Article Microsoft
http://www.microsoft.com/france/technet/produits/Win2000S/info/info.asp?mar=/france/technet/produits/win2000s/info/20030220_w2kadm19.html
Définition des contrôles d'accès sur les fichiers, dossiers, partages
et autres objets du système dans Windows 2000
But
- Définir et activer une stratégie DAC (définir une appartenance à un
groupe, définir des attributs DAC par défaut, activer DAC sur des
systèmes de fichiers)
- Modifier les attributs de contrôle d'accès DAC (FMT_MSA.1(a))
- Révoquer des attributs de sécurité associés à des objets (FMT_REV.1(b))
Le contrôle d'accès est le processus consistant à autoriser des
utilisateurs et des groupes à accéder à des objets sur le réseau. Les
principaux concepts qui sont à la base du contrôle d'accès sont décrits
ci-dessous.
- Principe du privilège minimal : Un élément important dans les
autorisations est le principe du privilège minimal, qui établit que tous
les utilisateurs doivent avoir le moins d'accès possible aux systèmes,
ce minimum leur permettant d'effectuer les tâches liées à leur travail.
Ainsi, si un utilisateur doit seulement pouvoir visualiser un fichier
spécifique, cet utilisateur doit avoir un accès en lecture seule au
fichier ; l'utilisateur ne doit pas pouvoir écrire dans ce fichier.
- Propriété des objets :
Windows 2000 attribue un propriétaire à un objet au moment de sa
création. Par défaut, le propriétaire est le créateur de l'objet.
- Autorisations attachées aux objets : Les principaux moyens
mis en oeuvre dans le contrôle d'accès sont les autorisations, ou droits
d'accès. Dans les systèmes Windows, des autorisations peuvent être
définies pour les fichiers, les dossiers et d'autres objets du système.
Les autorisations permettent ou interdisent aux utilisateurs et aux
groupes des actions particulières. Les autorisations sont principalement
mises en oeuvre au moyen de descripteurs de sécurité, qui définissent
aussi les fonctions d'audit et de propriété.
L'autorisation Lecture sur un fichier est un exemple d'autorisation
attachée à un objet. Quand vous installez un système Windows pour la
première fois, vérifiez que les autorisations sur les objets du système
sont correctement définies. Dans certains cas, le système attribue par
défaut des privilèges minimaux, mais il peut aussi procéder
différemment.
Déterminer si les autorisations du système sont conformes au principe
du privilège minimal et modifier celles qui n'y sont pas conformes porte
le nom de durcissement du système d'exploitation. Cette opération doit
faire partie du processus d'installation initiale du système (consultez
le
Microsoft Solution for Securing Windows 2000 Server 
pour l'autorisation à affecter à certains objets pour être conforme aux
objectifs de sécurité Windows 2000).
- Héritage des autorisations : Windows 2000 offre une fonction
permettant aux administrateurs d'attribuer et de gérer facilement les
autorisations. Connue sous le nom d'héritage, cette fonction fait que
les objets d'un conteneur héritent automatiquement des autorisations de
ce conteneur. Par exemple, les fichiers d'un dossier héritent des
autorisations du dossierquand ils sont créés.
- Gestionnaires d'objets : S'il est nécessaire de changer les
autorisations sur un objet spécifique, l'outil approprié doit être
utilisé pour changer les propriétés de cet objet. Par exemple, pour
changer les autorisations sur un fichier, démarrez l'Explorateur
Windows, cliquez avec le bouton droit sur le nom du fichier et cliquez
sur Propriétés. Cette boîte de dialogue peut être utilisée pour
changer les autorisations sur le fichier.
- Audit d'objet : Windows 2000 permet à l'administrateur
d'auditer les accès des utilisateurs aux objets. Ces événements liés à
la sécurité peuvent être visualisés dans le journal de sécurité avec
l'Observateur d'événements.
Sommaire
Copie ou déplacement
Lors de l'utilisation des autorisations NTFS pour sécuriser les accès à
des fichiers ou à des dossiers spécifiques, il est très important d'être
très attentif à ce qui se passe si l'objet est déplacé ou copié à un autre
emplacement du système.
- Quand un objet est copié dans un autre répertoire, il hérite des
privilèges d'accès qui sont ceux du dossier de destination.
- Quand un objet fichier ou dossier est déplacé d'un répertoire vers
un autre répertoire, les autorisations NTFS qui étaient appliquées au
fichier le suivent dans son déplacement.
Autorisations sur les fichiers
Les autorisations sur les fichiers sont les suivantes : Contrôle total,
Modification, Lecture et exécution, Lecture et écriture. Chacune de ces
autorisations consiste en un groupe logique d'autorisations spéciales. Le
tableau suivant présente l'autorisation NTFS sur les fichiers et spécifie
les autorisations spéciales qui sont associées à cette autorisation.
Autorisations NTFS sur les fichiers
| Autorisations spéciales |
Contrôle total |
Modification |
Lecture et exécution |
Lecture |
écriture |
| Parcourir le dossier/Exécuter le fichier |
 |
|
|
|
|
| Liste du dossier/Lecture de données |
|
|
|
|
|
| Attributs de lecture |
|
|
|
|
|
| Lire les attributs étendus |
|
|
|
|
|
| Création de fichiers/écriture de données |
|
|
|
|
|
| Création de dossiers/Ajout de données |
|
|
|
|
|
| Attributs d'écriture |
|
|
|
|
|
| écriture d'attributs étendus |
|
|
|
|
|
| Suppression de sous-dossiers et de fichiers |
|
|
|
|
|
| Supprimer |
|
|
|
|
|
| Autorisations de lecture |
|
|
|
|
|
| Modifier les autorisations |
|
|
|
|
|
| Appropriation |
|
|
|
|
|
| Synchroniser |
|
|
|
|
|
|
Avertissement Les groupes et les utilisateurs qui disposent de
l'autorisation Contrôle total sur un dossier peuvent supprimer tous les
fichiers de ce dossier, indépendamment des autorisations protégeant ces
fichiers.
Autorisations sur les dossiers
Les autorisations sur les dossiers sont les suivantes : Contrôle total,
Modification, Lecture et exécution, Afficher le contenu du dossier,
Lecture et écriture. Chacune de ces autorisations consiste en un groupe
logique d'autorisations spéciales. Le tableau suivant présente
l'autorisation NTFS sur les dossiers et spécifie les autorisations
spéciales qui sont associées à cette autorisation.
