Créer des permissions au niveau share, NTFS et globales, efficaces n’est pas simple. On oscille entre deux risques : un accès trop laxiste ou, à l’inverse, le message Access Denied tant redouté pour les utilisateurs de plein droit. La règle empirique pour déterminer des permissions effectives est celle du «
6. Savoir déterminer les permissions effacées
lâche, lâche, serré ».
Le premier lâche concerne les permissions sur les dossiers. Quand, à cause de l’appartenance à un groupe, un utilisateur a des permissions différentes aux niveaux des dossiers et des fichiers NTFS, la permission sur le fichier ou le dossier est la moins restrictive de toutes les permissions attribuées à un utilisateur ou à ses groupes d’appartenance.
Ainsi, un utilisateur qui a des permissions List sur les fichiers et les dossiers en raison de l’appartenance à un groupe et des permissions Read en vertu de l’appartenance à un autre groupe, aura en réalité la plus libérale de ces deux permissions (c’est-à-dire, des permissions Read).
Remarque: Quand on crée un dossier partagé, il faut accorder aux utilisateurs au moins des permissions NTFS List ou Read sur le dossier racine que l’on a utilisé pour créer le share. Faute d’accorder des permissions List ou Read, les utilisateurs obtiendront un message Access Denied même si les permissions share et les autres permissions NTFS sur les sous-dossiers semblent correctes, parce qu’ils n’ont pas l’autorisation de creuser au travers du dossier partagé jusqu’à la destination finale.
Le second lâche concerne les permissions share. Quand un utilisateur a différentes permissions share en raison de son appartenance au groupe, la permission au niveau share réelle est la moins restrictive de toutes les permissions accordées à un utilisateur ou aux groupes auxquels il appartient.
Ainsi, un utilisateur avec des permissions Read et Change sur un certain partage aura des permissions Change sur ce partage parce que c’est le moins restrictif des deux paramètres. Le serré s’applique aux permissions effectives qui résultent des permissions sur les dossiers et des permissions sur les partages. Notre utilisateur modèle a des permissions Read au niveau NTFS et des permissions Change au niveau partage. La permission globale effective est la plus restrictive des deux paramètres : Read, dans notre exemple.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
