Apprenez à utiliser Windows ACL pour gérer les autorisations d'accès aux données de votre NAS ASUSTOR.

OBJECTIFS DU COURS
À la fin de ce cours, vous devriez être en mesure de : 
1. Comprendre les principes de base de l'utilisation de Windows ACL avec votre NAS ASUSTOR 
2. Utiliser Windows ACL pour gérer les autorisations d'accès aux données sur votre NAS ASUSTOR


Prérequis du cours : 
Course Prerequisites:
NAS 106 : Utilisation du NAS avec Microsoft Windows
Les étudiants doivent avoir une connaissance pratique de : 
L'installation et l'initialisation d’un NAS ASUSTOR 
La création de volumes de stockage et de dossiers partagés 
La création d'utilisateurs et de groupes locaux dans ADM 

PRÉSENTATION 
1. Introduction à Windows ACL
1.1 Qu'est-ce que Windows ACL ?
1.2 Dois-je activer Windows ACL ?
2. Configuration de la liste de contrôle d'accès Windows
2.1 Activer Windows ACL
2.2 Configurer les autorisations Windows ACL avec l'Explorateur de Fichiers
2.3 Configurer les autorisations Windows ACL avec l'Explorateur Windows
2.4 Règles et précautions d'autorisation Windows ACL
2.5 Déplacer des objets vers votre NAS tout en conservant les autorisations ACL

1. Introduction à Windows ACL

1.1 Qu'est-ce que Windows ACL ?

Windows ACL comprend les 13 différents types d'autorisations de fichiers conçus par Microsoft pour les systèmes de fichiers NTFS qui peuvent être appliqués à des utilisateurs et des groupes spécifiques. Dans ce type d'infrastructure, les administrateurs peuvent effectuer des configurations d'autorisation d'accès plus détaillées et plus précises.

De plus, dans l'infrastructure de domaine Windows AD (largement utilisée par les entreprises), les autorisations Windows ACL peuvent être appliquées à tous les utilisateurs et groupes du domaine. Les utilisateurs peuvent utiliser n'importe quel ordinateur du réseau pour se connecter, et tant qu'ils utilisent le même nom de compte, toutes les autorisations resteront les mêmes. Le personnel informatique n'aura pas besoin de configurer les autorisations pour chaque serveur et poste de travail PC, ce qui augmentera considérablement l’efficience.

Afin d'intégrer plus étroitement le NAS ASUSTOR aux domaines AD, en simplifiant la gestion informatique et en augmentant la productivité, ASUSTOR a profondément intégré le système d'autorisations Windows ACL avec ADM, offrant les fonctionnalités uniques suivantes : 
1. La possibilité d'activer Windows ACL pour des dossiers partagés individuels 
2 Prise en charge complète des 13 types d'autorisations ACL Windows 
3. Possibilité d'afficher en détail les autorisations effectives ACL Windows depuis ADM 
4. Prise en charge des utilisateurs et des groupes du réseau 
5. Possibilité d'appliquer des autorisations ACL à Samba, à l’Explorateur de fichiers, AFP, FTP, WebDAV, Rsync 

1.2 Dois-je activer Windows ACL ? 

Comme décrit dans la section précédente, Windows ACL fournit jusqu'à 13 paramètres d'autorisation différents qui peuvent être appliqués à tous les utilisateurs et groupes sur le NAS et sur le domaine (si le NAS a été ajouté à un domaine Windows AD). En cas de planification ou de configuration incorrecte des autorisations, il est possible que tous les utilisateurs ne puissent pas accéder à un certain dossier ou fichier. Évidemment, ce type d'erreur peut être résolu en utilisant un compte administrateur, mais le temps perdu entre le moment où le problème survient et sa résolution peut être considéré comme un coût intangible important pour les entreprises.

Le NAS ASUSTOR a été développé sur la base du système d'exploitation Linux, de sorte que les paramètres natifs d'ADM utilisent le mécanisme de gestion des autorisations Linux : 
Permissions applicables : RW (Lecture Ecriture), RO (Lecture Seule), DA (Accès refusé) Les permissions peuvent être appliquées à : « Propriétaire », le groupe dont le propriétaire fait partie et « Autre ». 

Le plus petit nombre d'options permet une configuration plus simple. Cependant, la flexibilité et l'adaptabilité des autorisations sont très limitées. Par exemple, lors de l'utilisation du mécanisme d'autorisations Linux, il n'est pas possible de donner à un utilisateur la possibilité de modifier un fichier sans lui donner l'autorisation de supprimer le fichier.

