Partage SMB et Permissions NTFS
Maîtrisez le partage de fichiers Windows Server : protocole SMB, permissions de partage, permissions NTFS et bonnes pratiques.
Introduction
Le partage de fichiers est une fonctionnalité essentielle dans un environnement Windows Server. Ce cours couvre le protocole SMB, les permissions de partage et NTFS, leurs différences, et les bonnes pratiques pour sécuriser l'accès aux ressources réseau.
1. Le protocole SMB (Server Message Block)
SMB (Server Message Block) est le protocole réseau utilisé par Windows pour le partage de fichiers et d'imprimantes.
Lorsqu'on accède à un partage via \\NomServeur\NomPartage, on utilise le protocole SMB.
SMB fonctionne en mode client-serveur et permet l'accès aux ressources réseau depuis n'importe quel poste du réseau.
- Versions : SMB 1.0, 2.0, 2.1, 3.0, 3.1.1
- Port TCP : 445 (SMB direct) ou 137-139 (NetBIOS)
- Fonctionnalités : Partage de fichiers, imprimantes, communication inter-processus
2. Créer un partage SMB - Méthodes
Sous Windows Server, plusieurs méthodes permettent de créer un partage :
- Gestionnaire de serveurs : Méthode recommandée avec assistant complet
- Explorateur Windows : Clic droit > Propriétés > Partage avancé
- PowerShell : New-SmbShare pour automatisation
- Windows Admin Center : Interface web moderne
3. Créer un partage - Étapes détaillées
Via le Gestionnaire de serveurs :
- 1. Ouvrir "Services de fichiers et de stockage"
- 2. Sélectionner "Partages"
- 3. Cliquer "Tâches > Nouveau partage"
- 4. Choisir le profil : SMB - Rapide, Avancé ou Application
- 5. Spécifier l'emplacement du dossier
- 6. Définir le nom du partage
- 7. Configurer les options (énumération, cache, chiffrement)
- 8. Définir les permissions
- 9. Valider la création
Astuce : Partages masqués
Ajouter un $ à la fin du nom de partage le rend invisible lors de la découverte réseau. Exemple : Partage$ ne sera pas listé mais reste accessible via \\Serveur\Partage$
4. Options de partage importantes
Lors de la création d'un partage, plusieurs options sont disponibles :
- Énumération basée sur l'accès : Affiche uniquement les dossiers sur lesquels l'utilisateur a des droits
- Mise en cache : Fichiers hors connexion (déconseillé pour partages mutualisés)
- Chiffrement : Chiffrer l'accès aux données (SMB 3.0+)
- Limite d'utilisateurs simultanés : Contrôler le nombre de connexions
5. Permissions de partage
Les permissions de partage contrôlent l'accès aux ressources uniquement via le réseau.
Elles ne s'appliquent PAS aux utilisateurs connectés localement sur le serveur.
Elles sont définies sur la racine du partage et s'appliquent à toute l'arborescence.
- Lecture : Voir fichiers et sous-dossiers, lire données, exécuter programmes
- Modification : Lecture + ajouter, modifier, supprimer fichiers et dossiers
- Contrôle total : Modification + changer les permissions (NTFS uniquement)
6. Permissions NTFS
Les permissions NTFS sont des permissions locales appliquées au système de fichiers.
Elles s'appliquent localement ET à distance, contrairement aux permissions de partage.
Elles permettent un contrôle granulaire fichier par fichier, dossier par dossier.
