Windows Server 2022 : Partage de dossiers — « Partage » vs « Partage avancé », bonnes pratiques SMB et NTFS

Peut-on ignorer l’onglet « Partage » et ne configurer que « Partage avancé » sous Windows Server 2022 ? Oui. Ce guide explique pourquoi, comment le faire proprement et en sécurité, avec des modèles d’autorisations, scripts PowerShell et conseils de dépannage concrets.

Vue d’ensemble de la question

Sur un serveur de fichiers Windows Server 2022, les propriétés d’un dossier proposent deux voies :

• Partage : l’assistant simplifié (« Assistant de partage »), centré sur quelques choix rapides ;
• Partage avancé : la boîte de dialogue complète pour créer une ressource SMB avec un nom de partage, un plafond de connexions, des autorisations de partage et la mise en cache (Fichiers hors connexion).

De nombreux administrateurs se demandent s’il faut renseigner les deux. La réponse courte est : non, « Partage avancé » suffit à lui seul.

Réponse et solution

• Aucun problème fonctionnel : laisser vide l’onglet Partage (assistant basique) n’entraîne aucun dysfonctionnement. Dès que vous cochez Partager ce dossier dans Partage avancé, Windows crée une ressource SMB avec le nom choisi et publie automatiquement le chemin réseau au format \\Serveur\NomDuPartage.
• Granularité supérieure : « Partage avancé » permet de renommer le partage sans toucher au nom du dossier, de limiter le nombre d’utilisateurs simultanés, d’ajuster finement les autorisations de partage (Contrôle total, Modification, Lecture) et de configurer la mise en cache côté client.

Ce que fait exactement « Partage avancé »

Quand vous activez « Partager ce dossier » :

• Création d’un partage SMB : un objet de type partage est ajouté au service Server (LanmanServer). Il est visible via Gestion de l’ordinateur > Dossiers partagés > Partages ou Get-SmbShare.
• Nom de partage : indépendant du nom de dossier (pratique pour standardiser les UNC : \\Srv-FIC\Compta$ par exemple).
• Limite de connexions : utile pour des espaces sensibles ou des volumes temporaires.
• Autorisations de partage : Contrôle total, Modification, Lecture (portées réseau seulement).
• Mise en cache : activer/désactiver les Fichiers hors connexion (ne pas activer pour des profils itinérants, des répertoires « home » ou des partages d’applications).
• Masquage facultatif : suffixe « $ » dans le nom (Compta$) pour masquer le partage à l’exploration (ce n’est pas une mesure de sécurité, juste d’obfuscation).

Pour davantage d’options (chiffrement SMB, Access‑Based Enumeration, BranchCache, partage « Applications » pour Hyper‑V/SQL, continuité via cluster), passez par Gestionnaire de serveur > Services de fichiers et de stockage > Partages ou PowerShell.

Différences pratiques entre « Partage » et « Partage avancé »

Aspect	Partage (assistant)	Partage avancé
Public visé	Basique, rapide	Administrateur, contrôle fin
Nom du partage	Proposé = nom du dossier	Libre, peut différer (ex. Compta$)
Autorisations de partage	Choix simples lecture/écriture	ACL détaillée (groupes multiples, niveaux)
Limite d’utilisateurs	Non	Oui
Mise en cache	Limitée ou non exposée	Réglable (autoriser/interdire)
Multiples alias de partage	Non	Un via la boîte de dialogue; alias supplémentaires possibles via MMC Dossiers partagés ou PowerShell
Fonctions avancées (ABE, chiffrement, BranchCache)	Non	Via Gestionnaire de serveur ou PowerShell

Étapes détaillées de configuration avec « Partage avancé »

1. Droits NTFS sur le dossier : définissez d’abord la sécurité dans l’onglet Sécurité (voir les stratégies ci‑dessous).
2. Créer le partage : clic droit sur le dossier > Propriétés > Partage > Partage avancé… > cochez Partager ce dossier.
3. Nom du partage : saisissez un nom explicite (Finance$, Commun, etc.).
4. Permissions : cliquez Autorisations et ajoutez vos groupes.
5. Mise en cache : Interdire pour les répertoires de profils, bases de données, lots; Autoriser pour des espaces collaboratifs sans fichiers verrouillés.
6. Valider : Appliquer, puis OK.

Deux niveaux de sécurité à ne pas confondre

• Autorisations de partage : impactent uniquement l’accès via SMB (réseau).
• Autorisations NTFS : contrôlent l’accès au système de fichiers (local et réseau).

Accès effectif = intersection des permissions de partage et NTFS. Un refus (Deny) à l’un ou l’autre niveau l’emporte.

