21 votes

Quels sont les différents noms d'objet dans Windows ?

Lorsque vous cliquez avec le bouton droit sur un fichier ou un dossier dans Windows > propriétés > Avancé > Modifier les autorisations > Ajouter

Windows vous demandera d'ajouter des noms d'objets spécifiques. Je n'ai connu que les quatre suivants jusqu'à présent à partir de diverses vidéos et guides :

administrateurs
système
tout le monde
utilisateurs

À quoi correspondent chacun de ces noms d'objets (ou groupes) ? y a-t-il d'autres noms d'objets "spéciaux" ? Ces noms d'objets sont-ils uniquement applicables à la définition des autorisations de fichier dans Windows ?

20voto

James Mertz Points 390

Il existe de nombreux types différents - ils ne représentent pas nécessairement des objets individuels, mais des "identificateurs de sécurité" (SIDs). Certains types que vous pouvez entrer dans cette boîte de dialogue sont:

  • Noms de compte d'utilisateur (le nom d'utilisateur ou le nom complet sont acceptés).
  • Noms de groupe (par exemple les groupes intégrés tels que "Administrateurs", "Utilisateurs", "Opérateurs de sauvegarde", mais aussi des groupes personnalisés créés via lusrmgr.msc).
  • Ordinateurs (uniquement dans les réseaux Active Directory). Lorsqu'un service système sur l'ordinateur A souhaite accéder à une ressource sur l'ordinateur B, il n'a pas son propre compte utilisateur, il utilisera donc le "compte machine" de l'ordinateur.
  • Utilisateurs intégrés spéciaux tels que "SYSTEM" qui représentent les services système (un peu similaire à root sur Linux).
  • Indicateurs de connexion tels que "INTERACTIF" (obtenu par toutes les sessions interactives, c'est-à-dire lorsque vous vous connectez via la console ou le Bureau à distance), "RESEAU" (obtenu par toutes les connexions via le partage de fichiers, ou les connexions sans mot de passe via WinRM/SSH), "LOT" (tâches planifiées du Planificateur de tâches).
  • Groupes virtuels "bien connus" tels que "Tout le monde" (c'est principalement égal à "Utilisateurs authentifiés" maintenant), "Utilisateurs locaux" (c'est-à-dire des utilisateurs ne faisant pas partie de l'Active Directory), et ainsi de suite.
  • Principaux de modèle tels que "CRÉATEUR PROPRIÉTAIRE" qui ne font rien par eux-mêmes, mais sont étendus à l'utilisateur réel lors de l'héritage. Par exemple, si un dossier accorde des droits de modification à "CRÉATEUR PROPRIÉTAIRE", et que vous créez un fichier à l'intérieur, alors votre compte se voit accorder des droits de modification.

Si vous cliquez sur "Avancé", vous obtiendrez une fenêtre de recherche qui répertoriera la plupart des éléments ci-dessus.

Windows traduira les noms saisis en SIDs (identifiants de sécurité), mais il peut même y avoir des entités qui ont des SIDs et apparaissent dans les listes de contrôle d'accès que vous ne pouvez réellement pas entrer dans cette fenêtre.

Par exemple, chaque service système a également son propre SID (distinct de "SYSTEM"), et si je me souviens correctement, chaque application installée via le Microsoft Store se voit attribuer son propre SID également.

Un processus se verra accorder des autorisations via plusieurs SIDs à la fois - par exemple, si vous exécutez Notepad.exe, il aura votre SID "utilisateur", bien sûr, mais il aura aussi des SIDs de groupe pour tous les groupes auxquels vous appartenez; il aura également les SID "INTERACTIF", "Tout le monde", et ainsi de suite. (Des programmes tels que whoami /groups, ProcExp, ou Process Hacker peuvent montrer cela.)

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X