Autorisations sur les dossiers
| Autorisations spéciales |
Contrôle total |
Modification |
Lecture et exécution |
Afficher le contenu du dossier |
Lecture |
écriture |
| Parcourir le dossier/Exécuter le fichier |
|
|
|
|
|
|
| Liste du dossier/Lecture de données |
|
|
|
|
|
|
| Attributs de lecture |
|
|
|
|
|
|
| Lire les attributs étendus |
|
|
|
|
|
|
| Création de fichiers/écriture de données |
|
|
|
|
|
|
| Création de dossiers/Ajout de données |
|
|
|
|
|
|
| Attributs d'écriture |
|
|
|
|
|
|
| écriture d'attributs étendus |
|
|
|
|
|
|
| Suppression de sous-dossiers et de fichiers |
|
|
|
|
|
|
| Supprimer |
|
|
|
|
|
|
| Autorisations de lecture |
|
|
|
|
|
|
| Modifier les autorisations |
|
|
|
|
|
|
| Appropriation |
|
|
|
|
|
|
| Synchroniser |
|
|
|
|
|
|
|
Bien que Afficher le contenu du dossier et Lecture et
exécution aient les mêmes autorisations spéciales, ces autorisations
sont héritées différemment. Afficher le contenu du dossier est
héritée par les dossiers mais pas par les fichiers, et elle doit
apparaître seulement lors de la visualisation des autorisations des
dossiers. Lecture et exécution est héritée à la fois par les
fichiers et les dossiers et est toujours présente lors de la visualisation
des autorisations des fichiers et des dossiers.
Sélection de l'endroit où des autorisations doivent être appliquées
La boîte de dialogue Entrée d'autorisation apparaît quand des
autorisations sont définies sur des fichiers et des dossiers. Dans cette
boîte de dialogue, Appliquer à présente la liste des endroits où
les autorisations peuvent être appliquées. La façon dont ces autorisations
sont appliquées dépend du fait que la case à cocher Appliquer ces
autorisations uniquement aux objets et/ou aux conteneurs faisant partie de
ce conteneur est ou non activée. Par défaut, cette case à cocher est
désactivée.
Quand la case à cocher Appliquer ces autorisations... est
désactivée, les autorisations sont appliquées comme suit :
| Appliquer à |
Applique les autorisations au dossier en cours |
Applique les autorisations aux sous-dossiers du dossier en
cours |
Applique les autorisations aux fichiers du dossier en cours |
Applique les autorisations à tous les sous-dossiers suivants |
Applique les autorisations aux fichiers de tous les
sous-dossiers suivants |
| Ce dossier seulement |
|
|
|
|
|
| Ce dossier, les sous-dossiers et les fichiers |
|
|
|
|
|
| Ce dossier et les sous-dossiers |
|
|
|
|
|
| Ce dossier et les fichiers |
|
|
|
|
|
| Les sous-dossiers et les fichiers seulement |
|
|
|
|
|
| Les sous-dossiers seulement |
|
|
|
|
|
| Fichiers seulement |
|
|
|
|
|
|
Quand la case à cocher Appliquer ces autorisations... est
activée, les autorisations sont appliquées comme suit :
| Appliquer à |
Applique les autorisations au dossier en cours |
Applique les autorisations aux sous-dossiers du dossier en
cours |
Applique les autorisations aux fichiers du dossier en cours |
Applique les autorisations à tous les sous-dossiers suivants |
Applique les autorisations aux fichiers de tous les
sous-dossiers suivants |
| Ce dossier seulement |
|
|
|
|
|
| Ce dossier, les sous-dossiers et les fichiers |
|
|
|
|
|
| Ce dossier et les sous-dossiers |
|
|
|
|
|
| Ce dossier et les fichiers |
|
|
|
|
|
| Les sous-dossiers et les fichiers seulement |
|
|
|
|
|
| Les sous-dossiers seulement |
|
|
|
|
|
| Fichiers seulement |
|
|
|
|
|
|
Définition ou modification des autorisations
Pour définir, visualiser, modifier ou supprimer des autorisations
spéciales sur des fichiers et des dossiers :
- Ouvrez l'Explorateur Windows ; cliquez sur Démarrer, pointez
sur Programmes, pointez sur Accessoires, puis cliquez sur
Explorateur Windows.
- Recherchez le fichier ou le dossier pour lequel des autorisations
spéciales doivent être définies.
- Cliquez avec le bouton droit sur le fichier ou le dossier, cliquez
sur Propriétés, puis sur l'onglet Sécurité.
- Cliquez sur Avancée.
- Effectuez une des actions suivantes :
- Pour définir des autorisations spéciales pour un nouveau groupe ou
un nouvel utilisateur, cliquez sur Ajouter. Dans la zone Nom,
tapez le nom de l'utilisateur ou du groupe en utilisant le format
nom_domaine\nom ou sélectionnez-le dans la liste. Pour accéder aux
noms des comptes à partir du domaine, cliquez sur la zone de liste
Regarder dans. Une liste qui s'affiche maintenant indique la
machine en cours, le domaine local, les domaines approuvés et d'autres
ressources accessibles. Sélectionnez le domaine local pour afficher
les noms des comptes du domaine.
- Quand vous avez terminé, cliquez sur OK pour ouvrir
automatiquement la boîte de dialogue Entrée d'autorisation.
- Pour visualiser ou modifier des autorisations spéciales pour un
groupe ou un utilisateur existant, cliquez sur le nom du groupe ou de
l'utilisateur puis cliquez sur Afficher/Modifier.
- Pour supprimer un groupe ou un utilisateur et ses autorisations
spéciales, cliquez sur le nom du groupe ou de l'utilisateur, puis
cliquez sur Supprimer. Si le bouton Supprimer n'est pas
disponible, désactivez la case à cocher Permettre aux autorisations
pouvant être héritées.... Le fichier ou le dossier n'hérite
désormais plus des autorisations. Ignorez les étapes 4, 5 et 6.
- Si nécessaire, dans la boîte de dialogue Entrée d'autorisation,
cliquez là où les autorisations doivent être appliquées dans
Appliquer à. Appliquer à est disponible seulement pour des
dossiers.
- Dans Autorisations, cliquez sur Autoriser ou sur
Refuser pour chaque autorisation.
- Pour éviter que les sous-dossiers et les fichiers de l'arborescence
héritent de ces autorisations, cliquez pour activer la case à cocher
Appliquer ces autorisations... .