Si vous n'utilisez votre NAS qu'entre vous et un nombre limité de membres de votre famille et d'amis, il est recommandé d'utiliser le mécanisme de gestion des autorisations d'origine d'ADM. Cependant, si votre NAS est utilisé pour le stockage de données professionnelles, il est conseillé de consulter d'abord votre personnel informatique pour décider s'il est approprié d'activer les autorisations Windows ACL, puis de compléter un plan de déploiement des autorisations si vous décidez de l'utiliser.

Nous vous offrons la possibilité d'activer ou de désactiver Windows ACL pour des dossiers partagés individuellement, ce qui est très utile pour l'évaluation et la planification. Vous pouvez créer un dossier partagé pour les tests, activer Windows ACL, puis configurer les paramètres des permissions. Ensuite, vous pouvez vérifier si les résultats sont ceux que vous escomptiez Une fois que vous obtenez les résultats dont vous avez besoin, vous pouvez ensuite appliquer les paramètres au dossier partagé de votre choix. Cela vous permet d'éviter toute erreur ou erreur de planification qui pourrait empêcher l'accès à des données importantes, affectant le fonctionnement de votre entreprise.

2. Configuration de la liste de contrôle d'accès Windows
2. 1 Activation de Windows ACL
Création d'un nouveau dossier partagé 

Connectez-vous à ADM en utilisant le compte « admin » ou un compte utilisateur appartenant au groupe « administrators ». Sélectionnez [Contrôle d'accès] → [Dossiers partagés] → [Ajouter] .

Saisissez un nom pour votre nouveau dossier partagé puis cliquez sur [Suivant] .

Après avoir défini les droits d'accès pour le dossier partagé, cochez la case [Activer Windows ACL] puis cliquez sur [Suivant] . 

Remarque : Les droits d'accès aux dossiers partagés constituent la première couche de vérification des permissions. Si un utilisateur ou un groupe n'a pas reçu de permission/autorisation "Lecture écriture, toutes les autorisations Windows ACL qui lui sont attribuées seront bloquées. Par conséquent, il est recommandé de configurer des droits d'accès plus indulgents pour les dossiers partagés sur lesquels Windows ACL est activé, puis d'utiliser Windows ACL pour configurer ultérieurement des autorisations plus spécifiques. Cliquez sur [Terminer] pour terminer la création du dossier partagé.

Click on [Finish] to complete the creation of the shared folder.

Activer Windows ACL pour les dossiers partagés déjà existants 

Connectez-vous à ADM en utilisant le compte « admin » ou un compte utilisateur appartenant au groupe « administrators ». Sélectionnez [Contrôle d'accès] > [Dossiers partagés] → [ Le dossier partagé pour lequel vous souhaitez activer Windows ACL ] → [Editer] .

Sélectionnez l'onglet [Windows ACL] , cochez la case [Activer Windows ACL] puis cliquez sur [Fermer] . 

2.2 Configuration des permissions Windows ACL avec ADM Explorateur de Fichiers 

Dans ADM, ouvrez l'Explorateur de fichiers, puis sélectionnez un dossier partagé (ou un sous-dossier ou un fichier) pour lequel vous avez activé Windows ACL. Cliquez avec le bouton droit sur le dossier partagé, puis sélectionnez [Propriétés] .

Dans la fenêtre des propriétés, sélectionnez l'onglet [Permissions] . Ici, vous pourrez voir les permissions actuellement configurées pour le dossier. Vous pouvez également gérer ici. les permissions pour le dossier Après avoir activé Windows ACL pour un dossier partagé, le système attribuera par défaut les permissions « Lecture et écriture », mais ne peut pas supprimer » à « Tout le monde », « Administrateurs » et le compte « admin ». Ces permissions seront appliquées au dossier partagé uniquement et ne seront pas héritées par les objets ci-dessous sous la mention « non héritées ». Ces permissions par défaut peuvent être modifiées à l'aide des boutons [Editer] ou [Supprimer]. Remarque : Un fichier ou un dossier individuel peut utiliser jusqu'à 250 permissions ACL Windows (y compris les permissions héritées). Inclure les permissions pouvant être héritées du parent de cet objet :

ette option est activée par défaut. Le système configurera automatiquement les sous-dossiers et les fichiers pour hériter des permissions de l'objet au-dessus. La désactivation de cette option rejettera toutes les permissions pouvant être héritées et ne conservera que les permissions nouvellement ajoutées. 

Remplacer toutes les permissions de l’objet enfant avec les permissions héritées de cet objet : l'activation de cette option remplacera toutes les autorisations de sous-dossier et de fichier par celles de l'objet parent. Les fonctions de gestion que vous pourrez utiliser ici sont les suivantes : Ajouter Cliquez sur le bouton [Ajouter] pour créer une nouvelle permission pour l'objet.

