📂 Partages, NTFS et DFS
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B2 — Administration Systèmes & Réseaux |
| Module | M2.1 — Administration Windows Server |
| Prérequis | Active Directory (C2.1.1), Utilisateurs & GPO (C2.1.2) |
🎯 Objectifs
- Différencier les permissions NTFS et les permissions de partage
- Comprendre l'héritage et les permissions effectives
- Créer et gérer des dossiers partagés via GUI, ligne de commande et PowerShell
- Mettre en œuvre DFS et DFS-R pour centraliser et répliquer les partages
- Configurer les quotas FSRM et l'audit d'accès
📖 Permissions NTFS vs permissions de partage
Sous Windows Server, deux systèmes de permissions coexistent pour contrôler l'accès aux fichiers et dossiers. Il est essentiel de bien comprendre leur différence et leur interaction.
| Caractéristique | Permissions NTFS | Permissions de partage |
|---|---|---|
| S'appliquent | En local ET via le réseau | Uniquement via le réseau |
| Granularité | Fine (13 permissions spéciales) | Grossière (Lecture, Modification, Contrôle total) |
| Héritage | Oui (dossier parent → enfants) | Non |
| S'appliquent aux | Fichiers et dossiers sur volume NTFS | Dossiers partagés uniquement |
| Combinaison | Lorsqu'un accès réseau est effectué, la permission la plus restrictive entre NTFS et partage s'applique | |
Attribuez Contrôle total au niveau du partage pour le groupe « Utilisateurs authentifiés » et gérez finement les droits via les permissions NTFS uniquement. Cela simplifie l'administration en centralisant la gestion des droits.
Permissions NTFS standards
| Permission | Description |
|---|---|
| Contrôle total | Toutes les opérations, y compris modifier les permissions et prendre possession |
| Modification | Lire, écrire, modifier et supprimer des fichiers/dossiers |
| Lecture et exécution | Lire le contenu et exécuter les programmes |
| Afficher le contenu du dossier | Lister les fichiers d'un dossier (dossiers uniquement) |
| Lecture | Lire le contenu des fichiers et les attributs |
| Écriture | Créer des fichiers/dossiers, modifier le contenu |
📖 Héritage et permissions effectives
Par défaut, les permissions NTFS sont héritées du dossier parent vers les sous-dossiers et fichiers enfants. Ce mécanisme permet d'appliquer une politique de sécurité de manière cohérente sur toute une arborescence.
- Désactiver l'héritage : clic droit → Propriétés → Sécurité → Avancé → « Désactiver l'héritage ». Deux options : copier les permissions héritées ou les supprimer
- Permissions explicites vs héritées : les permissions explicites (définies directement) prennent toujours le dessus sur les permissions héritées
- Refuser vs Autoriser : une permission « Refuser » l'emporte toujours sur « Autoriser » (sauf exception rare avec les permissions explicites)
Pour vérifier les permissions effectives d'un utilisateur :
icacls "D:\Partages\Comptabilité"
Ou via l'onglet Accès effectif dans les propriétés de sécurité avancées.
📖 Dossiers partagés : création
Via l'interface graphique (GUI)
Clic droit sur le dossier → Propriétés → Partage → Partage avancé → cocher « Partager ce dossier ». Définir le nom du partage et les permissions de partage.
Via la commande net share
net share Compta$=D:\Partages\Comptabilité /grant:"IRIS\DL_Compta_RW",CHANGE /grant:"IRIS\DL_Compta_RO",READ
Le $ à la fin du nom rend le partage masqué (invisible dans l'explorateur réseau mais accessible directement via le chemin UNC).
Via PowerShell
New-SmbShare -Name "Compta$" -Path "D:\Partages\Comptabilité" -FullAccess "IRIS\DL_Compta_RW" -ReadAccess "IRIS\DL_Compta_RO"
📖 Bonnes pratiques de structure de partages
- Créer un dossier racine unique (ex :
D:\Partages) contenant tous les sous-dossiers partagés - Utiliser la stratégie AGDLP pour l'attribution des permissions
- Nommer les partages de manière descriptive (ex :
Comptabilité,RH,Commun) - Utiliser des partages masqués (
$) pour les partages administratifs - Documenter les permissions dans un tableau de droits
📖 ABE (Access-Based Enumeration)
L'Access-Based Enumeration masque automatiquement les fichiers et dossiers auxquels un utilisateur n'a pas accès. Sans ABE, un utilisateur voit tous les dossiers du partage même s'il ne peut pas les ouvrir, ce qui est source de confusion et de tickets de support.
Activation via PowerShell :
Set-SmbShare -Name "Partages" -FolderEnumerationMode AccessBased
Ou via le Gestionnaire de serveur → Services de fichiers → Partages → Propriétés → cocher « Activer l'énumération basée sur l'accès ».
