Problèmes liés au système de fichiers Windows Pourquoi l'accès est-il refusé?

Problèmes liés au système de fichiers Windows Pourquoi l'accès est-il refusé? / Demandez aux experts

Depuis le système de fichiers NTFS De FAT à NTFS vers ZFS: Systèmes de fichiers démystifiés de FAT vers NTFS vers ZFS: Systèmes de fichiers démystifiés Différents disques durs et systèmes d'exploitation peuvent utiliser différents systèmes de fichiers. Voici ce que cela signifie et ce que vous devez savoir. Read More a été introduit comme format par défaut dans les éditions grand public de Windows (à partir de Windows XP). Les utilisateurs ont eu des difficultés à accéder à leurs données à la fois sur des disques internes et externes. Les attributs de fichier simples ne sont plus la seule cause des problèmes lors de la recherche et de l'utilisation de leurs fichiers. Maintenant, nous devons faire face aux autorisations de fichiers et de dossiers, comme l’a découvert l’un de nos lecteurs.

La question de notre lecteur:

Je ne parviens pas à voir les dossiers sur mon disque dur interne. J'ai couru la commande “attrib -h -r -s / s / d” et il montre l'accès refusé sur chaque dossier. Je peux accéder aux dossiers à l'aide de la commande Exécuter, mais je ne peux pas voir les dossiers sur mon disque dur. Comment puis-je réparer ça?

Réponse de Bruce:

Voici quelques hypothèses sûres basées sur les informations que nous avons reçues: Le système d'exploitation est Windows XP ou une version ultérieure; le système de fichiers utilisé est NTFS; l'utilisateur ne dispose pas d'autorisations de contrôle total sur la partie du système de fichiers qu'il tente de manipuler; ils ne sont pas dans le contexte de l'administrateur; et les autorisations par défaut sur le système de fichiers peuvent avoir été modifiées.

Tout Sous Windows, il s’agit d’un objet, qu’il s’agisse d’une clé de registre, d’une imprimante ou d’un fichier. Même s'ils utilisent les mêmes mécanismes pour définir l'accès des utilisateurs, nous limiterons notre discussion aux objets système de fichiers afin de la garder aussi simple que possible..

Contrôle d'accès

Alerte rouge de sécurité: 10 blogs sur la sécurité informatique à suivre aujourd'hui Alerte rouge: 10 blogs sur la sécurité informatique à suivre aujourd'hui La sécurité est un élément crucial de l'informatique et vous devez vous efforcer de vous renseigner et de rester à jour. Vous aurez envie de consulter ces dix blogs de sécurité et les experts en sécurité qui les écrivent. Lire plus de toute sorte est tout au sujet de contrôler qui peut faire quelque chose sur l'objet étant sécurisé. Qui a la carte clé pour déverrouiller la porte pour entrer dans l'enceinte? Qui a les clés pour ouvrir le bureau du PDG? Qui a la combinaison pour ouvrir le coffre-fort dans son bureau?

Le même type de réflexion s'applique à la sécurité des fichiers et des dossiers sur les systèmes de fichiers NTFS. Chaque utilisateur du système n'a pas un besoin légitime d'accéder à tous les fichiers du système, pas plus qu'ils n'ont tous besoin du même type d'accès à ces fichiers. Tout comme chaque employé d’une entreprise n’a pas besoin d’avoir accès au coffre-fort du bureau du directeur général ni d’avoir la possibilité de modifier les rapports de l’entreprise, bien qu’il soit autorisé à les lire..

Les permissions

Windows contrôle l'accès aux objets du système de fichiers (fichiers et dossiers) en définissant des autorisations pour des utilisateurs ou des groupes. Ceux-ci spécifient le type d'accès de l'utilisateur ou du groupe à l'objet. Ces autorisations peuvent être définies sur permettre ou Nier un type d'accès spécifique pouvant être défini explicitement sur l'objet ou implicitement par héritage de son dossier parent.

Les autorisations standard pour les fichiers sont les suivantes: Contrôle total, Modifier, Lecture et exécution, Lecture, Écriture et Spécial. Les dossiers ont une autre autorisation spéciale, appelée Liste du contenu du dossier. Ces autorisations standard sont des ensembles prédéfinis de autorisations avancées qui permettent un contrôle plus granulaire, mais ne sont normalement pas nécessaires en dehors des autorisations standard.

