- français
- English
Guide du partage des données à travers le réseau, sous Windows XP PRO SP3
https://wiki.epfl.ch/pierre-etienne/computing/guide/windows-share-multimedia (http://blogs.epfl.ch/article/29231)
Guide du partage des données à travers le réseau, sous Windows XP PRO SP3
Bonjour,
Les nouveaux lecteurs multimédia, permettent souvent d'accéder aux ressources réseau; en général, ils utilisent le protocole NetBIOS (Samba/CIFS) utilisé par Microsoft, mais qui est aussi compatible avec Mac OS X et Linux. Contrôlez bien le protocole utilisé, et qu'il ne soit pas, par exemple, NDAS (Network Direct Attached Storage), qui n'utilise pas TCP/IP et exige l'installation d'un driver spécial.
Si vous avez une enclosure de stockage réseau (NAS), le partage d'un répertoire est simple, et les comptes utilisateurs sont faciles à gérer. Par contre, si on veut se connecter sur un PC, tournant sous Windows XP SP3 Professional, il faudra faire quelques manipulations. On peut d'ailleurs souvent lire sur Internet, dans des reviews, que les testeurs ont eu des soucis d'accéder aux dossiers partagés de Windows, en tant que "Guest" au travers de leur boîtier multimédia, voir l'impossibilité de le faire. J'espère qu'avec ce petit guide, qu'il répondra à vos questions sur le sujet; dans mon cas, avec un boîtier 'EMTEC Movie Cube N200', j'y suis arrivé en quelques clics, sans transformer mon PC de travail, en "Moulin à vent" ouvert à n'importe qui!
Pour accéder, depuis un boîtier multimédia utilisant le protocole de partage standard Windows (NetBIOS), aux ressources d'un PC, les manipulations sont simples et "clickodrome". Mais j'aimerais faire un petit rappel de théorie, afin que le lecteur comprenne ce qu'il fasse…
La deuxième partie vous donne la manipulation pratique des opérations à effectuer.
1) Rappel de théorie succinct sur le partage réseau Windows:
Ce qui suit est un guide pratique, n'ayant pas pour but d'approfondir tous les aspects du partage des ressources d'un PC, mais de donner le minimum de bases nécessaires pour sa mise en place.
Il faut activer l'option "Activer NetBIOS avec TCP/IP" dans les paramètres TCP/IP de l'interface de réseau active; cela aide à la fonction d'indexation des machines dans l'explorateur réseau.
Le partage de répertoire(s) sous Windows XP SP3 Professional propose deux options:
1.1) Le partage simplifié de fichiers:
Le partage simplifié de fichiers (c'est la seule méthode sur la version "Windows XP Home"), permet de donner l'accès à tout le monde, soit en lecture seule, soit en écriture, à un/des répertoire(s) que l'on veut partager. Avec cette méthode, on arrive rapidement à donner accès aux données que l'on veut partager. Cela peut suffire pour un réseau @home avec une machine dédiée pour le multimédia; mais dans un milieu professionnel, cela n'est pas recommandé, car tout le monde a accès aux données partagées.
C'est le mode proposé par défaut, lors d'une nouvelle installation de Windows XP PRO SP3.
Pour l'activer ou la désactiver, sous Windows XP PRO SP3, il faut aller dans
# Option des dossiers -> Affichage -> "Utiliser le partage de fichiers simple (recommandé)"
1.2) Le partage "classique" (NT/2000) des ressources:
Dans un réseau professionnel, on évite "les moulins à vents" ouverts, car on aime avoir un contrôle 'plus fin' du partage des ressources.
Voici un résumé des règles, sans entrer dans les détails (contrôleurs de domaines, …):
Les noms réservés d'utilisateurs ou de groupes, par Windows, varient en fonction de la langue; entre (parenthèses), le nom dans la version US.
#Le groupe "Utilisateurs (Users)", définit un compte entré spécifiquement avec un username et un password. Windows définit aussi quelques Users par défaut, comme "Administrateur (Administrator)", qui est le compte par défaut lors de l'installation de l'OS.
#Le user "Invité (Guest)", définit tous les autres username possibles, qui ne font pas partie d'un "User" déclaré dans le système.