Remarque Les autorisations peuvent être définies seulement sur
des unités formatées pour utiliser NTFS. Pour modifier des autorisations,
un utilisateur doit être le propriétaire ou avoir reçu l'autorisation de
le faire par le propriétaire. Si les cases à cocher figurant sous
Autorisations apparaissent en grisé, le fichier ou le dossier a hérité des
autorisations du dossier parent.
Avertissement Les groupes et les utilisateurs qui disposent de
l'autorisation Contrôle total sur un dossier peuvent supprimer des
fichiers et des sous-dossiers de ce dossier, indépendamment des
autorisations protégeant ces fichiers et sous-dossiers.
Impact de l'héritage sur des autorisations sur des fichiers et des
dossiers
Quand des autorisations ont été définies sur un dossier parent, les
nouveaux fichiers et sous-dossiers créés dans le dossier héritent de ces
autorisations. Si les autorisations ainsi héritées ne sont pas souhaitées,
sélectionnez Ce dossier seulement dans Appliquer à quand des
autorisations spéciales sont définies pour le dossier parent.
Pour empêcher seulement certains fichiers ou sous-dossiers d'hériter
des autorisations :
- Cliquez avec le bouton droit sur le fichier ou sous-dossier, cliquez
sur Propriétés, puis sur l'onglet Sécurité.
Si les cases à cocher des autorisations pour un compte apparaissent
en grisé, le fichier ou dossier a hérité des autorisations du dossier
parent. Il existe trois façons d'apporter des modifications aux
autorisations héritées
- Apportez les modifications au dossier parent et le fichier ou
dossier vont alors hériter de ces autorisations.
- Sélectionnez l'autorisation inverse (Autoriser ou
Refuser) pour remplacer l'autorisation héritée.
- Désactivez la case à cocher Permettre aux autorisations pouvant
être héritées du parent d'être propagées à cet objet. Cette action
va permettre des modifications aux autorisations ou la suppression de
l'utilisateur ou du groupe de la liste des autorisations. Cependant,
le fichier ou dossier n'hérite désormais plus des autorisations du
dossier parent.
- Désactivez la case à cocher Permettre aux autorisations pouvant
être héritées du parent d'être propagées à cet objet.
- Une fenêtre Sécurité, reproduite ci-dessous, va apparaître
pour demander s'il faut copier ou supprimer les autorisations héritées.
Cliquez sur le bouton Supprimer.
- Toutes les autorisations précédemment héritées sont supprimées du
fichier ou du sous-dossier.
Si ni Autoriser ni Refuser ne sont sélectionnées pour une
autorisation, le groupe ou l'utilisateur peut avoir obtenu l'autorisation
via l'appartenance à un groupe. Si le groupe ou l'utilisateur n'a pas
obtenu l'autorisation via l'appartenance à un autre groupe, l'autorisation
est implicitement refusée au groupe ou à l'utilisateur. Pour autoriser ou
refuser explicitement l'autorisation, cliquez sur la case à cocher
appropriée.
Autorisations sur les dossiers partagés
Les dossiers partagés sont utilisés pour donner aux utilisateurs du
réseau l'accès aux fichiers et aux ressources des applications sur le
réseau. Quand un dossier est partagé, les utilisateurs peuvent se
connecter au dossier via le réseau et accéder aux fichiers qu'il contient.
Cependant, pour pouvoir accéder aux fichiers, les utilisateurs doivent
disposer des autorisations pour accéder aux dossiers partagés.
Un dossier partagé peut contenir des applications, des données ou les
données personnelles d'un utilisateur, appelées dossier de base. Chaque
type de données nécessite des autorisations différentes sur les dossiers
partagés. Voici les caractéristiques des autorisations sur les dossiers
partagés :
- Les autorisations sur les dossiers partagés s'appliquent aux
dossiers et non aux fichiers individuels. Comme les autorisations sur
les dossiers partagés peuvent être appliquées seulement à la totalité du
dossier partagé et pas aux fichiers ou aux sous-dossiers individuels,
les autorisations sur les dossiers partagés offrent une sécurité d'un
niveau moins détaillé que les autorisations NTFS.
- Les autorisations sur les dossiers partagés ne limitent pas l'accès
aux utilisateurs qui obtiennent l'accès au dossier via l'ordinateur où
le dossier est stocké. Elles s'appliquent seulement aux utilisateurs qui
se connectent au dossier via le réseau.
- Les autorisations sur les dossiers partagés représentent le seul
moyen de sécuriser les ressources réseau sur un volume FAT (File
Allocation Table). Les autorisations NTFS ne sont pas disponibles sur
les volumes FAT.
- L'autorisation par défaut sur les dossiers partagés est Contrôle
total et elle est attribuée au groupe «Tout le monde» lors du partage du
dossier.
Un dossier partagé apparaît dans l'Explorateur Windows sous la forme
d'une icône représentant une main qui tient le dossier partagé, comme
indiqué ci-dessous.
Pour contrôler la façon dont les utilisateurs ont accès à un dossier
partagé, attribuez des autorisations sur les dossiers partagés. Le tableau
suivant montre les autorisations sur les dossiers partagés et les actions
qu'elles autorisent aux utilisateurs sur ces dossiers.
Autorisations sur les dossiers partagés
| Actions autorisées par les autorisations de partage |
Contrôle total |
Modification |
Lecture |
| Affichage des noms des fichiers et des sous-dossiers |
|
|
|
| Parcourir les sous-dossiers |
|
|
|
| Affichage des données des fichiers et exécution des programmes |
|
|
|
| Ajout de fichiers et de sous-dossiers au dossier partagé |
|
|
|
| Modification de données dans les fichiers |
|
|
|
| Suppression de sous-dossiers et de fichiers |
|
|
|
| Modification d'autorisations (NTFS seulement) |
|
|
|
| Appropriation (NTFS seulement) |
|
|
|
|
Les autorisations sur les dossiers partagés peuvent être accordées ou
refusées. En général, il est préférable d'accorder des autorisations et de
les attribuer à un groupe plutôt qu'à un utilisateur individuel. Le refus
d'autorisation doit être utilisé seulement quand il est nécessaire
d'écraser des autorisations qui sans cela sont appliquées. Dans la plupart
des cas, le refus d'autorisation doit être appliqué seulement quand il est
nécessaire de refuser une autorisation à un utilisateur spécifique qui
appartient à un groupe auquel l'autorisation a été accordée. Si un dossier
partagé est configuré avec un refus d'autorisation pour un utilisateur,
cet utilisateur ne dispose pas de l'autorisation. Par exemple, pour
refuser tout accès à un dossier partagé, refusez l'autorisation Contrôle
total.