Utilisateur ou groupe : spécifiez l'utilisateur ou le groupe auquel vous souhaitez appliquer la permission 
Type : sélectionnez [Autoriser] ou [Refuser] pour accorder ou refuser la permission à l'utilisateur ou au groupe. 
Appliquer à : cette option n'apparaîtra que lors de l'ajout de permissions à un dossier. Dans le menu déroulant, vous pouvez sélectionner où la permission sera appliquée. La manière dont la permission sera appliquée sera déterminée par le fait que vous cochez ou non la case [Appliquer ces permissions aux objets et/ou contenants au sein du contenant uniquement]. Lorsque la case [Appliquer ces permissions aux objets et/ou contenants au sein du contenant uniquement] est décochée : 

Lorsque la case case [Appliquer ces permissions aux objets et/ou contenants au sein du contenant uniquement] est cochée : 

Editer

Sélectionner une permission puis cliquer sur le bouton [Éditer] vous permettra de éditer la permission.

Supprimer

Sélectionner une permission puis cliquer sur [Supprimer] supprimera la permission de l'objet actuel.

Permissions effectives

Cliquer sur le bouton [Permissions effectives] puis sélectionner un utilisateur dans la liste vous permettra d'afficher les permissions effectives de l'utilisateur concernant le dossier ou le fichier spécifié. Les permissions effectives sont déterminées à partir de la combinaison des permissions ACL Windows et des droits d'accès aux dossiers partagés. 

Configuration des autorisations Windows ACL avec l'Explorateur Windows 

1. Tout d'abord, utilisez un compte administrateur de Windows pour mapper un dossier partagé compatible Windows ACL en tant que lecteur réseau. Pour plus d'informations, consultez NAS 106 : Utilisation de NAS avec Microsoft Windows .

2. Cliquez avec le bouton droit sur n'importe quel fichier ou sous-dossier dans le dossier partagé, puis sélectionnez [Propriétés] . Sélectionnez ensuite l’onglet [Sécurité] . Ici, vous pourrez voir une liste d'utilisateurs et de groupes et leurs autorisations ACL pour le fichier ou le sous-dossier. 

Si un objet a simultanément hérité des permissions de son parent et également des permissions explicites, les permissions héritées seront cochées en gris tandis que les permissions explicites seront cochées en noir. 

3. Cliquez sur [Modifier] → [Ajouter] . Dans le champ [Depuis cet emplacement :], vous devriez voir les informations suivantes : 
Si le NAS a été ajouté à un domaine Windows AD, vous verrez le nom de domaine AD. 
Si le NAS n'a pas été ajouté à un domaine Windows AD, vous verrez l'adresse IP du NAS. 

4. Dans le champ [Saisir les noms d'objets à sélectionner] , saisissez les informations suivantes : 
Si le NAS a été ajouté à un domaine Windows AD, saisissez le nom d'utilisateur ou de groupe du domaine, puis cliquez sur [Vérifier les noms] afin de vérifier le nom de l'utilisateur/du groupe. Ensuite, cliquez sur [OK] . 

Si le NAS n'a pas été ajouté à un domaine Windows AD, saisissez le nom de l'utilisateur ou du groupe local ADM, puis cliquez sur [Vérifier le nom] afin de vérifier le nom de l'utilisateur/du groupe. Ensuite, cliquez sur [OK] .

5. Maintenant, vous devriez pouvoir voir l'utilisateur ou le groupe nouvellement ajouté dans la liste [Groupe ou nom d’utilisateur:]. Sélectionnez l'utilisateur ou le groupe, puis utilisez les cases à cocher [Autoriser] et [Refuser] pour configurer leurs permissions d'accès à l'objet. Une fois que vous avez terminé, cliquez sur [Appliquer] 

2.4 Règles et précautions de permissions de Windows ACL
2.4.1 Permissions ACL conflictuelles 

Si vous rencontrez des permissions ACL Windows conflictuelles, les permissions explicites de l'objet seront prioritaires. Par exemple, si l'utilisateur Hélène hérite des permissions "Autoriser la lecture et l'exécution" pour un fichier mais que les permissions explicites données pour le fichier sont "Refuser la lecture et l'exécution", alors Hélène ne pourra pas accéder au fichier. 

Inversement, si Hélène hérite des permissions "Refuser la lecture" mais que la permission explicite accordée au fichier est "Autoriser la lecture", alors Hélène pourra accéder au fichier.

