Close Menu

    Problèmes liés au système de fichiers Windows : pourquoi l’accès est-il refusé ?

    Louise GoossensBy 9 Mins Read Technologies
    windows-access-denied
    partners

    Problèmes liés au système de fichiers Windows : pourquoi l’accès est-il refusé ?


    Depuis que le système de fichiers NTFS a été introduit comme format par défaut pour les éditions grand public de Windows (à partir de Windows XP), les utilisateurs ont eu des problèmes pour accéder aux données sur les disques internes et externes. Les attributs de fichiers simples ne sont plus la seule cause de problèmes lorsqu’il s’agit de rechercher et d’utiliser des fichiers. Comme l’un de nos lecteurs l’a découvert, nous devons maintenant gérer les autorisations de fichiers et de dossiers.

    Questions de nos lecteurs :

    Je ne vois pas les dossiers sur le disque dur interne.j’ai exécuté la commande « propriétés -h -r -s /s /d » Il affiche l’accès refusé pour chaque dossier. Je peux accéder au dossier à l’aide de la commande « exécuter », mais je ne vois pas le dossier sur le disque dur. Comment puis-je réparer cela?

    Bruce a répondu :

    Voici quelques hypothèses de sécurité basées sur les informations que nous avons obtenues : le système d’exploitation est Windows XP ou une version ultérieure ; le système de fichiers utilisé est NTFS ; l’utilisateur n’a pas un contrôle total sur la partie du système de fichiers qu’il essaie de manipuler ; il n’est pas dans un contexte d’administrateur ; et les autorisations par défaut sur le système de fichiers peuvent avoir changé.

    tout Dans Windows, un objet est un objet, qu’il s’agisse d’une clé de registre, d’une imprimante ou d’un fichier. Même s’ils utilisent le même mécanisme pour définir l’accès des utilisateurs, nous limiterons la discussion aux objets du système de fichiers pour la garder aussi simple que possible.

    Contrôle d’accès

    La sécurité de toute sorte est une question de contrôle qui peut faire quelque chose sur l’objet protégé. Qui a la carte-clé pour déverrouiller la porte de l’enceinte ? Qui a la clé du bureau du PDG ? Qui a le code pour ouvrir le coffre-fort du bureau ?

    La même idée s’applique à la sécurité des fichiers et des dossiers sur le système de fichiers NTFS. Chaque utilisateur du système n’a pas un besoin raisonnable d’accéder à tous les fichiers du système, et n’a pas non plus besoin d’avoir les mêmes droits d’accès à ces fichiers. Tout comme chaque employé d’une entreprise n’a pas besoin d’avoir accès au coffre-fort du bureau du PDG ou de pouvoir réviser les rapports de l’entreprise, bien qu’il puisse être autorisé à les lire.

    Faire une vidéo du jour

    autorisation

    Windows contrôle l’accès aux objets du système de fichiers (fichiers et dossiers) en définissant des autorisations pour les utilisateurs ou les groupes. Ceux-ci spécifient l’accès de l’utilisateur ou du groupe à l’objet.Ces autorisations peuvent être définies sur Autoriser ou alors négatif Un type d’accès spécifique, qui peut être explicitement défini sur l’objet ou implicitement par héritage à partir de son dossier parent.

    Les autorisations standard pour les fichiers sont : Contrôle total, Modifier, Lire et exécuter, Lire, Écrire et Spécial. Les dossiers ont une autre autorisation spéciale appelée Lister le contenu du dossier.Ces autorisations standard sont prédéfinies Autorisations avancées Cela permet un contrôle plus précis, mais n’est généralement pas requis en dehors des autorisations standard.