Application des autorisations sur les dossiers partagés
L'application d'autorisations sur les dossiers partagés à des comptes
d'utilisateurs et à des groupes a un impact sur l'accès au dossier
partagé. Le refus d'autorisation a priorité sur les autorisations qui sont
accordées. La liste suivante décrit les effets de l'application des
autorisations.
- Plusieurs autorisations sont combinées : Un utilisateur peut
être membre de plusieurs groupes, chacun avec des autorisations
différentes qui offrent différents niveaux d'accès à un dossier partagé.
Quand une autorisation est attribuée à un utilisateur pour un dossier
partagé, et que cet utilisateur est membre d'un groupe auquel une
autorisation différente est accordée, les permissions effectives de
l'utilisateur sont la combinaison des autorisations de l'utilisateur et
du groupe. Par exemple, si un utilisateur a l'autorisation Lecture et
est membre d'un groupe ayant l'autorisation Modification, l'autorisation
effective de l'utilisateur est Modification, qui inclut l'autorisation
Lecture.
- Le refus d'autorisation annule les autres autorisations : Les
autorisations refusées ont priorité sur toute autre autorisation
accordée à des comptes d'utilisateur et à des groupes. Si une
autorisation est refusée à un utilisateur sur un dossier partagé,
l'utilisateur n'a pas cette autorisation, même si l'autorisation est
accordée à un groupe dont cet utilisateur est membre.
- Des autorisations NTFS sont requises sur des volumes NTFS :
Les autorisations sur les dossiers partagés sont suffisantes pour
obtenir l'accès aux fichiers et aux dossiers sur un volume FAT, mais pas
sur un volume NTFS. Sur un volume FAT, les utilisateurs peuvent obtenir
l'accès à un dossier partagé pour lequel ils disposent d'autorisations,
ainsi qu'à tout le contenu du dossier. Quand des utilisateurs obtiennent
l'accès à un dossier partagé sur un volume NTFS, ils ont besoin de
l'autorisation sur le dossier partagé ainsi que des autorisations NTFS
appropriées pour chaque fichier ou dossier auquel ils veulent accéder.
- Les dossiers partagés copiés ou déplacés ne sont plus partagés :
Quand un dossier partagé est copié, le dossier partagé original est
toujours partagé, mais sa copie ne l'est pas. Quand un dossier partagé
est déplacé, il n'est plus partagé.
Préconisations pour les autorisations sur les dossiers partagés
La liste suivante présente quelques préconisations générales pour la
gestion des dossiers partagés et pour l'attribution d'autorisations sur
les dossiers partagés :
- Déterminez les groupes qui doivent accéder à chaque ressource et le
niveau d'accès dont ils ont besoin. établissez un document reprenant les
groupes et leurs autorisations pour chaque ressource.
- Attribuez les autorisations aux groupes plutôt qu'aux comptes
d'utilisateurs pour simplifier l'administration des accès.
- Attribuez à une ressource donnée les autorisations les plus
restrictives, permettant néanmoins aux utilisateurs d'effectuer les
tâches requises. Par exemple, si les utilisateurs doivent seulement lire
des informations dans un dossier et qu'ils ne vont jamais supprimer ni
créer des fichiers, attribuez l'autorisation Lecture.
- Organisez les ressources pour que les dossiers nécessitant le même
niveau de sécurité se trouvent dans un même dossier parent. Par exemple,
si les utilisateurs requièrent l'autorisation Lecture pour plusieurs
dossiers d'application, stockez les dossiers d'application dans un même
dossier parent. Partagez ensuite ce dossier, au lieu de partager
individuellement chacun des dossiers d'application.
- Utilisez des noms de partage significatifs, pour que les
utilisateurs puissent reconnaître et trouver facilement les ressources.
Par exemple, pour le dossier Application, utilisez Apps comme nom de
partage. Utilisez également des noms de partage que tous les systèmes
d'exploitation clients peuvent utiliser.
Microsoft Windows 2000 fournit des noms équivalents au format 8 + 3
caractères, mais les noms qui en résultent peuvent ne pas être
significatifs pour les utilisateurs. Par exemple, un dossier Windows 2000
appelé Basededonnées Comptes va apparaître sous la forme Basede~1 sur des
ordinateurs clients fonctionnant avec MS-DOS, Windows 3.x et Windows pour
Workgroups.
Partage de dossiers
Partagez des ressources avec d'autres utilisateurs en partageant les
dossiers contenant ces ressources. Pour partager un dossier, un
utilisateur doit être membre d'un des nombreux groupes, en fonction du
rôle de l'ordinateur où se trouve le dossier partagé. Quand un dossier est
partagé, l'accès au dossier peut être contrôlé en fixant une limite au
nombre d'utilisateurs qui peuvent y accéder simultanément ; l'accès au
dossier et à son contenu peut également être contrôlé en attribuant des
autorisations à des utilisateurs ou à des groupes sélectionnés. Les
groupes qui peuvent partager des dossiers et les machines qui peuvent les
partager dépendent du fait qu'il s'agit d'un groupe de travail ou d'un
domaine ainsi que du type d'ordinateur où se trouvent les dossiers
partagés :
- Dans un domaine Windows 2000, les groupes Administrateurs et
Opérateurs de serveur peuvent partager des dossiers qui se trouvent sur
toute machine du domaine. Le groupe Utilisateurs avec pouvoir est un
groupe local qui peut partager des dossiers seulement sur le serveur ou
l'ordinateur autonome fonctionnant avec Windows 2000 Professionnel où se
trouve le groupe.
- Dans un groupe de travail Windows 2000, les groupes Administrateurs
et Utilisateurs avec pouvoir peuvent partager des dossiers sur le
serveur autonome Windows 2000 Server ou sur l'ordinateur fonctionnant
avec Windows 2000 Professionnel où se trouve le groupe.
Si le dossier à partager se trouve sur un volume NTFS, les utilisateurs
doivent aussi disposer de l'autorisation Lecture pour ce dossier pour
pouvoir le partager.