Par contre, une fois que l'on active le compte "Invité (Guest)" et que l'on autorise l'accès au travers du réseau (voir manipulation définie "dans la stratégie de groupe" décrite plus loin dans ce document), sera définit comme tel, n'importe quelle connexion, qui ne transmet pas un User ET un password valable, correspondant à un compte défini. Après un test effectué, par exemple "Administrateur (Administrator)" ou un autre User déclaré, sera vu comme Guest, dans le contrôle des ressources, si on n'a pas défini de mot de passe dans la machine client. Pour contourner le problème, il suffira de paramétrer, pour la session locale active, dans "Proprieté d'information sur l'ouverture de session" (voir plus loin dans cet article), comment doit s'authentifier la machine client, auprès du serveur (username et password).
Exemple: Je crée l'utilisateur "Toto". Lors d'une authentification, si on se logue comme "Toto" ou "Administrateur", on sera considéré dans le groupe "Utilisateurs (Users)". Si je me logue comme "Dudule", … ou n'importe quel autre username qui n'existe pas dans le système, je serais considéré comme le user "Invité (Guest)".
Pour se connecter sur une ressource (un répertoire sur le disque dur), il y a:
- La connexion locale, c'est-à-dire quand on se logue localement sur le PC [Ouvertures de sessions locales]; c'est ce que l'on fait principalement (sans se poser plus de questions!)
- La connexion au travers d'un partage réseau [Accès à cet ordinateur à partir du réseau]
Windows XP PRO a fixé des règles de sécurité, pour les "Ouvertures de sessions locales" et pour l"Accès à partir du réseau".
Par défaut, lors d'une installation fraîche de Windows XP PRO:
- Le compte "Invité (Guest)" est désactivé.
- Si le compte "Invité (Guest)" est activé manuellement, il ne peut pas avoir l'"Accès à l'ordinateur à partir du réseau" tant que l'on ne modifie pas un paramètre dans la "stratégie de groupe".
- Pour se connecter sur un partage réseau, seul les membres du groupe "User" auront accès, ET leur compte devra avoir un mot de passe. Si une de ces deux conditions n'est pas respectée, vous aurez un message d'erreur vous indiquant que vous ne pouvez pas vous connecter au partage réseau souhaité:
Malheureusement, ce message d'erreur ne vous permet pas de vous loguer avec un autre compte (user/password); le diagnostique n'est pas toujours aisé, car le message est trop global sur la cause du refus.
Un exemple pratique: vous avez deux machines Windows XP PRO SP3 FRANÇAIS, et depuis le compte "Administrateur" qui n'a pas de mot de passe défini pour se loguer en session locale dans les deux PC's, en ayant effectué les partages des ressources réseau, vous aurez un message d'erreur ne vous permettant pas d'entrer un user/password. La raison: vous vous loguez avec le user existant "Administrateur", et ce dernier n'a pas de mot de passe; vous serez donc refusé pour cette raison.
Par contre, toujours sans mot de passe fixé pour le compte Administrateur, avec un Windows XP PRO SP3 en Français et l'autre dans une autre langue comme l'Anglais, vous aurez une fenêtre de dialogue vous demandant de vous loguer (nous sommes d'accord qu'il faille un compte valide sur la machine faisant office de serveur). La raison: en français, j'ai le compte <<root>> qui s'appelle "Administrateur" et en Anglais "Administrator". Comme il ne s'agit pas d'un compte déclaré dans le système, on n'est pas refusé à cause du mot de passe nul, et on aura une fenêtre de login.
Et le problème se produit aussi avec un compte bloqué: exemple "Toto" est désactivé. Si depuis la machine client, vous êtes logué comme "Toto", vous aurez aussi un message d'erreur ne vous permettant pas d'entrer un autre user/password, car vous êtes un User existant, mais désactivé.
Le principal problème, par rapport à un autre type de connexion demandant une authentification, comme HTTPS, FTP, SSH, … c'est que si vous êtes refusé (le message d'erreur affiché ci-dessus), vous ne pouvez pas forcément vous authentifier sous un autre compte.
