Le mardi 17/01/2012 10:43:18, JL a écrit dans le message
> Bonjour,
> J’ai un problème de nature cosmétique (j’espère) dans les propriétés de
> sécurité des images. cf. capture d’écran.
> Je voudrais les supprimer, mais en dépit des explications de M$ et des
> conseils de JCB, je ne comprends pas comment faire pour supprimer les
> paramètres hérités.
> Une aide adaptée à un béotien me serait précieuse.
Ces comptes correspondent à une installation PRÉCÉDENTE de Windows!
Les comptes utilisateurs (et groupes d’utilisateurs) sont identifiés
« en vrai » par Windows par un « SID » (Security IDentfier) UNIQUE, dont la
racine, de la forme :
S-1-5-21-<10 chiffres>-<10 chiffres>-<9 chiffres>
est créée (de façon UNIQUE au monde, je le répète) lors de
l’installation de Windows.
P.ex.
S-1-5-21-1164180264-3434086188-853729041
Et le dernier nombre (de 3 ou 4 chiffres) sert à distinguer les comptes
d’une installation donnée.
P.ex. « 500″ désigne TOUJOURS LE compte « Administrateur », et « 501″ LE
compte « Invité ». Ensuite le 1er compte créé se voit attribuer le n°
1000, puis 1001, et ainsi de suite.
Dans les partitions NTFS, les LCA (Listes de contrôle d’accès)
consistent à associer, pour chaque fichier ou dossier, les droits
(lecture, écriture, exécution, …) à chaque SID (et uniquement les
SID, jamais les noms)
Mais ce SID n’est guère pratique à manipuler par l’utilisateur, c’est
pourquoi il apparaît dans les différentes interfaces sous la forme du
« nom » d’utilisateur (ou de groupe).
Pour cela Windows va chercher dans sa base SAM (Security Account
Manager) les correspondances entre SID et nom.
Si bien que les LCA affichées dans les propriétés d’un fichier
affichent non pas les SID, mais les noms, SAUF …
… si les SID en question ne sont pas trouvés dans la SAM !
Et c’est ce qui se produit s’il y a eu RÉINSTALLATION de Windows!
En effet, admettons qu’au départ Windows avait pour « racine » des SID
S-1-5-21-1234567890-1234567890-123456789
Le compte « HOMER » avait alors pour SID (p.ex.) :
S-1-5-21-1234567890-1234567890-123456789-1003
et HOMER avait (p.ex.) le droit d’écriture sur le fichier
d:\donuts.jpg
Dans la LCA de « d:\donuts.jpg » on avait donc (en interne)
S-1-5-21-1234567890-1234567890-123456789-1003 -> W (droit écriture)
Puis il y a eu lieu une réinstallation de Windows, sans reformatage, et
donc avec conservation des données, en particulier le fichier
« d:\donuts.jpg »
Après cette réinstallation, la « racine » des SID est devenue (p.ex.)
S-1-5-21-0987654321-0987654321-987654321
(afin qu’il n’y ait pas de doublons, un savant algorithme détermine des
nombres à partir d’un savant mélange de nombres aléatoires + la date et
l’heure + des paramètres tels que l’identifiant de la carte réseau s’il
y en a une + …)
Le compte « HOMER », qui a été recréé, a alors pour SID (p.ex.) :
S-1-5-21-0987654321-0987654321-987654321-1003
Si bien que lorsqu’on affiche la LCA du fichier « d:\donuts.jpg »,
Windows voit que le compte (entre autres)
S-1-5-21-1234567890-1234567890-123456789-1003
a les droits en écriture dessus, mais quand il explore la NOUVELLE SAM,
il ne trouve aucun compte ayant ce SID!
C’est pourquoi il ne peut afficher de nom plus convivial, et se
contente d’afficher le SID, « brut de fonderie » !
Comme tu le dis, ce n’est que de la cosmétique, et il suffit de
SUPPRIMER ces droits, qui ne servent à RIEN et de toutes façon NE
PEUVENT PLUS SERVIR ! (à moins de le faire à la mimine, en s’insinuant
dans la BDR, plus JAMAIS le SID initial n’existera!)
Cette manip de suppression est à faire bien évidemment EN TANT
QU’ADMINISTRATEUR, mais cela ne suffit pas forcément, car cela va
dépendre du PROPRIÉTAIRE de l’objet (dans mon exemple le fichier
« d:\donuts.jpg »).
Si ce propriétaire est justement un ANCIEN COMPTE (référencé en interne
par son SID), pour pouvoir modifier la LCA (en supprimant les anciens
SID), il faudra au préalable avoir modifié le propriétaire!
cf. l’ordinogramme que j’ai conçu à ce sujet : http://www.bellamyjc.org/gif/permissions.jpg
(dans http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers)
dont je rappelle l’essence :
1) Pour pouvoir modifier les permissions d’un dossier ou fichier,
il faut :
– soit avoir reçu le « contrôle total » sur ce dossier ou fichier
Рsoit en ̻tre le propri̩taire (ou ̻tre membre du groupe qui en
est le propriétaire), ce qui permet ALORS de s’attribuer le
contrôle total sur ce dossier ou fichier.
2) Pour être le propriétaire d’un dossier ou fichier, il faut :
Рsoit en ̻tre le cr̩ateur
– soit appartenir au groupe des Administrateurs, ce qui permet
la modification du propriétaire, donc de se déclarer comme
propriétaire.
3) Depuis VISTA, il est apparu dans les LCA (Listes de contrôle
d’accès) un « pseudo-compte » qui s’appelle « CRÉATEUR PROPRIÉTAIRE ».
Il ne correspond à aucun compte « physique », et sert uniquement Ã
éventuellement limiter les droits du propriétaire en général.
On notera au passage que cela contredit le principe cité plus
haut qui prévoit que le propriétaire d’un objet (fichier, dossier,
clef de la BDR) peut redéfinir à sa guise les permissions sur
l’objet concerné.
Si bien que les propriétaires qui n’ont pas le contrôle total et
qui ne sont pas administrateurs ne peuvent pas modifier la LCA !
Par contre, lorsqu’un administrateur effectue un changement de
propriétaire (en s’attribuant ce rôle p.ex.), ces restrictions sur
« CREATEUR PROPRIETAIRE » sont désactivées et ne s’appliquent pas
à lui (Microsoft a prévu cela afin d’éviter qu’un administrateur
se retrouve bloqué) .
–
May the Force be with You!
La Connaissance s’accroît quand on la partage
———————————————————-
Jean-Claude BELLAMY [MVP Expert IT Pro]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
