Permissions NTFS

par

Permissions NTFS sous Windows : le contrôle total (ou presque) de vos fichiers

Vous pensiez qu’un clic droit > « Propriétés » > « Sécurité » suffisait à gérer l’accès à vos fichiers sous Windows ? Oui, mais non. Car derrière cette interface polie se cache un système de permissions redoutable : NTFS. À manier avec respect, au risque de s’auto-bannir de ses propres dossiers.

Qu’est-ce que NTFS ?

NTFS (New Technology File System) est le système de fichiers utilisé par Windows depuis… longtemps. Il gère les fichiers, mais surtout : les permissions d’accès. Grâce à lui, on peut définir qui peut lire, écrire, supprimer ou exécuter un fichier ou un dossier. Et qui ne peut pas. Et parfois même, qui croit pouvoir, mais non.

Les principes des permissions NTFS

Les permissions NTFS s’appliquent à des utilisateurs et des groupes, sur des fichiers ou des dossiers.

Permissions de base (simplifiées)

  • Lecture : lire le contenu.
  • Écriture : modifier le contenu.
  • Lecture et exécution : lire + lancer un exécutable.
  • Liste du dossier : voir les fichiers dans un dossier.
  • Modification : lire, écrire, supprimer (sauf propriété).
  • Contrôle total : tous les droits, y compris modifier les permissions.

Permissions avancées

Derrière le bouton « Avancé », on trouve les permissions granulaires : supprimer, modifier les attributs, créer des fichiers, changer le propriétaire, etc. C’est là que les choses deviennent sérieuses (et que les ennuis commencent).

Héritage des permissions

Par défaut, un dossier transmet ses permissions à tout ce qu’il contient. C’est pratique… jusqu’à ce que vous donniez le contrôle total à « Tout le monde » sur C:\ par mégarde. Heureusement, l’héritage peut être désactivé. Mais attention : supprimer l’héritage peut créer un patchwork de règles plus instable qu’un contrat de travail en open space.

Interactions entre utilisateurs et groupes

  • Un utilisateur peut appartenir à plusieurs groupes.
  • Les permissions se cumulent : si un groupe a « Lecture » et un autre « Écriture », l’utilisateur aura les deux.
  • Mais une exception existe : le refus explicite (Deny) a la priorité absolue.

Exemple : si l’utilisateur fait partie de « Utilisateurs » (avec lecture) et aussi de « Bloqués » (avec refus), il sera bloqué. C’est le veto suprême.

Les commandes pour gérer les permissions

1. icacls : l’arme fatale

La commande icacls permet d’afficher, modifier, sauvegarder et restaurer les ACLs (Access Control Lists).

Afficher les permissions :

icacls "C:\MonDossier"

Donner des droits :

icacls "C:\MonDossier" /grant Utilisateur:(M)
  • R : Lecture
  • W : Écriture
  • M : Modification
  • F : Contrôle total

Refuser des droits :

icacls "C:\Secret" /deny Kevin:(F)

Et voilà, Kevin est puni.

Supprimer les ACL personnalisées :

icacls "C:\Temp" /reset

Sauvegarder et restaurer les ACL :

icacls "C:\Dossier" /save droits.txt
icacls "C:\Dossier" /restore droits.txt

Permissions NTFS vs Permissions de partage

Quand vous partagez un dossier sur le réseau, deux types de permissions coexistent :

  1. NTFS : permissions sur le système de fichiers local.
  2. Partage : permissions réseau (via l’onglet « Partage »)

Et voici la règle d’or : c’est la plus restrictive des deux qui s’applique.

Exemple :

  • Permission NTFS : « Modification »
  • Permission Partage : « Lecture seule »

→ Le client réseau aura lecture seule.

Autrement dit : peu importe ce que NTFS permet si le partage dit « non ». Et vice versa. C’est le couple toxique de l’administration réseau.

Cas pratiques

1. Créer un dossier « projets » en lecture seule sauf pour un groupe

icacls "C:\projets" /grant "Utilisateurs":(R)
icacls "C:\projets" /grant "Developpeurs":(M)

2. Empêcher un utilisateur de supprimer des fichiers, même s’il peut les modifier

icacls "C:\docs" /grant Toto:(M)
icacls "C:\docs" /deny Toto:(D)

(Oui, la suppression est une permission distincte. Pratique pour les utilisateurs créatifs… mais maladroits.)

3. Révoquer tout accès sauf pour un seul utilisateur

icacls "C:\secret" /reset
icacls "C:\secret" /grant Administrateur:(F)

Conclusion : NTFS, ou comment garder le contrôle… jusqu’à ce que tout se complique

NTFS est puissant. Trop, parfois. Il permet de sécuriser vos fichiers avec précision. Mais il faut comprendre ses règles, ses héritages, ses conflits… et ses commandes.

Et surtout, ne jamais oublier : une mauvaise permission, c’est un utilisateur bloqué. Ou pire : un utilisateur avec trop de pouvoir. Et dans Windows, c’est souvent celui qui supprime sans lire, clique sans réfléchir… et appelle l’admin après.