On peut contourner le problème, sur la machine client, en déclarant, pour votre compte (session active), comment doit se loguer (user/password) votre PC, en fonction du serveur que vous voudrez accéder:
Exemple: l'utilisateur du PC client est logué en session locale avec le user "Administrateur" sans mot de passe et voudrait se loguer en tant que le user "neo" (avec un password déterminé) sur le PC serveur "multimedia" qui a l'IP 192.168.1.135.
Il faut aller dans:
# Paramètres -> Panneau de Configuration -> Comptes Utilisateurs
-> Sélectionnez le user, dans notre cas "Administrateur"
-> Gérer mes mots de passe réseau
Vous aurez éventuellement une liste existante, si vous aviez déjà mémorisé des mots de passe réseau. Sinon, faites "AJOUTER":
Vous remplirez le nom du serveur ou son adresse IP, ainsi que le nom d'utilisateur souhaité et le mot de passe.
Une précision: sous "Nom d'utilisateur", on a une syntaxe nom_de_machine\username
Pour l'exemple ci-dessus, on indique que l'on doit se connecter au serveur "multimedia", en utilisant le user "neo" de la machine "multimedia"; c'est la même me direz-vous, ce qui est exact.
Dans notre cas de réseau domestique, on a pas de contrôleur de domaine; ce dernier sert à centraliser les ressources réseau (utilisateurs, ressources, …) de manière à gérer les droits d'accès en un seul point.
Si notre serveur multimedia était dans un contrôleur de domaine avec un nom, par exemple, "big_brother", on devrait écrire sous "nom d'utilisateur": big_brother\neo
Dans notre exemple, avec le cas du contrôleur de domaine, on se connecte sur le serveur "multimedia" avec le user "neo", qui est authentifié par le domaine big_brother.
Pour partager un répertoire et qu'il soit accessible au réseau,
Il suffit de faire touche de droite de la souris dessus, et "propriétés":
Il y a deux partie:
- Le contrôle d'accès du partage réseau:
On définit les règles d'accès au répertoire, à travers le réseau. Par exemple, il est possible de donner un accès en session locale à un user ou un groupe, et lui en interdire l'accès à travers le réseau, par ce paramétrage.
- Le contrôle d'accès aux fichiers (Session Locale):
Ce menu apparaît seulement si le disque est formaté en NTFS; avec du FAT32, cet onglet n'existe pas.
Le droit d'accès aux fichiers, s'applique pour l'accès en mode "Session Locale" (login sur la machine); si la machine a plusieurs utilisateurs déclarés, ils peuvent ainsi restreindre l'accès à leurs données, dans leurs répertoires respectifs.
Si le partage de la ressource réseau est facile, on a souvent quelques soucis avec la partie "sécurité" des droits d'accès aux fichiers, à cause des problèmes d'héritage de droits ou de transfert vers les "enfants".
Vous aurez plusieurs groupes possibles ainsi que les utilisateurs déclarés dans le système; dans le cas qui nous intéresse, seul "Tout le monde (Everyone)", "Invité (Guest)", et "Utilisateurs (Users)" nous intéresseront.
-"Invités (Guest)" sont tous les username possibles, SAUF ceux déclarés dans le système, qui sont en général des "Utilisateurs (Users)"; attention les Users doivent envoyer leur mot de passe exact pour ne pas "tomber" dans le groupe "Invité (Guest)".
-"Utilisateurs (Users)" sont uniquement les utilisateurs déclarés dans le système, et qui ont réussi leur authentification avec leur password.
-"Tout le monde (Everyone)", comme son nom le laisse entendre, c'est … tout le monde, utilisateurs déclarés dans la machine et ceux qui n'existent pas (les possibilités sont larges!). Pour résumer, "Tout le monde (Everyone)" est l'ensemble des "Utilisateurs (Users)" + l'ensemble des "Invités (Guest)".
En général, on autorise un utilisateur ou un groupe à accéder à un partage réseau (ou une à ressource). Quand on n'interdit pas l'accès (Refuser), on autorise son utilisation. Le cas le plus permissif sera appliqué.
Mais on peut aussi explicitement interdire l'accès (Refuser) à un Utilisateur ou à un groupe. Et cette dernière option prime sur l'autorisation d'un utilisateur ou d'un groupe.