📖 DFS — Distributed File System
Espaces de noms DFS (DFS-N)
DFS Namespaces permet de regrouper des partages situés sur différents serveurs sous un chemin UNC unique. Au lieu d'accéder à \\SRV-FILES1\Compta et \\SRV-FILES2\RH, les utilisateurs accèdent à :
\\iris-formation.local\Partages\Comptabilité\\iris-formation.local\Partages\RH
Cela offre une transparence totale : si un serveur est remplacé ou migré, seul le lien DFS est modifié, sans impact pour les utilisateurs.
| Type d'espace de noms | Description |
|---|---|
| Basé sur le domaine | Stocké dans AD, haute disponibilité, chemin : \\domaine\racine |
| Autonome | Stocké sur un serveur unique, pas de redondance, chemin : \\serveur\racine |
DFS-R (Réplication)
DFS Replication synchronise le contenu de dossiers entre plusieurs serveurs de manière efficace grâce à la compression différentielle à distance (RDC). Seuls les blocs modifiés sont transmis, réduisant considérablement la bande passante utilisée.
Cas d'usage typiques :
- Réplication des données entre sites géographiques pour la continuité d'activité
- Réplication du dossier SYSVOL entre les contrôleurs de domaine
- Mise en place de cibles multiples dans un espace de noms DFS pour la haute disponibilité
DFS-R n'est pas une solution de sauvegarde. La suppression d'un fichier sur un serveur sera répliquée sur tous les autres. Maintenez toujours un plan de sauvegarde indépendant.
📖 Quotas de disque et FSRM
Le Gestionnaire de ressources du serveur de fichiers (FSRM — File Server Resource Manager) offre des outils avancés pour contrôler l'utilisation du stockage :
Quotas
- Quota strict (hard) : empêche l'écriture au-delà de la limite
- Quota souple (soft) : envoie un avertissement mais autorise le dépassement
Création via PowerShell :
New-FsrmQuota -Path "D:\Partages\Etudiants" -Size 5GB -Description "Quota 5 Go par dossier étudiant"
Filtrage de fichiers
FSRM permet de bloquer certains types de fichiers (ex : .mp3, .avi, .exe) sur les partages pour préserver l'espace disque et la sécurité :
New-FsrmFileScreen -Path "D:\Partages\Etudiants" -Template "Block Audio and Video Files"
📖 Audit d'accès aux fichiers
L'audit permet de tracer les accès aux fichiers et dossiers (qui a ouvert, modifié ou supprimé un fichier). La configuration s'effectue en deux étapes :
- Activer la stratégie d'audit via GPO :
Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies d'audit avancées → Accès aux objets → Auditer le système de fichiers - Configurer l'audit sur le dossier : Propriétés → Sécurité → Avancé → Audit → Ajouter une entrée d'audit
Les événements d'audit sont enregistrés dans le journal Sécurité de l'Observateur d'événements (Event ID 4663 pour l'accès aux fichiers).
📝 QCM — Testez vos connaissances
- Que signifie DFS ?
- Quel protocole est utilisé pour les partages de fichiers Windows ?
- Que sont les permissions NTFS ?
- Quelle est la différence entre permissions de partage et NTFS ?
- Comment accéder à un partage réseau Windows ?
- Quel avantage apporte DFS Replication ?
📝 Afficher les corrections
- Distributed File System — DFS permet de créer un espace de noms unifié regroupant des partages situés sur différents serveurs.
- SMB (Server Message Block) — SMB (aussi appelé CIFS) est le protocole natif de partage de fichiers dans les réseaux Windows.
- Les droits d'accès au niveau du système de fichiers — Les permissions NTFS (Lecture, Écriture, Modification, Contrôle total) s'appliquent localement et via le réseau.
- Les permissions de partage s'appliquent uniquement via le réseau — Les permissions de partage filtrent l'accès réseau, les NTFS filtrent l'accès au système de fichiers. C'est la plus restrictive qui s'applique.
- Via le chemin UNC : \\serveur\partage — Le chemin UNC (Universal Naming Convention) permet d'accéder aux ressources partagées sur le réseau.
- La réplication automatique des fichiers entre serveurs — DFS-R synchronise les fichiers entre plusieurs serveurs pour la redondance et la disponibilité.
Les permissions NTFS sont le pilier de la sécurité des fichiers sous Windows Server, combinées aux permissions de partage pour l'accès réseau (la plus restrictive l'emporte). DFS simplifie l'accès aux partages multi-serveurs, DFS-R assure la réplication. FSRM contrôle l'utilisation du stockage avec les quotas et le filtrage.