Dossiers d'administration partagés
Windows 2000 partage automatiquement des dossiers à des fins
d'administration. Un signe $ (dollar) est ajouté à ces partages, qui
masque le dossier partagé aux utilisateurs qui parcourent l'ordinateur via
le réseau. La racine de chaque volume, le dossier racine du système et
l'emplacement des pilotes d'imprimante sont tous des dossiers partagés
cachés. Le tableau suivant décrit la fonction des dossiers
d'administration partagés que Windows 2000 fournit automatiquement. Ces
partages peuvent être désactivés, mais seulement pour la session en cours.
Quand Windows 2000 est redémarré, les partages sont réactivés. Les
autorisations sur ces partages ne peuvent pas être modifiées.
| Partage |
Fonction |
| C$, D$, E$, etc. |
La racine de chaque volume d'un disque dur est automatiquement
partagée, et le nom du partage est la lettre de l'unité à laquelle
le signe $ (dollar) a été ajouté. La connexion à ce dossier permet
d'accéder à la totalité du volume. Utilisez les partages
d'administration pour vous connecter à distance à l'ordinateur,
pour effectuer des tâches d'administration. Windows 2000 attribue
l'autorisation Contrôle total au groupe Administrateurs.
Windows 2000 partage aussi automatiquement les lecteurs de
CD-ROM et crée le nom de partage en ajoutant le signe $ (dollar) à
la lettre du lecteur de CD-ROM. |
| ADMIN$ |
Le dossier racine du système, qui est par défaut C:\Winnt, est
partagé comme Admin$. Les administrateurs peuvent accéder à ce
dossier partagé pour administrer Windows 2000 sans savoir dans
quel dossier il est installé. Seuls les membres du groupe
Administrateurs ont accès à ce partage. Windows 2000 attribue
l'autorisation Contrôle total au groupe Administrateurs. |
| IPC$ |
Partage de communication interprocessus. |
| Print$ |
Quand la première imprimante partagée est installée, le
dossier racine_système\ System32\Spool\Drivers est partagé comme
Print$. Ce dossier permet aux clients d'accéder aux fichiers des
pilotes d'imprimante. Seuls les membres des groupes
Administrateurs, Opérateurs de serveur et Opérateurs d'impression
disposent de l'autorisation Contrôle total. Le groupe Tout le
monde a l'autorisation Lecture. |
|
Les dossiers partagés cachés ne sont pas limités à ceux que le système
crée automatiquement. D'autres dossiers peuvent être partagés et un signe
$ (dollar) peut être ajouté à la fin du nom du partage. Seuls les
utilisateurs qui connaissent le nom du dossier peuvent alors y accéder,
s'ils possèdent également les autorisations nécessaires.
Partage d'un dossier
Quand un dossier est partagé, il peut recevoir un nom de partage, des
commentaires peuvent être indiqués pour décrire le dossier et son contenu,
des limites peuvent être définies quant au nombre d'utilisateurs ayant
accès au dossier, des autorisations peuvent être affectées et le dossier
peut être partagé plusieurs fois. Un dossier peut être partagé comme suit
:
- Ouvrez une session avec un compte d'utilisateur qui est membre d'un
groupe qui peut partager des dossiers.
- Cliquez avec le bouton droit sur le dossier à partager, puis cliquez
sur Partage.... La fenêtre des propriétés du dossier s'affiche,
montrant les options de l'onglet Partage.
- Dans l'onglet Partage de la boîte de dialogue Propriétés,
configurez les options présentées dans le tableau ci-dessous pour rendre
le dossier disponible sous forme de partage.
| Option |
Description |
| Nom du partage |
Le nom que les utilisateurs d'emplacements distants utilisent
pour se connecter au dossier partagé. Un nom de partage doit être
entré. |
| Commentaire |
Une description facultative pour le nom du partage. Ces
commentaires apparaissent en plus du nom du partage quand les
utilisateurs des ordinateurs clients parcourent le serveur à la
recherche des dossiers partagés. Ces commentaires peuvent être
utilisés pour identifier le contenu du dossier partagé. |
| Nombre limite d'utilisateurs |
Le nombre d'utilisateurs qui peuvent se connecter
simultanément au dossier partagé. Si Maximum autorisé est
sélectionnée comme limite du nombre d'utilisateurs, Windows 2000
Professionnel prend en charge jusqu'à 10 connexions. Windows 2000
Server peut prendre en charge un nombre illimité de connexions,
mais le nombre de licences d'accès client achetées limite les
connexions. |
| Autorisations |
Les autorisations sur les dossiers partagés qui s'appliquent
seulement quand l'accès au dossier se fait via le réseau. Par
défaut, le groupe Tout le monde dispose de l'autorisation Contrôle
total pour tous les nouveaux dossiers partagés. |
| Mise en cache |
Les paramètres pour configurer l'accès hors connexion à ce
dossier partagé. |
|
Attribution d'autorisations sur les dossiers partagés
Après le partage d'un dossier, l'étape suivante consiste à spécifier
quels utilisateurs ont accès au dossier partagé en attribuant des
autorisations sur le dossier partagé aux comptes d'utilisateurs et aux
groupes sélectionnés. Pour attribuer des autorisations sur un dossier
partagé à des comptes d'utilisateurs et à des groupes, procédez comme
suit :
- Dans l'onglet Partage de la boîte de dialogue Propriétés du
dossier partagé, cliquez sur Autorisations.
- Dans la boîte de dialogue Autorisations, vérifiez que le
groupe Tout le monde est sélectionné, puis cliquez sur Supprimer.
- Dans la boîte de dialogue Autorisations, cliquez sur
Ajouter.
- Dans la boîte de dialogue Sélectionnez Utilisateurs ou Groupes,
cliquez sur les comptes d'utilisateurs et les groupes auxquels des
autorisations doivent être attribuées.
- Cliquez sur Ajouter pour ajouter le compte d'utilisateur ou
le groupe au dossier partagé. Répétez cette étape pour tous les comptes
d'utilisateurs et les groupes auxquels des autorisations doivent être
attribuées.
- Cliquez sur OK.
- Dans la boîte de dialogue Autorisations pour Applications
pour le dossier partagé, cliquez sur le compte d'utilisateur ou le
groupe, puis, en dessous de Autorisations, activez la case à
cocher Autoriser ou Refuser, selon les autorisations que
vous voulez attribuer au compte d'utilisateur ou au groupe.
Modification de dossiers partagés
Les utilisateurs autorisés peuvent modifier des dossiers partagés,
cesser le partage d'un dossier, modifier le nom du partage et changer les
autorisations sur les dossiers partagés.