Exemple permissif:
Le répertoire "Music" est limité à la lecture seule pour "Tout le monde (Everyone)", mais accessible en écriture pour les "Utilisateurs (Users)" (déclarés dans le système).
Les "Utilisateurs (Users)", font partie de "Tout le monde (Everyone)"; mais il n'y a pas de règles restrictives (Refuser).
Si je me logue en tant qu'un "Utilisateur (User)" déclaré, je pourrai écrire dans le répertoire, car on a autorisé le groupe "Utilisateurs (Users)", qui est le plus permissif; on ne tient pas compte de la restriction qu'en lecture seule du groupe "Tout le monde (Everyone)" (dans lequel est inclus le groupe "Utilisateurs (Users)".
Exemple restrictif:
Le répertoire "Music" est interdit (Refuser) à "Tout le monde (Everyone)", mais accessible en écriture pour les "Utilisateurs (Users)" (déclarés dans le système).
Les "Utilisateurs (Users) font partie de "Tout le monde (Everyone)"; mais il a une règle restrictive (Refuser) qui va primer.
Si je me logue en tant qu'un "Utilisateur (User)" déclaré, je ne pourrai plus accéder (même en mode Session Locale!!!) au répertoire, car la règle restrictive prime sur toutes les autres autorisations.
Dans ce cas, même l'Administrateur, qui est dans le groupe "Tout le monde (Everyone)", n'aura pas accès au contenu du répertoire. Par contre, comme il a tous les droits, il pourra décocher la condition restrictive (Refuser) et tout rentrera dans l'ordre!
Si le compte "Invité (Guest)" est activé, il faudra, au niveau du partage réseau, donner les droits AUTORISER ou REFUSER (le cas échéant), aux deux groupes "Utilisateurs (Users) et "Invité (Guest)", de manière séparée, si on veut créer une règle précise (par exemple, si on désire donner l'accès uniquement aux Utilisateurs déclarés dans le système, à un partage précis).
Les droits d'accès se définissent en lecture seule, écriture/lecture et "Contrôle Total". "Contrôle Total" s'applique au niveau de la "Session Locale" (quand on est logué sur la machine). Par défaut, NE SELECTIONNEZ PAS CETTE OPTION! Pourquoi? Un utilisateur peut … se retirer le droit d'accéder à ses données et seul le compte Administrateur pourra rétablir les règles d'origine.
En général, il est préférable de ne pas donner l'accès en écriture à des données multimédia pour les clients standart, et de laisser seulement le contrôle soit en mode "session locale" (en se loguant sur la machine), ou par un compte spécifique. Imaginons que le boîtier multimédia soit "buggé" au niveau du firmware, ou que l'utilisateur fasse une mauvaise manipulation, en aucun cas il pourra effacer ou altérer les fichiers présents dans le répertoire partagé!
Cette partie a donné un aperçu et mis en garde sur certaines subtilités, et qui vous auront expliqué pourquoi, en tant qu'Administrateur d'une machine, dans certains cas, un utilisateur qui n'a pas de password sur sa machine (client), aura des difficultés à se connecter sur un serveur… ou n'aura pas les mêmes droits que les autres utilisateurs.
Dans le monde professionnel, vu le prix chutant de l'équipement informatique, les partages genre "guest" pour des Visiteurs, ont mieux d'être sur des machines "ouvertes", et de garder les machines "sensibles" le plus fermé possible, avec l'exigence d'une authentification d'un user et d'un password. Il est préférable de créer un compte "générique" connu par tout le monde, pour les échanges entre services (si cela ne pose pas un problème de confidentialité), comme 'public/public'. Vous sécuriserez les accès aux répertoires partagés, par la notion de groupe, dans lequel vous ajouterez les utilisateurs (sauf public/public!), au niveau de la gestion des comptes utilisateur.
Il reste encore un aspect qui mérite d'être énoncé: le problème de la diffusion du nom des machines (broadcast) dans le réseau. Si vos ordinateurs sont dans un même sous-réseau (subnet), vous les verrez dans le "network explorer". Dans notre exemple, même au travers d'un Access Point Wi-Fi, cela ne posera pas de problème (à moins que vous ayiez un gros réseau :-) ).
Dans le cas des réseaux d'entreprise segmentés en plusieurs subnets, les noms ne passeront pas. Si il y a un serveur de DNS, il faudra faire une recherche d'une machine, de la manière suivante: "nom_machine.nom_domain.domain" ou entrer directement son adresse IP, qui est souvent la solution la plus efficace. C'est pour cela, que j'ai présenté deux captures d'écran pour la "Propriété d'information sur l'ouverture de session".
2) Exercice pratique: partage de ses données multimédia
Vous aurez lu (en diagonale!) le petit rappel de théorie ci-dessus et vous aimeriez avoir un résultat pratique; c'est le but de cette partie.
Question: avez-vous déjà des partages actifs? Si oui, remplacez, sous l'option "partage réseau", le groupe "Tout le monde (Everyone)", par "Utilisateur (User)", avec les mêmes droits d'accès; à moins que vous vouliez qu'ils soient accessibles en libre accès à n'importe qui sur votre réseau. Vous garderez ainsi le contrôle d'accès de vos données. Si vous ne laissez personne d'autre, connecter des machines dans votre réseau, cela n'est pas critique… Dans le cas contraire, c'est mieux de le faire systématiquement, afin d'éviter de mauvaises surprises!
2.1) Activer le compte Guest:
-> Touche de droite de la souris sur le poste de travail, puis "Gérer"; sélectionnez "Outils système" -> "Utilisateurs et groupes locaux" -> "Utilisateurs". Double-cliquez sur "Invité":
-> Décochez l'option "Le compte est désactivé", puis OK; fermez la fenêtre "Gestion de l'ordinateur".
Remarque: Cette manipulation ne donne pas un accès en "session" locale", c'est-à-dire la possibilité de se loguer sur la machine, au travers compte "Invité (Guest)". Pour activer (ou désactiver) cette possibilité, il faut aller dans
# Paramètres -> Panneau de Configuration -> Comptes Utilisateurs
-> Double-cliquer sur "Invité (Guest)" et faire activer ou désactiver le compte.
2.2) Activer "NetBIOS Over TCP/IP"
# Paramètres -> Panneau de Configuration -> Connexions Réseau (Touche de droite de la souris -> Ouvrir)
* Sélectionnez l'interface réseau RJ45 câblée active [Connexion au réseau local] -> Touche de droite de la souris -> Propriété
* Dans le menu déroulant, allez tout en bas sous "Protocole Internet TCP/IP" et double-cliquez dessus.
* Allez dans l'option "Avancé" -> WINS
-> Sélectionnez la deuxième option: "NetBIOS avec TCP/IP" puis OK -> OK -> OK
2.3) Autoriser le compte "Invité (Guest)" à accéder aux ressources réseau:
# Lancez la console de commande (CMD) [Démarrer -> Exécuter] et tapez la commande suivante: gpedit.msc
* Vous devrez allez dans la rubrique:
-> Configuration ordinateur" -> "Paramètres Windows" -> "Paramètres de sécurité -> "Stratégies locales" -> "Attribution des droits utilisateur"
* Sélectionnez: "Refuser l'accès à cet ordinateur à partir du réseau" et double-cliquez dessus:
Sélectionnez "Invité (Guest)", et faites "Supprimer" -> Appliquer -> OK.
2.4) Partage des ressources désirées:
Maintenant, il faut partager le ou les répertoires. Si votre disque dur n'est pas partitionné en deux lecteurs logiques C: (Système) et D: (Données), …, vous aurez un problème d'accès potentiel, sur la section "Sécurité" (fichiers). En effet, si vous n'avez qu'un seul disque logique C:, tous les fichiers crées vont en général hériter du compte principal qui est l'Administrateur. Alors que si vous partagez des données depuis une autre partition, ou un autre disque dur supplémentaire, vous n'aurez pas ce problème: tous les éléments crées seront accessibles, au moins en lecture seule, aux autres Utilisateurs de la machine.
A noter qu'il est préférable de partager un répertoire proche de la racine "\", qu'un autre comme 'c:\documents and settings\user\ …'
Il est possible de faire "hériter" les droits, depuis le répertoire choisi, à tous les fichiers et dossiers inclus dans ce dernier, si cela est nécessaire; voir plus bas.
Exemple: Partage du répertoire multimedia avec le nom "Share", accessible à n'importe qui "Invité (Guest)" [username <> d'un compte existant/sans de mot de passe], en lecture seule.
# Sélectionnez le répertoire -> Touche de droite de la souris -> "Propriétés" -> "Partage":
Vous pouvez changer le nom du partage, comme il apparaîtra sur le réseau; n'utilisez pas de symboles spéciaux, ni d'espaces.
-> Cliquez "Autorisations"
-> Contrôlez que "Tout le monde (Everyone)" soit en lecture seule (à moins que vous vouliez que n'importe qui puisse modifier son contenu)
Avec "Ajouter" et "Supprimer", vous pouvez choisir le(s) utilisateur(s) et/ou Groupe(s) de votre choix, avec les droits "Autoriser" ou "Refuser".
-> Sélectionnez l'onglet "Securité":
-> Contrôlez que "Tout le monde (Everyone)" soit en lecture seule. (à moins que vous vouliez que n'importe qui puisse modifier son contenu)
Le partage du dossier "Share" est maintenant accessible sur le réseau, en tant que "Invité (Guest)" sans mot de passe et en lecture seule.
Si vous partagez des données sur le disque dur système (et éventuellement les autres disques), il est possible de faire hériter les propriétés du répertoire à l'ensemble des éléments contenus dans ce dernier:
Toujours dans l'onglet "Sécurité" -> Cliquez sur "Paramètres avancés":
-> Checkez la deuxième option "Remplacer les entrées d'autorisations de tous les objets enfants par les entrées affichées ici et qui s'appliquent aux objets enfants" et cliquez sur –> OK -> OK
Suivant les conditions, il faudra effectuer cette opération "Remplacer les entrées..:" aussi souvent que l'on ajoute des éléments dans le répertoire partagé et qui n'auraient pas les droits "Tout le monde (Everyone)".
2.5) Test de la connexion:
Faites l'essai, avec une autre machine, ou directement avec votre lecteur multimédia: il pourra se loguer … à condition qu'il n'utilise pas un compte déjà existant "User", comme Administrateur! (suivant les paramètres définis).
Si la connexion est réussie, vous verrez le nom sous lequel se logue le device: (dans mon exemple, pour le 'EMTEC Movie Cube N200': "REALTEK_GUEST")
En faisant touche de droite de la souris sur le poste de travail, puis "gérer"; sélectionnez "Outils système" -> "Dossiers partagés". Double-cliquez sur "Sessions":
En double cliquant sur "Fichiers ouverts", vous verrez la ressource partagée qui est accédée:
Et en double-cliquant sur "Partages", vous saurez exactement tous les répertoires que vous partagez dans votre PC:
2.6) Suppression du password pour la connexion en tant que User
Afin de compléter cet article, peut-être aimeriez-vous, dans d'autres circonstances, permettre à un User précis, de se connecter à un partage réseau, sans devoir fixer un mot de passe. A la différence de "Invité (Guest)", qui envoie n'importe quel username (<> d'un user existant), cette option permet d'avoir un username précis.
# Lancez la console de commande (CMD) [Démarrer -> Exécuter] et tapez la commande suivante: gpedit.msc
* Vous devrez allez dans la rubrique:
-> Configuration ordinateur" -> "Paramètres Windows" -> "Paramètres de sécurité -> "Stratégies locales" -> "Options de sécurité":
* Sélectionnez: "Comptes: restreindre l'utilisation de mots de passe vierge par le compte local à l'ouverture de session console"
ATTENTION: cette manipulation est dangereuse, car une personne logué dans sa session locale en Administrateur, pourra accéder à vos partages, sans mot de passe!!! Cet utilisateur possède tous les droits! La seule protection contre l'effacement des fichiers, sera le droit "lecture seule". Il est obligatoire que tous les Users critiques, AIENT UN MOT DE PASSE!
Si vous voulez faire une machine "ouverte" pour des conférences, il est préférable de passer par la méthode Guest décrite ci-dessus.
Bonne journée!
Pierre ETIENNE
Complément d'information: différence entre User et "Authenticated User"
http://www.windowsitpro.com/article/file-systems/should-you-use-the-authenticated-users-group-.aspx