Vue d’ensemble du contrôle d’accès
Cet article décrit le contrôle d’accès dans Windows, qui consiste à autoriser les utilisateurs, les groupes et les ordinateurs à accéder à des objets sur le réseau ou l’ordinateur. Les concepts clés qui composent le contrôle d’accès sont les suivants :
- Autorisations
- propriété des objets
- héritage des autorisations
- droits de l’utilisateur
- audit d’objets
Les ordinateurs qui exécutent une version prise en charge de Windows peuvent contrôler l’utilisation des ressources système et réseau par le biais des mécanismes interdépendants d’authentification et d’autorisation. Une fois qu’un utilisateur est authentifié, le système d’exploitation Windows utilise les technologies d’autorisation et de contrôle d’accès intégrées pour implémenter la deuxième phase de protection des ressources : déterminer si un utilisateur authentifié dispose des autorisations appropriées pour accéder à une ressource.
Les ressources partagées sont disponibles pour les utilisateurs et les groupes autres que le propriétaire de la ressource, et elles doivent être protégées contre toute utilisation non autorisée. Dans le modèle de contrôle d’accès, les utilisateurs et les groupes (également appelés principaux de sécurité) sont représentés par des identificateurs de sécurité uniques (SID). Ils se voient attribuer des droits et des autorisations qui informent le système d’exploitation de ce que chaque utilisateur et groupe peut faire. Chaque ressource a un propriétaire qui accorde des autorisations aux principaux de sécurité. Pendant la case activée de contrôle d’accès, ces autorisations sont examinées pour déterminer quels principaux de sécurité peuvent accéder à la ressource et comment y accéder.
Les principaux de sécurité effectuent des actions (notamment lecture, écriture, modification ou contrôle total) sur les objets. Les objets incluent des fichiers, des dossiers, des imprimantes, des clés de Registre et des objets services de domaine Active Directory (AD DS). Les ressources partagées utilisent des listes de contrôle d’accès (ACL) pour attribuer des autorisations. Cela permet aux gestionnaires de ressources d’appliquer le contrôle d’accès des manières suivantes :
- Refuser l’accès à des utilisateurs et des groupes non autorisés
- Définir des limites bien définies sur l’accès fourni aux utilisateurs et groupes autorisés
Les propriétaires d’objets accordent généralement des autorisations à des groupes de sécurité plutôt qu’à des utilisateurs individuels. Les utilisateurs et les ordinateurs ajoutés à des groupes existants supposent les autorisations de ce groupe. Si un objet (tel qu’un dossier) peut contenir d’autres objets (tels que des sous-dossiers et des fichiers), il est appelé conteneur. Dans une hiérarchie d’objets, la relation entre un conteneur et son contenu est exprimée en faisant référence au conteneur en tant que parent. Un objet dans le conteneur est appelé enfant, et l’enfant hérite des paramètres de contrôle d’accès du parent. Les propriétaires d’objets définissent souvent des autorisations pour les objets conteneur, plutôt que pour les objets enfants individuels, afin de faciliter la gestion du contrôle d’accès.
Ce jeu de contenu contient :
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge Access Control (ACL/SACL) :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Oui | Oui | Oui | Oui |
Les droits de licence Access Control (ACL/SACL) sont accordés par les licences suivantes :
| Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Oui | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Cas pratiques
Les administrateurs qui utilisent la version prise en charge de Windows peuvent affiner l’application et la gestion du contrôle d’accès aux objets et aux objets pour fournir la sécurité suivante :
- Protéger un plus grand nombre et une plus grande variété de ressources réseau contre toute utilisation incorrecte
- Approvisionner les utilisateurs pour qu’ils accèdent aux ressources d’une manière cohérente avec les stratégies organisationnelles et les exigences de leurs travaux
- Permettre aux utilisateurs d’accéder à des ressources à partir de différents appareils dans de nombreux emplacements
- Mettre à jour la capacité des utilisateurs à accéder régulièrement aux ressources à mesure que les stratégies d’un organization changent ou que les travaux des utilisateurs changent
- Tenir compte d’un nombre croissant de scénarios d’utilisation (tels que l’accès à partir d’emplacements distants ou à partir d’une variété d’appareils en expansion rapide, tels que les tablettes et les téléphones mobiles)
- Identifier et résoudre les problèmes d’accès lorsque les utilisateurs légitimes ne peuvent pas accéder aux ressources dont ils ont besoin pour effectuer leur travail
Autorisations
Les autorisations définissent le type d’accès accordé à un utilisateur ou à un groupe pour un objet ou une propriété d’objet. Par exemple, le groupe Finance peut se voir accorder des autorisations de lecture et d’écriture pour un fichier nommé Payroll.dat.