2.4.2 Règles de déplacement de fichiers et de dossiers

Exceptions  : lorsque des données sont supprimées d'un dossier partagé activé par ACL et déplacées vers la corbeille réseau, les règles de "B3" dans le tableau ci-dessus ne s'appliquent pas. Cela permet d'éviter la situation où les fichiers avec des permissions "Refuser l'accès" sont supprimés et déplacés vers la corbeille réseau, puis deviennent entièrement accessibles à tous les utilisateurs. En tenant compte de la confidentialité et de la sécurité, les fichiers des dossiers activés par ACL qui sont déplacés vers la corbeille réseau se verront attribuer l'autorisation "Lecture et écriture pour les propriétaires, Refuser l'accès pour tous les autres utilisateurs".

2.4.3 Permission de suppression de fichiers

Il existe 2 autorisations associées à la suppression de fichiers : 

1. L'utilisateur dispose d'une permission explicite de « Supprimer » pour le fichier 2.
L'utilisateur dispose de l'autorisation « Supprimer les Sous-Dossiers et  fichiers » pour le dossier parent du fichier. Si l'une des autorisations ci-dessus est configurée sur "Refuser", l'utilisateur ne pourra pas supprimer le fichier. Ce n'est que si aucune des autorisations ci-dessus n'a été configurée sur "Refuser" et au moins l'une d'entre elles a été configurée sur "Autoriser", que l'utilisateur pourra supprimer le fichier.

 2.4.4 Droit d'accès des objets

Une fois que Windows ACL a été activé pour un dossier partagé, chaque objet (sous-dossiers et fichiers) contenu dans le dossier aura un droit d'accès. Vous pouvez afficher le droit d'accès pour un objet en le sélectionnant dans l'Explorateur de fichiers d’ADM, en cliquant dessus avec le bouton droit de la souris, puis en sélectionnant [Propriétés] . Il y aura un lien d'édition dans la section [Droits d'Accès Dossier Partagé] de l'onglet [Général] .

La personne qui a le droit d'accès pourra configurer les permissions ACL pour cela. Par exemple, l'utilisateur Oscar dans le graphique ci-dessus est le propriétaire du dossier ACL Demo. Par conséquent, oscar pourra configurer les permissions ACL pour le dossier, le sous-dossier et les fichiers qu'il contient. 

Pour chaque objet nouvellement ajouté, le créateur de l'objet sera défini comme les droits d'accès par défaut. De plus, les utilisateurs du groupe administrateur auront la possibilité de modifier les droits d'accès. Par exemple, si nous voulions transférer la propriété du dossier ACL Demo dans le graphique ci-dessus à d'autres utilisateurs (par exemple, Helen), oscar et tous les utilisateurs du groupe administrateur auraient la possibilité de transférer la propriété. Une fois qu'Helen devient propriétaire du dossier ACL Demo, elle pourra reconfigurer les permissions pour ses sous-dossiers et fichiers même si elle n'avait pas DE permissions d'accès pour eux à l'origine.

2.5 Déplacement d'objets vers votre NAS tout en conservant les permissions ACL 

Lorsque tous les PC Windows et périphériques NAS d'un environnement réseau ont été ajoutés au même domaine Windows AD, tous les comptes d'utilisateurs et permissions sur le domaine peuvent être combinés. Cependant, lors du déplacement de fichiers ou de dossiers d'un serveur PC vers un NAS, les permissions ACL existantes ne seront pas conservées (en utilisant les règles de la section 2.4.2). Cela oblige le personnel informatique à reconfigurer les autorisations. 
Si vous souhaitez conserver les autorisations ACL existantes lors du déplacement de fichiers ou de dossiers vers votre NAS, vous pouvez utiliser Fastcopy, un logiciel tiers (http://ipmsg.org/tools/fastcopy.html.en ). Dans l'exemple ci-dessous, nous allons montrer comment utiliser  Fastcopy. 
1. Tout d'abord, utilisez un compte d'administrateur Windows pour mapper un dossier partagé compatible Windows ACL en tant que lecteur réseau. Pour plus d'informations, consultez NAS 106 : Utilisation de NAS avec Microsoft Windows . Dans notre exemple, nous avons mappé un dossier partagé en tant que lecteur réseau « Z : ». 

2. Ouvrez Fastcopy.

3. [Source] : Spécifiez ici le dossier source. 

[DestDir] : Spécifiez ici le dossier de destination (le lecteur réseau « Z : » mappé à l'étape 1)

Cochez la case [ACL] pour vous assurer que Fastcopy conservera les autorisations ACL d'origine de vos fichiers lors de leur déplacement. 

Cliquez sur [Exécuter] pour commencer à déplacer le dossier.

4. Une fois le dossier déplacé avec succès, toutes les données déplacées vers la destination conserveront leurs permission ACL de la source (y compris toutes les autorisations explicites et héritées). Ces données n'hériteront d'aucune permission de l'objet parent à la source.