- Lecture : Voir fichiers et propriétés
- Écriture : Créer fichiers et dossiers
- Lecture et exécution : Lire + exécuter programmes
- Modification : Lire, écrire, modifier, supprimer
- Contrôle total : Toutes permissions + changer propriétaire et permissions
7. Permissions NTFS avancées
Au-delà des permissions de base, NTFS offre des permissions avancées pour un contrôle fin :
- Parcourir le dossier / Exécuter le fichier
- Lister le dossier / Lire les données
- Attributs de lecture / Attributs étendus de lecture
- Création de fichiers / Écriture de données
- Création de dossiers / Ajout de données
- Suppression de sous-dossiers et fichiers
- Autorisation de lecture / Modification des autorisations
- Appropriation (prendre possession)
8. Différences : Partage vs NTFS
Comprendre les différences est crucial pour une gestion efficace des accès :
| Caractéristique | Permissions de partage | Permissions NTFS |
|---|---|---|
| Application | Accès réseau uniquement | Local ET réseau |
| Granularité | Dossier partagé complet | Fichier par fichier |
| Systèmes fichiers | NTFS, FAT, FAT32 | NTFS uniquement |
| Contrôle | Basique (3 niveaux) | Avancé (nombreux niveaux) |
| Configuration | Propriétés > Partage avancé | Propriétés > Sécurité |
9. Cumul des permissions - Règle d'or
Règle fondamentale : Lorsque les permissions de partage et NTFS sont utilisées ensemble, la permission la plus restrictive l'emporte.
- Accès local : Seules les permissions NTFS s'appliquent
- Accès réseau : Les deux se cumulent, la plus restrictive gagne
- Entre permissions NTFS : Les permissions se combinent (cumul)
Exemple concret
Partage : "Contrôle total" pour Utilisateur1 + NTFS : "Lecture" pour Utilisateur1 = L'utilisateur aura uniquement "Lecture" (la plus restrictive).
10. Héritage des permissions NTFS
Par défaut, les sous-dossiers et fichiers héritent des permissions du dossier parent.
Les permissions héritées sont identifiables par leurs coches grisées.
- Permissions explicites : Définies directement sur l'objet
- Permissions héritées : Héritées du dossier parent
- Casser l'héritage : Sécurité > Avancé > Désactiver l'héritage
- Options : Convertir en explicite ou supprimer les permissions héritées
11. Accès effectif - Outil de diagnostic
L'accès effectif permet de vérifier les permissions réellement appliquées pour un utilisateur ou groupe.
- Propriétés > Sécurité > Avancé > Onglet "Accès effectif"
- Sélectionner un utilisateur ou groupe
- Afficher les permissions réelles après cumul
- Identifier les permissions limitées par le partage ou NTFS
12. Bonnes pratiques de sécurité
Suivre ces bonnes pratiques garantit une gestion sécurisée des partages :
- Ne JAMAIS utiliser "Tout le monde" : Créer des groupes spécifiques
- Utiliser des GROUPES, pas des utilisateurs : Facilite la gestion
- Principe du moindre privilège : Donner uniquement les droits nécessaires
- Partages masqués ($) : Pour partages administratifs ou internes
- Désactiver héritage à la racine : Permissions explicites sur le partage
- Auditer régulièrement : Vérifier les permissions périodiquement
- Pas de "Contrôle total" utilisateurs : Réserver aux administrateurs
13. Méthode AGDLP - Introduction
La méthode AGDLP est une bonne pratique Microsoft pour gérer les permissions dans Active Directory.
Accounts (Comptes) → Global groups (Groupes globaux) → Domain Local groups (Groupes locaux de domaine) → Permissions
- 1. Ajouter les utilisateurs dans des groupes globaux
- 2. Ajouter les groupes globaux dans des groupes locaux de domaine
- 3. Attribuer les permissions aux groupes locaux de domaine
- 4. Cette méthode sera détaillée dans un cours dédié
14. Recommandation pratique simple
Pour simplifier la gestion tout en restant sécurisé :
- Permissions de partage : Mettre "Contrôle total" pour "Tout le monde"
- Permissions NTFS : Gérer finement tous les droits d'accès
- Avantage : Un seul ensemble de permissions à gérer (NTFS)
- Résultat : Mêmes droits en local et à distance
Points clés à retenir
Pour aller plus loin - Pratique
IT-Connect propose d'excellentes vidéos pratiques sur le sujet pour vous entraîner :
IT-Connect propose d'excellents tutoriels pratiques sur l'administration Windows Server.
Visiter la chaîne IT-Connect