Les utilisateurs autorisés peuvent modifier un dossier partagé comme
suit :
- Cliquez sur l'onglet Partage dans la boîte de dialogue
Propriétés du dossier partagé.
- Pour effectuer la tâche appropriée, suivez les étapes présentées
dans le tableau suivant.
| Pour |
Procédez comme suit |
| Cesser le partage d'un dossier |
Cliquez sur Ne pas partager ce dossier. |
| Modifier le nom du partage |
Cliquez sur Ne pas partager ce dossier pour cesser le
partage du dossier ; cliquez sur Appliquer pour appliquer
la modification ; cliquez sur Partager ce dossier, puis
entrez le nom du nouveau partage dans la zone Nom du partage. |
| Modifier des autorisations sur les dossiers partagés |
Cliquez sur Autorisations. Dans la boîte de dialogue
Autorisations, cliquez sur Ajouter ou sur Supprimer.
Dans la boîte de dialogue Nom, cliquez sur le compte
d'utilisateur ou le groupe dont les autorisations doivent être
modifiées. Modifiez les autorisations dans la boîte de dialogue
Autorisations : Autoriser ou Refuser. |
| Partager plusieurs fois un dossier |
Cliquez sur Nouveau partage pour partager un dossier
avec un nom de dossier partagé supplémentaire. Vous pouvez faire
cela pour consolider plusieurs dossiers partagés en un seul
dossier, tout en permettant aux utilisateurs de continuer à
utiliser le même nom de dossier partagé qui était utilisé avant la
consolidation des dossiers. |
| Supprimer un nom de partage |
Cliquez sur Supprimer le partage. Cette option apparaît
seulement après que le dossier ait été partagé plus d'une fois. |
|
Remarque Si le partage est désactivé sur un dossier alors
qu'un utilisateur y a un fichier ouvert, l'utilisateur peut perdre des
données. Si Ne pas partager ce dossier est activé alors qu'un
utilisateur a une connexion au dossier partagé, Windows 2000 affiche un
avertissement pour indiquer qu'un utilisateur y est connecté.
Combinaison d'autorisations sur des dossiers partagés et
d'autorisations NTFS
Les dossiers peuvent être partagés pour offrir un accès aux ressources
aux utilisateurs du réseau. Dans le cas de l'utilisation d'un volume FAT,
les autorisations sur les dossiers partagés sont la seule ressource
disponible pour assurer la sécurité des dossiers qui sont partagés et des
dossiers et des fichiers qu'ils contiennent. Dans le cas de l'utilisation
d'un volume NTFS, les autorisations NTFS peuvent être attribuées à des
utilisateurs individuels et à des groupes pour mieux contrôler l'accès aux
fichiers et aux sous-dossiers des dossiers partagés. En cas de combinaison
d'autorisations sur des dossiers partagés et d'autorisations NTFS, c'est
toujours l'autorisation la plus restrictive qui l'emporte.
Une stratégie pour fournir l'accès à des ressources sur un volume NTFS
consiste à partager des dossiers avec les autorisations par défaut sur les
dossiers partagés, puis de contrôler l'accès en attribuant des
autorisations NTFS. Quand un dossier est partagé sur un volume NTFS, les
autorisations sur le dossier partagé et les autorisations NTFS se
combinent pour sécuriser les ressources fichier.
Les autorisations des dossiers partagés n'offrent qu'une sécurité
limitée aux ressources. La plus grande souplesse peut être obtenue en
utilisant des autorisations NTFS pour contrôler les accès aux dossiers
partagés. De même, les autorisations NTFS s'appliquent toujours, que
l'accès à la ressource se fasse localement ou via le réseau.
Les règles suivantes s'appliquent à l'utilisation des autorisations sur
des dossiers partagés sur un volume NTFS :
- Les autorisations NTFS peuvent être appliquées aux fichiers et aux
sous-dossiers du dossier partagé. Des autorisations NTFS différentes
peuvent être appliquées à chaque fichier et sous-dossier contenus dans
un dossier partagé.
- En plus des autorisations sur les dossiers partagés, les
utilisateurs doivent disposer d'autorisations NTFS pour les fichiers et
sous-dossiers contenus dans les dossiers partagés pour pouvoir accéder à
ces fichiers et sous-dossiers. Ceci diffère des volumes FAT, où les
autorisations pour un dossier partagé sont les seules autorisations
protégeant les fichiers et sous-dossiers du dossier partagé.
- En cas de combinaison d'autorisations sur des dossiers partagés et
d'autorisations NTFS, c'est toujours l'autorisation la plus restrictive
qui l'emporte.
Dans la figure ci-dessous, le groupe Tout le monde a l'autorisation
Contrôle total sur le dossier Public et l'autorisation NTFS Lecture pour
le fichier A. L'autorisation effective du groupe Tout le monde pour le
fichier A est Lecture, parce que Lecture est l'autorisation la plus
restrictive. L'autorisation effective pour le fichier B est Contrôle
total, parce que tant l'autorisation du dossier partagé que l'autorisation
NTFS autorisent ce niveau d'accès.
Déconnexion d'un ou de plusieurs utilisateurs d'un partage ou d'une
session active
Les utilisateurs autorisés peuvent gérer les partages et déconnecter
des sessions actives de l'objet Dossiers partagés avec l'interface
graphique Gestion de l'ordinateur. Pour Windows 2000 Professionnel,
seuls les membres du groupes Administrateurs ou Utilisateurs avec pouvoir
peuvent utiliser des dossiers partagés. Pour Windows 2000 Server, les
membres du groupe Opérateur de serveur peuvent aussi utiliser des dossiers
partagés. Notez que la déconnexion d'utilisateurs utilisant des ressources
peut aboutir à la perte de données. Il est recommandé d'avertir les
utilisateurs connectés avant de les déconnecter.
Pour déconnecter un ou plusieurs utilisateurs, procédez comme suit :
- Cliquez sur Démarrer, sélectionnez Programmes,
sélectionnez Outils d'administration, cliquez sur Gestion de
l'ordinateur, puis double-cliquez sur Dossiers partagés.
- Dans l'arborescence de la console, cliquez sur Sessions.
- Pour déconnecter un utilisateur, cliquez avec le bouton droit sur le
nom d'utilisateur, puis cliquez sur Fermer la session.
- Pour déconnecter tous les utilisateurs, cliquez avec le bouton droit
sur Sessions, puis cliquez sur Déconnecter toutes les sessions.