Par exemple, le Lire et exécuter l'autorisation standard inclut les autorisations avancées suivantes:

  • Traverse Folder / Execute File
  • Liste Dossier / Lecture des données
  • Lire les attributs
  • Lire les attributs étendus
  • Autorisations de lecture

Listes de contrôle d'accès

Chaque objet du système de fichiers est associé à une liste de contrôle d'accès. La liste de contrôle d'accès est une liste d'identificateurs de sécurité (SID) disposant d'autorisations sur l'objet. Le sous-système de l'autorité de sécurité locale (LSASS) compare le SID attaché au jeton d'accès donné à l'utilisateur lors de la connexion aux SID de la liste de contrôle d'accès pour l'objet auquel l'utilisateur tente d'accéder. Si le SID de l'utilisateur ne correspond à aucun des SID de la liste de contrôle d'accès, l'accès sera refusé. S'il correspond, l'accès demandé sera accordé ou refusé en fonction des autorisations accordées pour ce SID..

Il existe également un ordre d'évaluation des autorisations à prendre en compte. Les autorisations explicites ont priorité sur les autorisations implicites, et les autorisations refusées ont la priorité sur les autorisations autorisées. Dans l'ordre, cela ressemble à ceci:

  1. Refus explicite
  2. Autoriser explicitement
  3. Refus implicite
  4. Permis implicite

Autorisations du répertoire racine par défaut

Les autorisations accordées au niveau du répertoire racine d'un lecteur varient légèrement selon que le lecteur est le lecteur système ou non. Comme indiqué dans l’image ci-dessous, un lecteur système comporte deux Permettre entrées pour les utilisateurs authentifiés. Il en existe un qui permet aux utilisateurs authentifiés de créer des dossiers et d’ajouter des données à des fichiers existants, mais de ne pas modifier les données existantes du fichier qui s’appliquent uniquement au répertoire racine. L'autre permet aux utilisateurs authentifiés de modifier les fichiers et les dossiers contenus dans des sous-dossiers, si ce sous-dossier hérite des autorisations de la racine..

Les répertoires système (Windows, Données du programme, Fichiers du programme, Fichiers du programme (x86), Utilisateurs ou Documents et paramètres et éventuellement d’autres) n’héritent pas de leurs autorisations du répertoire racine. S'agissant de répertoires système, leurs autorisations sont explicitement définies pour éviter toute altération involontaire ou malveillante des fichiers du système d'exploitation, des programmes et de la configuration par des logiciels malveillants ou un pirate informatique..

S'il ne s'agit pas d'un lecteur système, la seule différence est que le groupe Utilisateurs authentifiés possède une seule entrée d'autorisation qui autorise les autorisations de modification pour le dossier racine, les sous-dossiers et les fichiers. Toutes les autorisations attribuées aux 3 groupes et au compte SYSTEM sont héritées tout au long du lecteur..

Analyse du problème

Quand notre affiche a couru le attrib Lorsqu’une commande tentant de supprimer tous les attributs système, masqués et en lecture seule de tous les fichiers et dossiers commençant dans le répertoire (non spécifié) dans lequel ils se trouvaient, ils ont reçu des messages indiquant que l’action qu’ils souhaitaient effectuer (attributs d’écriture) était refusée. En fonction du répertoire dans lequel ils se trouvaient lorsqu’ils ont exécuté la commande, c’est probablement une très bonne chose, surtout s’ils se trouvaient dans C: \..

Au lieu d’essayer d’exécuter cette commande, il aurait été préférable de modifier simplement les paramètres de l’explorateur Windows / Explorateur de fichiers pour afficher les fichiers et les répertoires cachés. Cela peut être facilement accompli en allant à Organiser> Dossier et options de recherche dans l'explorateur Windows ou Fichier> Modifier le dossier et les options de recherche dans l'explorateur de fichiers. Dans la boîte de dialogue résultante, sélectionnez le Onglet Afficher> Afficher les fichiers, dossiers et lecteurs cachés. Lorsque cette option est activée, les répertoires et fichiers masqués apparaissent en tant qu’éléments en grisé dans la liste..

À ce stade, si les fichiers et les dossiers ne s'affichent toujours pas, il y a un problème avec l'autorisation avancée Répertorier Dossier / Lire les données. L’utilisateur ou un groupe auquel l’utilisateur appartient est explicitement ou implicitement a refusé cette autorisation sur les dossiers en question ou l'utilisateur n'appartient à aucun des groupes ayant accès à ces dossiers.

Vous pouvez vous demander comment le lecteur pourrait accéder directement à l'un de ces dossiers si l'utilisateur ne dispose pas des autorisations Liste des dossiers / Lire les données. Tant que vous connaissez le chemin du dossier, vous pouvez y accéder à condition que vous disposiez des autorisations avancées nécessaires pour parcourir le dossier / exécuter le fichier. C’est également la raison pour laquelle il n’est pas susceptible d’être un problème avec l’autorisation standard Liste du contenu du dossier. Il a tous les deux de ces autorisations avancées.