Stratégies d’autorisations courantes

Stratégie	Partage	NTFS	Avantages	Points d’attention
Tout au NTFS	Everyone (ou Utilisateurs authentifiés) : Contrôle total	ACL détaillée (lecture/modif par groupes)	Lisibilité, un seul endroit à gérer	Nécessite une bonne hygiène NTFS
Double verrou	Lecture/Modification selon les rôles	Lecture/Modification selon les mêmes rôles	Barrières redondantes	Maintenance plus lourde; risque d’écarts

Exemples d’intersection (résultat effectif)

Partage	NTFS	Accès effectif
Modification	Lecture	Lecture
Lecture	Modification	Lecture
Contrôle total	Modification	Modification
Modification	Aucun	Aucun

Modèles prêts à l’emploi

Dossier de service (ex. « Comptabilité »)

• Partage :
  • Utilisateurs authentifiés : Lecture (ou rien)
  • GG_Compta_RW : Modification
  • Admin du domaine / Système : Contrôle total
• NTFS :
  • Racine du partage : Utilisateurs authentifiés : Lecture & List uniquement
  • Dossiers internes : appliquer RW à GG_Compta_RW; RO à GG_Compta_RO si besoin

Dossier « Commun » lecture seule

• Partage : Utilisateurs authentifiés : Lecture
• NTFS : tout le monde en RO, Admin/Système en Full

Boîte de dépôt (« Drop‑off ») sans lecture

• Partage : Utilisateurs authentifiés : Modification
• NTFS : Créer des fichiers/écrire des données autorisé, List dossier/lecture refusé pour masquer le contenu déposé (utiliser des sous-dossiers et ABE)

Pare‑feu et services nécessaires

• Service « Server » (LanmanServer) en cours d’exécution.
• SMB-In (TCP 445) autorisé dans le Pare‑feu Windows. Règle : Partage de fichiers et d’imprimantes (SMB‑In).
• Les anciens ports NetBIOS (137–139) ne sont pas requis pour SMB 3; évitez de les ouvrir si inutile.

SMB : versions, chiffrement et compatibilité

• Version par défaut : SMB 3.1.1 sur Windows Server 2022.
• SMB 1.0 est désactivé par défaut pour des raisons de sécurité. Ne l’activez que si vous avez des clients hérités, et idéalement migrez ces postes.
• Chiffrement SMB par partage : utile pour des segments non fiables (coût CPU réseau à considérer).
• Signature SMB : activez‑la via GPO selon vos exigences (intégrité des échanges).
• Access‑Based Enumeration (ABE) : masque les dossiers que l’utilisateur ne peut pas lire.

# Exemple : exiger le chiffrement sur un partage
Set-SmbShare -Name "Compta$" -EncryptData $true

# Activer l’ABE (énumération basée sur l’accès)
Set-SmbShare -Name "Compta$" -FolderEnumerationMode AccessBased

# Vérifier les paramètres SMB globaux
Get-SmbServerConfiguration | Select-Object EnableSMB1Protocol, EnableSMB2Protocol, RequireSecuritySignature

Vérifications et tests rapides

# Sur le serveur : lister et vérifier le partage
Get-SmbShare -Name "NomDuPartage"
Get-SmbShareAccess -Name "NomDuPartage"

# Depuis un poste client : vérifier l’accessibilité

Test-Path "\Serveur\NomDuPartage"
Test-NetConnection -ComputerName Serveur -Port 445

# Mapper un lecteur avec des identifiants précis

net use Z: \Serveur\NomDuPartage /user:DOMAINE\jdupont * 

Automatisation PowerShell complète (création + ACL)

$shareName   = "Compta$"
$folderPath  = "D:\Dossiers\Compta"
$grpRW       = "DOMAINE\GG_Compta_RW"
$grpRO       = "DOMAINE\GG_Compta_RO"

# 1) Créer le dossier si besoin

if (-not (Test-Path $folderPath)) { New-Item -Path $folderPath -ItemType Directory | Out-Null }

# 2) Nettoyer les ACL NTFS héritées et poser une base saine

$acl = Get-Acl $folderPath
$acl.SetAccessRuleProtection($true, $false)           # Rompre l’héritage, ne pas conserver
$admins = New-Object System.Security.Principal.NTAccount("DOMAINE\Admins du domaine")
$system = New-Object System.Security.Principal.NTAccount("NT AUTHORITY\SYSTEM")
$ruleAdmins = New-Object System.Security.AccessControl.FileSystemAccessRule($admins,"FullControl","ContainerInherit, ObjectInherit","None","Allow")
$ruleSystem = New-Object System.Security.AccessControl.FileSystemAccessRule($system,"FullControl","ContainerInherit, ObjectInherit","None","Allow")
$acl.SetAccessRule($ruleAdmins)
$acl.AddAccessRule($ruleSystem)
Set-Acl -Path $folderPath -AclObject $acl

# 3) Ajouter les droits NTFS utiles

icacls $folderPath /grant "$($grpRW):(OI)(CI)M" "$($grpRO):(OI)(CI)R" /T

# 4) Créer le partage (idempotent)

if (-not (Get-SmbShare -Name $shareName -ErrorAction SilentlyContinue)) {
New-SmbShare -Name $shareName -Path $folderPath -CachingMode None | Out-Null
}

# 5) Autorisations de partage

Revoke-SmbShareAccess -Name $shareName -AccountName "Everyone" -Force -ErrorAction SilentlyContinue
Grant-SmbShareAccess  -Name $shareName -AccountName $grpRW -AccessRight Change -Force
Grant-SmbShareAccess  -Name $shareName -AccountName $grpRO -AccessRight Read   -Force
Grant-SmbShareAccess  -Name $shareName -AccountName "DOMAINE\Admins du domaine" -AccessRight Full -Force

