Partage et autorisations NTFS
par Walter Oliver
Introduction
Les autorisations du serveur de fichiers doivent être implémentées avec soin pour fournir un accès approprié au contenu. Cela implique de verrouiller les autorisations sur le partage et les dossiers physiques.
Autorisations
Le tableau suivant répertorie les autorisations utilisées pour le partage et les dossiers du serveur de fichiers dans le programme d’installation d’hébergement partagé mentionné dans la section Planification de l’architecture d’hébergement web de l’aide sur l’hébergement. En fonction de l’environnement d’hébergement partagé utilisé, les administrateurs du serveur doivent développer leurs propres autorisations personnalisées répondant à leurs besoins.
Chemin d’accès | autorisations | Motif |
---|---|---|
\server\share$ (partage) | Administrateurs de domaine - Utilisateurs de domaine de contrôle total - Modifier MachineAccounts$ - Contrôle total | Les autorisations de partage doivent autoriser les administrateurs et les comptes de site à accéder au contenu. Le chemin d’accès physique sera limité aux autorisations réelles nécessaires. |
E :\Content (chemin d’accès physique du partage) | Administrateurs - Système de contrôle total - Contrôle total | Il s’agit du dossier partagé. Il n’a pas besoin d’autorisations pour les comptes en dehors du groupe Administrateurs intégré et du compte système. |
E :\Content\<sitename> (conteneur pour un site ou un utilisateur spécifique) | Administrateurs - Système de contrôle total - Propriétaire du site de contrôle total - Lister le contenu du dossier | Ce dossier est utilisé comme conteneur pour les dossiers tels que le répertoire de base du site et ses fichiers journaux. Le propriétaire du site doit être en mesure de lire ce dossier, mais n’a pas besoin d’un accès en écriture. |
E :\Content\<sitename> \wwwroot (répertoire de base IIS pour le site) | Administrateurs - Système de contrôle total - Propriétaire du site de contrôle total - Modifier le nom d’utilisateur du pool d’applications - Lecture | Il s’agit de la racine d’un site Web appartenant au compte d’utilisateur. Le nom d’utilisateur du pool d’applications est utilisé à la fois comme identité du pool d’applications et comme nom d’utilisateur anonyme du site Web. |
E :\Content\<sitename>\Logs (conteneur pour les journaux) | Administrateurs - Système de contrôle total - Propriétaire du site de contrôle total - Lecture | Notez que ce dossier pour les journaux est stocké AU-DESSUS de la racine du site, afin qu’il ne soit pas accessible par un visiteur parcourant le site. Pour des raisons de sécurité, il n’est pas recommandé de placer ce dossier dans un endroit accessible à partir d’un navigateur Web. |
E :\Content\<sitename>\Logs\FailedReqLogs (conteneur pour les journaux de suivi des demandes ayant échoué) | Administrateurs - Système de contrôle total - Nom d’utilisateur du pool d’applications de contrôle total - Contrôle total | Il s’agit du dossier utilisé pour stocker les fichiers journaux des demandes ayant échoué, ce qui permet au propriétaire d’un site de diagnostiquer les problèmes liés à son site web. Ces journaux d’activité sont écrits par l’identité du processus de travail, le nom d’utilisateur du pool d’applications. |
E :\Content\<sitename>\Logs\W3SVCLogFiles (conteneur pour les journaux de trafic W3SVC) | Administrateurs - Système de contrôle total - MachineAccount$ de contrôle total - Contrôle total | Il s’agit du dossier utilisé pour stocker les fichiers journaux pour le site Web, ce qui permet à un propriétaire de site de voir ses modèles de trafic. Si l’administrateur du serveur ne souhaite pas partager ces fichiers ou souhaite fournir une autre méthode pour déterminer le trafic, ces fichiers peuvent être stockés ailleurs. MachineAccount$ est le compte d’ordinateur du serveur Web, car ces journaux d’activité sont écrits par HTTP.SYS. |
Configuration des autorisations
Pour configurer des autorisations pour le partage
Dans l’Explorateur Windows, cliquez avec le bouton droit sur le dossier que vous souhaitez partager, puis cliquez sur Propriétés.
Dans l’onglet Partage, cliquez sur Partage avancé.
Dans Contrôle de compte d’utilisateur, cliquez sur Continuer pour accepter l’invite indiquant que Windows a besoin de votre autorisation pour effectuer l’action.
Dans la boîte de dialogue Partage avancé, cochez Partager ce dossier.
Définissez le Nom de partage et les Commentaires de manière appropriée. Pour masquer le partage, ajoutez un $ à la fin du nom du partage.
Remarque
Masquer un partage signifie que lorsque vous vous connectez à [\server]
(file://server/)
vous ne verrez pas le partage, sauf si vous entrez spécifiquement le chemin d’accès [\server\share$](file://server/share$)
.Cliquez sur Autorisations.
Dans la boîte de dialogue Autorisations, supprimez le groupe Tout le monde, s’il existe.
Ajoutez l’utilisateur ou le groupe approprié qui doit avoir accès au partage.
Spécifiez les autorisations (Contrôle total, Modification, Lecture) pour l’utilisateur ou le groupe.
Cliquez sur OK deux fois, puis sur Fermer pour fermer les boîtes de dialogue.
Pour configurer des autorisations pour la structure de dossiers
- Dans l’Explorateur Windows, cliquez avec le bouton droit sur le dossier que vous souhaitez partager, puis cliquez sur Propriétés.
- Sur l'onglet Sécurité , cliquez sur Modifier.
- Dans la boîte de dialogue Autorisations, ajoutez les utilisateurs ou groupes appropriés qui doivent avoir accès à chaque niveau de la structure de dossiers.
- Spécifiez les autorisations (Contrôle total, Modifier, Lire et exécuter, Lister le contenu du dossier, Lire, Écrire des autorisations spéciales) pour les utilisateurs ou les groupes.
- Cliquez sur OK à deux reprises pour fermer les boîtes de dialogue.
Consultez les exemples de scripts C# et PowerShell pour obtenir un exemple de script pour configurer des documents par défaut. En guise d’exemple de création d’un partage et de définition des autorisations.