La résolution

À l'exception des répertoires système, la plupart des autorisations sont héritées tout au long de la chaîne. La première étape consiste donc à identifier le répertoire le plus proche de la racine du lecteur, où les symptômes font surface. Une fois ce répertoire localisé, cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés> onglet Sécurité. Vérifiez les autorisations pour chacun des groupes / utilisateurs répertoriés, afin de vérifier qu'ils disposent d'une vérification dans la colonne Autoriser pour l'autorisation du contenu du dossier de liste et non dans la colonne Refuser..

Si aucune colonne n'est cochée, consultez également l'entrée Autorisations spéciales. Si cette case est cochée (autoriser ou refuser), cliquez sur le bouton Avancée bouton, puis Modifier les autorisations sur la boîte de dialogue résultante si vous utilisez Vista ou une version ultérieure. Cela fera apparaître une boîte de dialogue presque identique avec quelques boutons supplémentaires. Sélectionnez le groupe approprié, cliquez sur modifier et assurez-vous que l'autorisation Liste dossier / lecture de données est autorisée.

Si les contrôles sont grisés, cela signifie que c'est un autorisation héritée, et le changer devrait être fait dans le dossier parent, sauf s'il existe une raison impérieuse de ne pas le faire, par exemple s'il s'agit du répertoire du profil de l'utilisateur et que le parent serait le dossier Utilisateurs ou Documents & Settings. Il est également déconseillé d’ajouter des autorisations à un deuxième utilisateur pour pouvoir accéder au répertoire de profil d’un autre utilisateur. À la place, connectez-vous en tant qu'utilisateur pour accéder à ces fichiers et dossiers. Si c'est quelque chose qui devrait être partagé, déplacez-les dans le répertoire du profil Public ou utilisez l'onglet Partage pour permettre à d'autres utilisateurs d'accéder aux ressources..

Il est également possible que l'utilisateur ne soit pas autorisé à modifier les autorisations des fichiers ou des répertoires en question. Dans ce cas, Windows Vista ou version ultérieure doit présenter un contrôle de compte d'utilisateur (UAC). Arrêtez les invites agaçantes du contrôle de compte d'utilisateur. - Comment créer une liste blanche de contrôle de compte d'utilisateur [Windows] Depuis Vista, nous, les utilisateurs de Windows, avons été harcelés, bogués, ennuyés et fatigués de l'invite de contrôle de compte d'utilisateur (UAC) nous informant du lancement d'un programme que nous avons lancé intentionnellement. Bien sûr, cela a été amélioré,… Lire Plus invite pour le mot de passe administrateur ou la permission d'élever les privilèges de l'utilisateur pour autoriser cet accès. Sous Windows XP, l'utilisateur doit ouvrir l'Explorateur Windows avec l'option Exécuter en tant que… et utiliser le compte administrateur Compte administrateur Windows: Tout ce que vous devez savoir Compte administrateur Windows: Tout ce que vous devez savoir à partir de Windows Vista, l'administrateur Windows intégré compte est désactivé par défaut. Vous pouvez l'activer, mais faites-le à vos risques et périls! Nous vous montrons comment. Lisez la suite pour vous assurer que les modifications peuvent être apportées, si elles ne sont pas déjà en cours d'exécution avec un compte administratif.

Je sais que beaucoup de gens vous diraient simplement de vous approprier les répertoires et les fichiers en question, mais il y a un énorme mise en garde à cette solution. Si cela devait avoir une incidence sur des fichiers système et / ou des répertoires, vous allez sérieusement affaiblir la sécurité globale de votre système. Cela devrait jamais être effectué sur les répertoires racine, Windows, Utilisateurs, Documents et paramètres, Fichiers de programme, Fichiers de programme (x86), Données de programme ou inetpub ou l’un de leurs sous-dossiers.

Conclusion

Comme vous pouvez le constater, les autorisations sur les lecteurs NTFS ne sont pas excessivement difficiles, mais la localisation de la source des problèmes d'accès peut s'avérer fastidieuse sur les systèmes comportant de nombreux répertoires. Avec une compréhension de base du fonctionnement des autorisations avec les listes de contrôle d'accès et un peu de ténacité, la localisation et la résolution de ces problèmes deviendront bientôt un jeu d'enfant.

En savoir plus sur: Gestion de fichiers, Système de fichiers, NTFS.