# 6) Durcissement (ABE + chiffrement facultatif)

Set-SmbShare -Name $shareName -FolderEnumerationMode AccessBased -EncryptData $true

# 7) Contrôles

Get-SmbShare $shareName
Get-SmbShareAccess $shareName 

Journalisation et audit

• Audit des objets : activez « Audit des accès aux objets » via GPO.
• Événements utiles :
  • 5140 : un objet de partage réseau a été accédé ;
  • 5142/5143/5144 : création/modification/suppression d’un partage ;
  • 4663 : tentative d’accès à un fichier/dossier (NTFS).

Conseils de nommage et d’architecture

• Nom court et stable : évitez les espaces et caractères spéciaux ; restez <= 32 caractères si possible.
• Suffixe « $ » pour les partages administratifs/techniques (Home$, IT$).
• DFS Namespaces : exposez un UNC logique (\\entreprise.local\Données\Compta) indépendamment des serveurs en arrière‑plan.
• Quotas et FSRM : imposez des limites de taille et des filtres de fichiers si nécessaire (ISO, PST, etc.).

Dépannage : problèmes fréquents et corrections

1. On voit le partage mais accès refusé : examinez l’intersection des droits (partage vs NTFS), traquez un Deny ou l’absence d’héritage dans un sous‑dossier.
2. Le partage n’apparaît pas : nom terminé par « $ » (caché) ? ABE activé ? Le groupe ne dispose pas d’au moins Lecture au niveau NTFS.
3. Impossible de se connecter : port 445 bloqué, profil réseau « Public » sur le client/serveur, ou service Server arrêté.
4. Ralentissements : antivirus temps réel sur le serveur scannant le chemin, mise en cache inappropriée, réseau saturé, chiffrement SMB activé sur du matériel âgé.
5. Clients très anciens : exigent SMB 1.0. Mieux vaut migrer ; si vous l’activez, isolez ces postes et surveillez‑les.
6. Changement de nom du partage : toutes les mappes de lecteurs et scripts doivent être mis à jour. Évitez les renommages intempestifs ; préférez un alias supplémentaire via MMC/PowerShell pendant une phase de transition.

FAQ

Peut‑on laisser l’onglet « Partage » vide ? Oui. Le Partage avancé suffit pour créer et gérer le partage.

Peut‑on publier plusieurs noms pour le même dossier ? Oui via Gestion de l’ordinateur > Dossiers partagés ou PowerShell (New-SmbShare) pour ajouter un alias supplémentaire. La boîte de dialogue Partage avancé du dossier ne gère qu’un nom à la fois.

Doit‑on dupliquer les droits au niveau partage et NTFS ? Pas nécessairement. Beaucoup d’équipes choisissent « Full » au partage et gèrent la granularité uniquement en NTFS (plus simple). D’autres appliquent un double verrou (plus restrictif mais plus lourd).

Faut‑il activer la mise en cache ? Non pour des données dynamiques/profils/bases; Oui pour des dossiers bureautiques stables et mobiles. Évaluez l’impact.

Quid du chiffrement SMB ? Activez‑le si les flux traversent des segments non maîtrisés ou en mobilité. Mesurez l’overhead.

Checklist de mise en production

• Choisir un nom de partage stable et, si besoin, masqué ($).
• Fixer les droits NTFS (principe du moindre privilège) ; éviter les Deny inutiles.
• Définir les droits de partage (Full au partage ou double verrou, selon votre politique).
• Décider la mise en cache (désactiver pour profils/applications).
• Activer au besoin ABE et chiffrement par partage.
• Vérifier le pare‑feu SMB‑In et l’état du service Server.
• Tester depuis un client (Test-Path, net use), puis déployer le mappage via GPO Drive Maps.
• Configurer l’audit si traçabilité requise (événements 5140/4663).
• Documenter et sauvegarder le script PowerShell de création (traçabilité et reproductibilité).

Conclusion

Ne pas utiliser l’onglet Partage et passer directement par Partage avancé est non seulement possible mais souvent préférable lorsque vous souhaitez un contrôle fin. Assurez‑vous de :

• définir explicitement un nom de partage cohérent ;
• régler correctement les autorisations de partage et NTFS (intersection) ;
• vérifier le pare‑feu et la compatibilité SMB des clients ;
• valider l’accès via Get-SmbShare, Get-SmbShareAccess, Test-Path et Test-NetConnection ;
• activer l’audit si vous devez tracer les accès.

En procédant ainsi, votre dossier sera pleinement accessible sur le réseau, avec un niveau de sécurité maîtrisé, sans recourir au volet de partage simplifié.

# Rappels express (copier-coller)
# Depuis le serveur
Get-SmbShare -Name "NomDuPartage"
Get-SmbShareAccess -Name "NomDuPartage"

# Depuis un client
Test-Path "\\Serveur\NomDuPartage"
net use Z: \\Serveur\NomDuPartage /user:DOMAINE\Utilisateur