, les résultats affichés dans l’interface utilisateur peuvent être incohérents par rapport aux autorisations réelles de l’utilisateur pour ces ressources. Ce problème se produit lorsque l’une des conditions suivantes est remplie :
    • Vous exécutez les outils d’administration à distance depuis le serveur de ressources.

    • Le compte d’utilisateur que vous utilisez pour exécuter les outils d’administration ne se trouve pas dans le même domaine que la ressource.

  • Pour éviter ce problème, vérifiez toujours les autorisations effectives localement sur un ordinateur qui héberge la ressource et assurez-vous que le compte d’utilisateur administratif utilisé pour exécuter l’outil se trouve dans le même domaine que la ressource.

Les autorisations de domaine applicables par défaut incluent notamment les points suivants :

  • Les administrateurs de domaine sont autorisés à lire les informations d’appartenance au sujet de tous les objets.

  • Les administrateurs locaux d’une station de travail ou d’un serveur autonome ne peuvent pas lire les informations d’appartenance d’un utilisateur du domaine.

Outil Autorisations effectives

Vous pouvez faire appel à l’outil Autorisations effectives pour rechercher les autorisations dont dispose un utilisateur ou un groupe sur un objet. Cet outil permet de calculer les autorisations octroyées à l’utilisateur ou au groupe spécifié. Le calcul tient compte des autorisations résultant de l’appartenance à un groupe, ainsi que des autorisations héritées de l’objet parent. Il examine également tous les groupes de domaine et les groupes locaux dont l’utilisateur ou le groupe est membre.

Le groupe Tout le monde reste inclus tant que l’utilisateur ou le groupe sélectionné n’est pas membre du groupe Ouverture de session anonyme.

Important
  • L’outil Autorisations effectives fournit uniquement une évaluation approximative des autorisations accordées à un utilisateur. Les autorisations réelles dont ce dernier dispose peuvent être différentes dans la mesure où l’octroi ou le refus d’octroi d’autorisations peut dépendre du mode de connexion de l’utilisateur. L’outil Autorisations effectives ne permet pas de déterminer les informations inhérentes à l’ouverture de session si l’utilisateur n’est pas connecté. C’est pourquoi les autorisations effectives qu’il permet d’afficher reflètent uniquement les autorisations spécifiées par l’utilisateur ou le groupe, et non celles spécifiées par l’ouverture de session.
  • Par exemple, si un utilisateur est connecté à cet ordinateur par le biais d’un dossier partagé, la session ouverte pour cet utilisateur est consignée en tant que session réseau. Vous pouvez accorder ou refuser des autorisations aux ID de sécurité (SID) réseau connus que l’utilisateur connecté reçoit, afin que ce dernier dispose de différentes autorisations selon le mode de connexion utilisé (localement ou par le biais du réseau).
  • Pour plus d’informations sur l’accord de l’accès pour les autorisations effectives, voir l’article 331951 de la Base de connaissances Microsoft (https://go.microsoft.com/fwlink/?LinkId=63270) (éventuellement en anglais).

Pour plus d’informations sur l’utilisation de l’outil Autorisations effectives, voir Afficher les autorisations effectives pour des fichiers et des dossiers.

Références supplémentaires

Table des matières