À l’aide de l’interface utilisateur de contrôle d’accès, vous pouvez définir des autorisations NTFS pour des objets tels que des fichiers, des objets Active Directory, des objets de Registre ou des objets système tels que des processus. Les autorisations peuvent être accordées à n’importe quel utilisateur, groupe ou ordinateur. Il est recommandé d’attribuer des autorisations à des groupes, car cela améliore les performances du système lors de la vérification de l’accès à un objet.
Pour n’importe quel objet, vous pouvez accorder des autorisations à :
- Groupes, utilisateurs et autres objets avec des identificateurs de sécurité dans le domaine.
- Groupes et utilisateurs dans ce domaine et tous les domaines approuvés.
- Groupes et utilisateurs locaux sur l’ordinateur où réside l’objet.
Les autorisations attachées à un objet dépendent du type de l’objet. Par exemple, les autorisations qui peuvent être attachées à un fichier sont différentes de celles qui peuvent être attachées à une clé de Registre. Toutefois, certaines autorisations sont communes à la plupart des types d’objets. Ces autorisations courantes sont les suivantes :
- Read
- Modifier
- Modifier le propriétaire
- Delete
Lorsque vous définissez des autorisations, vous spécifiez le niveau d’accès pour les groupes et les utilisateurs. Par exemple, vous pouvez laisser un utilisateur lire le contenu d’un fichier, laisser un autre utilisateur apporter des modifications au fichier et empêcher tous les autres utilisateurs d’accéder au fichier. Vous pouvez définir des autorisations similaires sur les imprimantes afin que certains utilisateurs puissent configurer l’imprimante et que d’autres utilisateurs puissent uniquement imprimer.
Lorsque vous devez modifier les autorisations sur un fichier, vous pouvez exécuter Windows Explorer, cliquer avec le bouton droit sur le nom de fichier, puis sélectionner Propriétés. Sous l’onglet Sécurité , vous pouvez modifier les autorisations sur le fichier. Pour plus d’informations, consultez Gestion des autorisations.
Remarque
Un autre type d’autorisations, appelé autorisations de partage, est défini sous l’onglet Partage de la page Propriétés d’un dossier ou à l’aide de l’Assistant Dossier partagé. Pour plus d’informations, consultez Partager et autorisations NTFS sur un serveur de fichiers.
Propriété des objets
Un propriétaire est affecté à un objet lors de la création de cet objet. Par défaut, le propriétaire est le créateur de l’objet. Quelles que soient les autorisations définies sur un objet, le propriétaire de l’objet peut toujours modifier les autorisations. Pour plus d’informations, consultez Gérer la propriété de l’objet.
Héritage des autorisations
L’héritage permet aux administrateurs d’attribuer et de gérer facilement des autorisations. Cette fonctionnalité entraîne automatiquement l’héritage des objets d’un conteneur de toutes les autorisations pouvant être héritées de ce conteneur. Par exemple, les fichiers d’un dossier héritent des autorisations du dossier. Seules les autorisations marquées comme héritées sont héritées.
Droits de l’utilisateur
Les droits des utilisateurs accordent des privilèges et des droits de connexion spécifiques aux utilisateurs et aux groupes dans votre environnement informatique. Les administrateurs peuvent attribuer des droits spécifiques à des comptes de groupe ou à des comptes d’utilisateur individuels. Ces droits autorisent les utilisateurs à effectuer des actions spécifiques, telles que la connexion à un système de manière interactive ou la sauvegarde de fichiers et de répertoires.
Les droits utilisateur sont différents des autorisations, car les droits utilisateur s’appliquent aux comptes d’utilisateur et les autorisations sont associées aux objets. Bien que les droits d’utilisateur puissent s’appliquer à des comptes d’utilisateur individuels, les droits d’utilisateur sont mieux administrés sur la base d’un compte de groupe. Il n’existe aucune prise en charge dans l’interface utilisateur de contrôle d’accès pour accorder des droits d’utilisateur. Toutefois, l’attribution des droits utilisateur peut être gérée par le biais des paramètres de sécurité locaux.
Pour plus d’informations sur les droits d’utilisateur, consultez Attribution de droits utilisateur.
Audit d’objet
Avec les droits d’administrateur, vous pouvez auditer l’accès des utilisateurs aux objets qui a réussi ou échoué. Vous pouvez sélectionner l’accès aux objets à auditer à l’aide de l’interface utilisateur de contrôle d’accès, mais vous devez d’abord activer la stratégie d’audit en sélectionnant Auditer l’accès aux objets sous Stratégies locales dans Paramètres de sécurité locaux. Vous pouvez ensuite afficher ces événements liés à la sécurité dans le journal de sécurité dans observateur d'événements.
Pour plus d’informations sur l’audit, consultez Vue d’ensemble de l’audit de sécurité.
Voir également
Pour plus d’informations sur le contrôle d’accès et l’autorisation, consultez Access Control et Vue d’ensemble de l’autorisation.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour