PARTAGE DE FICHIERS WINDOWS

Meilleures pratiques de partage de fichiers Windows

Partage de fichiers

Traditionnellement, le partage de fichiers Windows se limitait à créer des partages sur des serveurs locaux, à définir des autorisations et à accéder à des fichiers via des réseaux locaux ou des VPN. Le partage de fichiers Windows présente de nombreux avantages, notamment la vitesse d'accès, la simplicité, les capacités de stockage illimitées, l'intégration avec Active Directory et la possibilité de déployer instantanément des lecteurs mappés sur des milliers de machines à l'aide de scripts de connexion ou de stratégies de groupe. Pour cette raison, la majorité des entreprises continuent de maintenir des investissements importants dans une infrastructure de partage de fichiers Windows comprenant des serveurs, des réseaux à haut débit, des réseaux de stockage et des périphériques de stockage en réseau. Ces appareils offrent la fiabilité, la rapidité et la redondance exigées par les entreprises pour une main-d'œuvre hautement efficace.

Partage de fichiers Windows

Le partage de fichiers à l'aide du répertoire actif de Windows est facile. Il est important de planifier d'abord la structure des répertoires. Les entreprises créent généralement des dossiers racine qui deviennent à leur tour des partages qui peuvent être mappés à divers départements (par exemple : Finance, Projets, Exécutif, RH). Dans le passé, les entreprises mappaient différentes lettres de lecteur à chaque département. Ce n'est plus nécessaire depuis que Microsoft a fourni l'ajout de la fonctionnalité "Access Based Enumeration" comme indiqué ci-dessous.

Il est également important de planifier la croissance future en allouant suffisamment d'espace disque pour le fichier. Il est recommandé de localiser les fichiers sur une lettre de lecteur distincte des lecteurs du système d'exploitation pour éviter que de futurs problèmes d'espace disque ou une défaillance du système d'exploitation ne corrompent les fichiers. Les grandes organisations stockent généralement les fichiers sur des appliances de stockage en réseau avec basculement et sauvegarde intégrés et utilisent l'espace de noms DFS pour rediriger les utilisateurs vers des serveurs de fichiers back-end redondants.

Les partages Windows File Server peuvent être créés à l'aide du Gestionnaire de serveur ou en cliquant avec le bouton droit de la souris sur n'importe quel dossier et en choisissant « Partage » dans l'onglet Partage pour créer un partage pouvant être mappé par les PC. Microsoft a un excellent article ici sur la façon de créer un partage de fichiers à l'aide du Gestionnaire de serveur ici. Pour nos besoins, nous allons créer un partage en utilisant le processus manuel afin que nous puissions avoir un contrôle total sur les autorisations, le nom de partage et les autorisations de partage.

Création d'un partage de fichiers Windows (facile)

Une fois que vous avez créé la structure du dossier, cliquez avec le bouton droit de la souris sur le dossier et choisissez les propriétés, puis choisissez partager pour créer le partage et définir les autorisations :

Créer un partage Windows

En règle générale, vous ajouterez les différents groupes pour lesquels vous souhaitez avoir accès à votre structure de dossiers. Avec l'interface simplifiée, les détails réels de création et d'autorisation de partage sont définis pour vous. À l'aide de l'interface Advanced Share, nous pouvons voir l'autorisation réelle appliquée à la fois au partage et à NTFS.

Création d'un partage de fichiers Windows (avancé)

Il existe 2 composants lors du partage de dossiers dans Windows. Tout d'abord, le nom et l'autorisation de partage réels sur le partage et les autorisations NTFS sous-jacentes. Au début des systèmes de fichiers Windows (fat et fat32) ne permettaient pas de définir des autorisations, Microsoft autorisait donc les administrateurs à définir des autorisations sur le partage lui-même plutôt que sur la structure de dossiers en dessous. Heureusement, NTFS existe depuis de nombreuses années et il n'est plus nécessaire ni conseillé de définir des autorisations au partage de fichiers niveau et vous verrez que lorsque vous utilisez l'interface de partage facile, les autorisations au niveau du partage sont définies sur le groupe spécial "Tout le monde" et le contrôle total.

Autorisations de partage

Il est donc clair que nous devons toujours définir l'autorisation sur le partage sur "Tout le monde" avec un contrôle total lors de l'utilisation de l'option de partage avancé pour contourner cette fonctionnalité héritée et utiliser uniquement les autorisations NTFS pour appliquer la sécurité. Une note supplémentaire sur les partages de fichiers et la dénomination - pour masquer le partage (et non le diffuser sur le réseau pour la navigation), ajoutez un signe $ à la fin du nom. Par exemple : Finance$ peut être utilisé pour empêcher le partage d'apparaître lorsque les utilisateurs naviguent sur le réseau. Pour y mapper un lecteur, les utilisateurs doivent connaître le nom, par exemple \\server\finance$.

Ensuite, nous devons définir des autorisations sur les dossiers à l'aide de la sécurité NTFS. Si nous examinons les autorisations de sécurité pour le dossier partagé que nous avons créé dans notre exemple, nous verrons que les groupes d'utilisateurs que nous avons choisis ont reçu des autorisations sur ce dossier partagé :

À partir de cette interface, nous pouvons ajouter des utilisateurs et des groupes supplémentaires ou désactiver l'héritage afin de pouvoir appliquer une autorisation personnalisée sur ce dossier uniquement. Cette interface est également l'endroit où nous allons prendre possession des fichiers et des dossiers. Dans les résultats de sécurité de l'assistant de partage facile, nous pouvons voir que les deux groupes que nous avons ajoutés ont un "Contrôle total" pour tous les fichiers et dossiers. Bien que le contrôle total ait du sens pour les administrateurs, il n'est pas conseillé pour les groupes d'utilisateurs réguliers. En accordant aux utilisateurs réguliers le contrôle total, nous leur avons également accordé le droit de « prendre possession », ce qui entraînera des problèmes par la suite. Les fichiers "possédés" par un utilisateur peuvent devenir indisponibles pour les autres utilisateurs, ce qui entraîne des demandes d'assistance et la nécessité pour l'administrateur de "s'approprier" afin que ces fichiers soient à nouveau disponibles pour tous ceux qui ont des droits sur le partage. Dans notre exemple, nous voudrons définir le groupe "Utilisateurs du domaine" sur tous les droits sauf pour "Contrôle total" en utilisant les propriétés de l'onglet de sécurité sur le dossier. Cette étape simple empêchera les problèmes de dépannage de propriété de fichier à l'avenir.

Microsoft a un utilitaire intégré sur Windows pour nettoyer les problèmes de propriété appelé "takeown". Nous conseillons aux clients de résoudre les problèmes de propriété existants avant de déployer MyWorkDrive. Cette commande prendra possession du dossier ou du lecteur, ainsi que de tous les fichiers et sous-dossiers du dossier ou du lecteur.

Ouvrez une invite de commande élevée (administrateur).

Pour accorder la propriété au groupe d'administrateurs :

takeown /F "chemin complet du dossier ou du lecteur" /A /R /DY

Une autre option pour nettoyer les autorisations de propriété consiste à utiliser la commande icacls.

Pour accorder la propriété au groupe d'administrateurs :

icacls "chemin complet du dossier ou du lecteur" /setowner "Administrateurs" /T /C

Énumération basée sur l'accès à l'aide du partage de fichiers Windows

L'énumération basée sur l'accès (ABE) affiche uniquement les fichiers et dossiers auxquels un utilisateur est autorisé à accéder. Si un utilisateur ne dispose pas d'autorisations de lecture (ou équivalentes) pour un dossier, Windows masque le dossier de la vue de l'utilisateur. Cette fonction n'est active que lors de l'affichage des fichiers et des dossiers dans un dossier partagé ; il n'est pas actif lors de l'affichage de fichiers et de dossiers dans le système de fichiers local. En utilisant cette fonctionnalité et en définissant les autorisations appropriées, les administrateurs réseau peuvent réduire le nombre de partages nécessaires et utiliser ABE pour afficher uniquement les fichiers et dossiers auxquels l'utilisateur a des autorisations lorsqu'ils accèdent via des chemins UNC.

ABE nécessite des cycles CPU pour calculer les fichiers et dossiers à afficher. Il est donc important de dimensionner correctement les serveurs pour gérer la charge requise en fonction du nombre d'utilisateurs accédant aux partages de fichiers et du nombre de fichiers et dossiers à afficher.

Activez ABE sur chaque partage de fichiers Windows à l'aide du guide de Microsoft : Activer l'énumération basée sur l'accès sur un espace de noms. Microsoft a un article de guilde complet sur les meilleures pratiques pour partager des fichiers et des dossiers à l'aide d'une énumération basée sur l'accès ici.

Espaces de noms DFS

Les espaces de noms DFS sont un rôle dans Windows Server qui vous permet de regrouper des dossiers partagés situés sur différents serveurs dans un ou plusieurs espaces de noms structurés logiquement. Cela permet de donner aux utilisateurs une vue virtuelle des dossiers partagés, où un seul chemin mène à des fichiers situés sur plusieurs serveurs. L'avantage de DFS est que les lecteurs peuvent être mappés à un espace de nom DFS et automatiquement redirigés vers le partage de fichiers en direct alors en cours. Cela rend la migration vers de nouveaux serveurs de fichiers très simple à l'avenir, car un nouveau serveur de fichiers peut être redirigé à tout moment.

Sauvegarde et conservation

La première ligne de défense de toute organisation consiste en des sauvegardes efficaces, testées et redondantes. En plus de planifier des sauvegardes à intervalles horaires, quotidiens, hebdomadaires ou autres, les administrateurs informatiques peuvent tirer parti du service « Volume Shadow Copy » intégré à Windows Server. En activant les instantanés horaires, les fichiers et les dossiers peuvent être restaurés instantanément aux versions précédentes sans avoir à accéder aux systèmes de sauvegarde. Les instantanés de copie de volume ne constituent pas une stratégie de sauvegarde en eux-mêmes, mais ils peuvent fournir un niveau de protection supplémentaire.

La sauvegarde et la conservation sont également très importantes pour se protéger contre la perte de données, la corruption et pour se conformer aux exigences légales. En règle générale, la plupart des entreprises doivent conserver jusqu'à 7 ans de sauvegardes qui peuvent facilement être restaurées à l'avenir. Pour cette raison, les entreprises hésitent à stocker leurs fichiers dans des systèmes de fichiers basés sur des bases de données, soit localement, soit dans le cloud, notamment les systèmes de gestion de documents (DMS) et les systèmes de synchronisation et de partage de fichiers d'entreprise (EFSS). Avec le partage de fichiers Windows traditionnel basé sur NTFS, les sauvegardes d'archives peuvent être stockées sur des disques durs de sauvegarde, ce qui rend la restauration aussi simple que la copie de fichiers, même plusieurs années plus tard. Avec les systèmes DMS ou EFSS, la restauration des données d'archives est nettement plus complexe. La restauration nécessite la sauvegarde et la restauration de systèmes d'exploitation entiers, la réinstallation des bases de données SQL utilisées à ce moment-là (qui peuvent ne plus être disponibles), la restauration de sauvegardes de données SQL et la réintégration des serveurs dans Active Directory. L'EFSS ou les systèmes basés sur le cloud nécessitent des abonnements de sauvegarde tiers qui doivent être maintenus indéfiniment pour éviter la perte et la suppression des données de fichiers de sauvegarde par le fournisseur de cloud.

Accès distant sécurisé au partage de fichiers

Les entreprises de tous types se tournent vers MyWorkDrive pour prendre en charge Travail à distance tout en conservant la vitesse et la simplicité du partage de fichiers Windows traditionnel à l'aide de notre module complémentaire de cloud hybride. Avec MyWorkDrive, les services informatiques configurent simplement le logiciel serveur MyWorkDrive Windows, pointent vers les partages de fichiers Windows existants et en quelques minutes Partage de fichiers sécurisé la fonctionnalité d'accès à distance est mise à la disposition des utilisateurs sans VPN, notamment :

Accès du navigateur Web File Manager aux partages de fichiers

Édition de documents Office Online (avec des fichiers stockés sur les serveurs de fichiers locaux)

Lecteur mappé depuis n'importe où sans VPN

Accès et modification des fichiers d'applications mobiles à l'aide des applications mobiles Microsoft Office

Partage de fichiers public et privé

Sécurité à deux facteurs (2FA)

Authentification unique

Le partage de fichiers Windows traditionnel à une vitesse gigabit continue d'être disponible parallèlement à MyWorkDrive. Les utilisateurs exploitent simplement le partage de fichiers à l'aide de méthodes traditionnelles sur le réseau local et utilisent MyWorkDrive lorsque la fonctionnalité cloud ou l'accès à distance est nécessaire. Pour les services informatiques, aucune base de données SQL ne doit être maintenue ou sous licence, ce qui simplifie la sauvegarde et la restauration des fichiers - les partages de fichiers basés sur NTFS restent en place.

Le partage et la collaboration sur des fichiers avec des utilisateurs extérieurs à l'entreprise sont essentiels pour une main-d'œuvre productive. Avec MyWorkDrive, les fichiers internes peuvent être rendus publics sans effort grâce à notre intégration OneDrive. En tirant parti de notre intégration OneDrive, les entreprises peuvent protéger les données sensibles en transférant des fichiers publics selon les besoins vers OneDrive sans ouvrir les systèmes internes à des tiers ou activer des liens de partage de fichiers non sécurisés qui peuvent exposer les serveurs de l'entreprise à des violations de données.

Avec MyWorkDrive les entreprises de tous types peuvent ajouter des fonctionnalités cloud aux partages de fichiers Windows tout en protégeant et en contrôlant leurs données pour pérenniser leurs investissements dans l'infrastructure de serveurs de fichiers.