    Par exemple, lire et exécuter Les autorisations standard incluent les autorisations avancées suivantes :

    • Parcourir les dossiers/exécuter les fichiers
    • Lister les dossiers/lire les données
    • lire la propriété
    • Lire les attributs étendus
    • autorisation de lecture

    liste de contrôle d’accès

    Chaque objet du système de fichiers est associé à une liste de contrôle d’accès (ACL). Une ACL est une liste d’identificateurs de sécurité (SID) qui ont des autorisations sur un objet. Le sous-système de l’autorité de sécurité locale (LSASS) compare le SID attaché au jeton d’accès présenté à l’utilisateur lors de la connexion avec le SID dans l’ACL de l’objet auquel l’utilisateur tente d’accéder. Si le SID de l’utilisateur ne correspond à aucun des SID de l’ACL, l’accès sera refusé. S’il y a une correspondance, l’accès demandé sera accordé ou refusé en fonction des autorisations du SID.

    Il y a un autre ordre d’évaluation de privilège à considérer. Les autorisations explicites sont prioritaires sur les autorisations implicites et les autorisations de refus sont prioritaires sur les autorisations d’autorisation. Dans l’ordre, ça ressemble à ça :

    1. refuser expressément
    2. autoriser explicitement
    3. rejet implicite
    4. Implicitement autorisé

    Autorisations du répertoire racine par défaut

    Les autorisations accordées à la racine du lecteur sont légèrement différentes, selon que le lecteur est un lecteur système ou non.Comme le montre la figure ci-dessous, le lecteur système dispose de deux Autoriser Entrées pour les utilisateurs authentifiés. Il existe un moyen d’autoriser les utilisateurs authentifiés à créer des dossiers et à ajouter des données aux fichiers existants, mais sans modifier les données existantes dans les fichiers qui ne fonctionnent que dans le répertoire racine. Un autre permet à un utilisateur authentifié de modifier les fichiers et dossiers contenus dans un sous-dossier si ce sous-dossier hérite des autorisations de la racine.

    Les répertoires système (Windows, Program Data, Program Files, Program Files (x86), Users ou Documents & Settings, et éventuellement d’autres) n’héritent pas leurs autorisations du répertoire racine. Comme il s’agit de répertoires système, leurs autorisations sont définies explicitement pour empêcher les logiciels malveillants ou les pirates de modifier par inadvertance ou de manière malveillante le système d’exploitation, les programmes et les fichiers de configuration.

    S’il ne s’agit pas d’un lecteur système, la seule différence est que le groupe Utilisateurs authentifiés a une entrée d’autorisation qui permet de modifier les autorisations sur les dossiers racine, les sous-dossiers et les fichiers. Toutes les autorisations attribuées aux 3 groupes et au compte SYSTEM sont héritées sur le lecteur.

    analyse du problème

    Quand notre affiche tourne Les attributs Les commandes tentent de supprimer tous les attributs système, cachés et en lecture seule sur tous les fichiers et dossiers commençant dans le répertoire (non spécifié) dans lequel ils se trouvent, et elles reçoivent un message indiquant que l’opération qu’elles voulaient effectuer (attribut d’écriture) a été refusée. Selon le répertoire à partir duquel ils exécutent la commande, cela peut être une très bonne chose, surtout s’ils sont dans C:.

    Au lieu d’essayer d’exécuter la commande, modifiez simplement les paramètres dans l’Explorateur Windows/Explorateur de fichiers pour afficher les fichiers et répertoires cachés.Cela peut facilement être fait en allant à Organiser > Options de dossier et de recherche dans l’Explorateur Windows ou Fichier > Modifier les options de dossier et de recherche dans l’Explorateur de fichiers.Dans la boîte de dialogue qui s’affiche, sélectionnez Onglet Affichage > Afficher les fichiers, dossiers et lecteurs cachésLorsque cette fonctionnalité est activée, les répertoires et fichiers cachés apparaissent sous forme d’éléments grisés dans la liste.

    À ce stade, si les fichiers et les dossiers ne s’affichent toujours pas, il y a un problème avec les autorisations avancées de liste des dossiers/lecture de données.L’utilisateur ou le groupe auquel l’utilisateur appartient est clairement ou alors implicitement Les autorisations d’accès aux dossiers concernés sont refusées ou l’utilisateur n’appartient à aucun groupe ayant accès à ces dossiers.