Autorisations sur des objets Active Directory
Il y a deux éléments à considérer pour le contrôle de l'accès aux
objets Active Directory : les autorisations qu'un utilisateur est
autorisés à attacher à l'objet et les façons dont ces autorisations
peuvent être attachées pour déléguer des responsabilités d'administration
pour des objets Active Directory.
Les autorisations suivantes peuvent être attachées aux objets Active
Directory :
- Créer un enfant (peut être spécifique au type d'objet ou général
pour tout objet sous le conteneur)
- Supprimer un enfant (peut être spécifique au type d'objet ou général
pour tout objet sous le conteneur)
- Propriété de lecture (peut être spécifique à une propriété
individuelle de l'objet ou général pour tous les attributs de l'objet)
- Propriété d'écriture (peut être spécifique à une propriété
individuelle de l'objet ou général pour tous les attributs de l'objet)
- Lister le contenu
- écriture personnelle
- Supprimer l'arborescence
- Afficher la liste pour l'objet
- Contrôler l'accès (peut être spécifique à une opération de contrôle
individuelle ou général pour toutes les opérations de contrôle sur
l'objet)
Les autorisations peuvent être définies sur un objet de l'annuaire à
l'aide de la procédure suivante :
- Ouvrez une session avec un compte d'administrateur.
- Ouvrez l'outil Utilisateurs et ordinateurs Active Directory.
- Dans le menu Affichage, sélectionnez Fonctionnalités
avancées.
- Trouvez le conteneur pour l'objet, cliquez avec le bouton droit sur
celui-ci, puis cliquez sur Propriétés.
- Cliquez sur l'onglet Sécurité et sur Avancée.
- Dans la fenêtre Autorisations, cliquez sur le bouton
Ajouter.
- Sélectionnez un nom de principe de sécurité et cliquez sur OK.
- Une boîte de dialogue s'affiche avec deux onglets : Objet et
Propriétés.
- L'onglet Objet permet à un administrateur habilité de
spécifier des autorisations d'accès à l'objet.
- L'onglet Propriétés permet à un administrateur habilité de
spécifier des autorisations d'accès aux propriétés de l'objet.
- Utilisez la liste déroulante pour faire les sélections.
- Cliquez sur chacun des onglets à modifier et activez les cases à
cocher pour les autorisations à définir.
- Activez la case à cocher Appliquer… puis cliquez sur OK.
- Dans la fenêtre Paramètres du contrôle d'accès, indiquez si
pour cet objet les choix sont hérités du conteneur parent. Si oui,
activez la case à cocher Permettre la propagation d'entrées d'audit
provenant de l'objet parent à cet objet.
- Cliquez sur Appliquer puis sur OK.
- Dans la fenêtre Propriétés, décidez si les autorisations doivent
être héritées du conteneur parent pour propager cet objet. Si oui,
activez cette case à cocher.
- Cliquez sur Appliquer puis sur OK.
Définition des autorisations et des partages pour la sécurité des
imprimantes
Quand une imprimante est installée sur un réseau, les autorisations par
défaut qui sont attribuées permettent à tous les utilisateurs d'imprimer
et permettent de sélectionner des groupes pour gérer l'imprimante, les
documents à lui envoyer ou les deux. Comme l'imprimante est disponible
pour tous les utilisateurs du réseau, il peut être nécessaire de limiter
l'accès de certains utilisateurs en attribuant des autorisations
spécifiques sur l'imprimante. Par exemple, tous les utilisateurs non
concernés par l'administration dans un service peuvent recevoir
l'autorisation Impression et tous les gestionnaires peuvent recevoir les
autorisations Impression et Gestion des documents. De cette façon, tous
les utilisateurs et les gestionnaires peuvent imprimer des documents, mais
les gestionnaires peuvent aussi changer le statut de tous les documents
envoyés à l'imprimante.
Windows 2000 offre trois niveaux d'autorisations de sécurité
d'impression : Impression, Gestion d'imprimantes et
Gestion des documents. Quand plusieurs autorisations sont attribuées à
un groupe d'utilisateurs, ce sont les autorisations les moins restrictives
qui s'appliquent. Cependant, quand Refuser est appliquée, elle
prend la priorité sur toutes les autres autorisations. Le tableau
ci-dessous donne une explication résumée des types de tâches qu'un
utilisateur peut réaliser à chaque niveau d'autorisation.
| Autorisation |
Description |
| Impression |
L'utilisateur peut se connecter à une imprimante et lui
envoyer des documents. Par défaut, l'autorisation Impression est
attribuée à tous les membres du groupe Tout le monde. |
| Gestion d'imprimantes |
L'utilisateur peut réaliser les tâches associées à
l'autorisation Impression et dispose d'un contrôle total de
l'administration de l'imprimante. L'utilisateur peut suspendre et
redémarrer l'imprimante, changer les paramètres du spouleur,
partager une imprimante, définir les autorisations sur
l'imprimante et changer les propriétés de l'imprimante. Par
défaut, l'autorisation Gestion d'imprimantes est attribuée aux
membres des groupes Administrateurs et Utilisateurs avec pouvoir.
Par défaut, les membres des groupes Administrateurs et
Utilisateurs avec pouvoir ont un accès total, ce qui signifie que
les utilisateurs reçoivent les autorisations Impression, Gestion
des documents et Gestion d'imprimantes. |
| Gestion des documents |
L'utilisateur peut suspendre, reprendre, redémarrer et annuler
les documents soumis par tous les autres utilisateurs.
L'utilisateur ne peut cependant pas envoyer des documents à
l'imprimante ni contrôler l'état de l'imprimante. Par défaut,
l'autorisation Gestion des documents est attribuée aux membres du
groupe Propriétaire créateur.
Quand un utilisateur reçoit l'autorisation Gestion des
documents, il ne peut pas accéder aux documents existants qui sont
en attente d'impression. L'autorisation va seulement s'appliquer
aux documents envoyés à l'imprimante après que l'autorisation ait
été attribuée à l'utilisateur. |
| Refuser |
La totalité ou une des autorisations précédentes sont refusées
pour l'imprimante. Quand l'accès est refusé, l'utilisateur ne peut
pas utiliser ni gérer l'imprimante, manipuler les documents
envoyés à l'imprimante ni changer aucune des autorisations. |
|
Utilisez les procédures suivantes pour définir ou supprimer des
autorisations pour une imprimante :
- Cliquez sur Démarrer, pointez vers Paramètres, puis
cliquez sur Imprimantes.