    Si l’utilisateur ne dispose pas de l’autorisation Lister le dossier/Lire les données, vous pouvez demander au lecteur comment accéder directement à l’un de ces dossiers. Tant que vous connaissez le chemin d’accès au dossier, vous pouvez y accéder tant que vous disposez des autorisations avancées pour parcourir le dossier/fichier d’exécution. C’est également la raison pour laquelle l’autorisation standard Lister le contenu du dossier est moins susceptible de rencontrer des problèmes.il a tous les deux ces autorisations avancées.

    résolution

    À l’exception des répertoires système, la plupart des autorisations sont héritées de la chaîne. La première étape consiste donc à identifier le répertoire le plus proche de la racine du lecteur, où les symptômes apparaissent.Une fois que vous avez trouvé ce répertoire, cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés > onglet Sécurité. Vérifiez les autorisations de chaque groupe/utilisateur répertorié pour vérifier que l’autorisation Lister le contenu du dossier est cochée dans la colonne Autoriser, et non dans la colonne Refuser.

    Si aucune des colonnes n’est cochée, vérifiez également l’entrée pour les autorisations spéciales.Si cette option est sélectionnée (Autoriser ou Refuser), cliquez sur Avancée bouton, puis Modifier les autorisations Dans la boîte de dialogue qui s’affiche si vous utilisez Vista ou une version ultérieure. Cela ouvrira une boîte de dialogue presque identique avec quelques boutons supplémentaires.Sélectionnez le groupe approprié et cliquez sur Éditer Et assurez-vous que l’autorisation de liste de dossier/lecture de données est autorisée.

    Si la coche est grisée, cela signifie qu’il est permis de succession, Et le changer doit être fait dans le dossier parent à moins qu’il n’y ait une raison impérieuse de ne pas le faire, par exemple, c’est le répertoire du profil de l’utilisateur et le dossier parent est le dossier utilisateur ou documents et paramètres. Il serait également imprudent d’ajouter des autorisations pour qu’un deuxième utilisateur accède au répertoire de profil d’un autre utilisateur. Au lieu de cela, connectez-vous en tant que cet utilisateur pour accéder à ces fichiers et dossiers. S’il doit être partagé, déplacez-le vers le répertoire de profil public ou utilisez l’onglet de partage pour permettre à d’autres utilisateurs d’accéder aux ressources.

    L’utilisateur peut également ne pas être autorisé à modifier le fichier ou le répertoire concerné. Dans ce cas, Windows Vista ou version ultérieure doit afficher une invite de contrôle de compte d’utilisateur (UAC), entrer un mot de passe administrateur ou élever les privilèges de l’utilisateur pour permettre cet accès. Sous Windows XP, les utilisateurs doivent ouvrir l’Explorateur Windows avec l’option Exécuter en tant que… et utiliser un compte administrateur pour s’assurer que les modifications peuvent être apportées, s’ils ne sont pas déjà exécutés sous un compte administrateur.

    Je sais que beaucoup de gens vous diront simplement de vous approprier les répertoires et fichiers pertinents, mais il y a un énorme Avertissement sur cette solution. Si cela affecte des fichiers système et/ou des répertoires, vous affaiblirez sérieusement la sécurité globale du système.cela devrait pas du tout Cela se fait dans le répertoire racine, les répertoires Windows, Utilisateurs, Documents et paramètres, Program Files, Program Files (x86), Program Data ou inetpub ou l’un de ses sous-dossiers.

    en conclusion

    Comme vous pouvez le voir, les autorisations sur les lecteurs NTFS ne sont pas trop difficiles, mais localiser la source des problèmes d’accès sur un système avec un grand nombre de répertoires peut être fastidieux. Avec une compréhension de base du fonctionnement des autorisations avec les listes de contrôle d’accès et un peu de courage, localiser et résoudre ces problèmes deviendra rapidement un jeu d’enfant.

    A propos de l’auteur

    Share.

    Related Posts

    Add A Comment
    Leave A Reply