- Cliquez avec le bouton droit sur l'objet imprimante pour lequel des
autorisations doivent être définies, puis cliquez sur Propriétés.
- La boîte de dialogue Propriétés s'affiche.
- Cliquez sur l'onglet Sécurité et effectuez une des actions
suivantes :
- Pour modifier ou supprimer des autorisations pour un utilisateur
ou un groupe existant, sélectionnez le nom de l'utilisateur ou du
groupe.
- Pour définir des autorisations pour un nouvel utilisateur ou un
nouveau groupe, cliquez sur Ajouter. Dans la zone Nom,
tapez le nom de l'utilisateur ou du groupe pour lequel vous voulez
définir des autorisations, cliquez sur Ajouter, puis sur OK
pour fermer la boîte de dialogue.
- Dans Autorisations, cliquez sur Autoriser ou sur
Refuser pour chaque autorisation qui doit être accordée ou refusée à
un utilisateur ou un groupe sélectionné. Pour supprimer un utilisateur
ou un groupe de la liste des autorisations, vous pouvez sélectionner
l'utilisateur ou le groupe et cliquer sur Supprimer.
- Après avoir fait toutes les attributions d'autorisations
nécessaires, cliquez sur le bouton Appliquer puis sur OK
dans la fenêtre Propriétés de l'imprimante.
Remarque Pour changer les paramètres du périphérique, un
utilisateur doit disposer de l'autorisation Gestion d'imprimantes.
Pour afficher ou modifier les autorisations sous-jacentes aux
autorisations Impression, Gestion d'imprimantes et Gestion des
documents, cliquez sur le bouton Avancé.
Les imprimantes ne sont pas partagées par défaut quand elles sont
installées sur Windows 2000 Professionnel. Sur Windows 2000 Server,
l'imprimante est partagée par défaut quand elle est ajoutée. Utilisez
les procédures suivantes pour partager une imprimante (une imprimante
doit être partagée pour que les définitions d'autorisations aient un
effet sur les utilisateurs et groupes qui figurent dans la liste) :
- Cliquez sur Démarrer, pointez vers Paramètres, puis
cliquez sur Imprimantes.
- Cliquez avec le bouton droit sur le dossier à partager et cliquez
sur l'onglet Partage.
- Dans l'onglet Partage, cliquez sur Partagée en tant que,
puis tapez un nom pour l'imprimante partagée.
- Si l'imprimante doit être partagée avec des utilisateurs utilisant
des matériels ou des systèmes d'exploitation différents, cliquez sur
Pilotes supplémentaires. Cliquez sur l'environnement et le système
d'exploitation correspondant aux autres ordinateurs, puis cliquez sur
OK pour installer les pilotes supplémentaires.
- Si une session est ouverte sur un domaine Windows 2000, l'imprimante
peut être rendue disponible pour les autres utilisateurs du domaine en
activant Lister dans l'annuaire pour publier l'imprimante dans
l'Annuaire.
- Cliquez sur OK.
Délégation du contrôle de l'administration
Un administrateur autorisé peut définir une délégation de
responsabilité pour créer de nouveaux utilisateurs ou groupes au niveau de
l'unité d'organisation, ou conteneur, où les comptes sont créés. Les
administrateurs de groupes pour une unité d'organisation n'ont pas
nécessairement la possibilité de créer et de gérer des comptes pour
d'autres unités d'organisation au sein d'un domaine. Cependant, les
paramètres de stratégie qui valent à l'échelle du domaine et les
autorisations qui sont définies à des niveaux supérieurs dans
l'arborescence des répertoires peuvent s'appliquer à travers
l'arborescence à l'aide de l'héritage d'autorisations.
Il y a trois façons de définir la délégation de responsabilités
d'administration :
- Déléguer des autorisations pour modifier les propriétés d'un
conteneur particulier.
- Déléguer des autorisations pour créer et supprimer des objets d'un
type spécifique sous une unité d'organisation, comme des utilisateurs,
des groupes ou des imprimantes.
- Déléguer des autorisations pour mettre à jour des propriétés
spécifiques sur des objets d'un type spécifique sous une unité
d'organisation. Par exemple, le droit de définir un mot de passe sur un
objet Utilisateur peut être délégué.
Un administrateur autorisé peut déléguer l'administration de ressources
particulières à une personne ou un groupe spécifique, éliminant la
nécessité d'avoir plusieurs administrateurs ayant autorité sur la totalité
d'un domaine ou d'un site. Avec une délégation adéquate, l'utilisateur ou
le groupe qui a reçu les autorisations appropriées peut à son tour
déléguer l'administration d'une partie de leurs comptes et de leurs
ressources.
L'administrateur peut configurer de différentes façons l'étendue de la
responsabilité d'administration qui est déléguée. Si les administrateurs
habilités peuvent en général accorder des autorisations au niveau d'une
unité d'organisation en appliquant l'héritage, ils peuvent aussi déléguer
l'administration pour un domaine entier au sein d'une forêt.
Un administrateur habilité peut déléguer l'administration d'un domaine
ou d'une unité d'organisation à l'aide de l'Assistant Délégation de
contrôle disponible dans Utilisateurs et ordinateurs Active
Directory :
- Ouvrez une session avec un compte d'administrateur.
- Ouvrez l'outil Utilisateurs et ordinateurs Active Directory.
- Trouvez le conteneur pour l'objet, cliquez avec le bouton droit sur
celui-ci, puis cliquez sur Délégation de contrôle....
- L'Assistant Délégation de contrôle s'affiche ; cliquez sur
Suivant.
- Une fenêtre de l'Assistant s'affiche pour la sélection des
Utilisateurs ou groupes ; cliquez sur le bouton Ajouter.
- Sélectionnez un compte d'utilisateur ou de groupe, cliquez sur
Ajouter et sur OK.
- La fenêtre suivante offre deux options pour définir l'étendue de la
délégation. La première option, De ce dossier et des objets qui s'y
trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier,
permet la délégation du contrôle total. La seconde option, Seulement
les objets suivants dans le dossier, ouvre une fenêtre de sélection
qui permet aux administrateurs de spécifier le niveau de contrôle qu'ils
veulent déléguer.
- Faites une sélection et cliquez sur Suivant. La fenêtre
suivante permet la spécification des autorisations à déléguer.
Sélectionnez les autorisations à déléguer et cliquez sur Suivant.
- Une fenêtre récapitulative s'affiche pour indiquer les sélections.
Cliquez sur le bouton Terminer.
