Pour des raisons de sécurité, il est préférable, tant à la maison que dans les réseaux d’entreprise, de ne pas travailler sur un PC avec un identifiant qui est un membre du groupe des administrateurs locaux. Une attaque provenant d’Internet n’entraîne alors généralement que peu de dommages, car un pirate ou un virus introduit ne peut manipuler que le profil de l’utilisateur connecté, et non le système d’exploitation ou les applications installées. Dans les réseaux d’entreprise, il s’agit en outre d’empêcher les utilisateurs d’installer d’autres applications à volonté ou de manipuler les paramètres du système d’exploitation à volonté.
Pour Windows XP et Windows 2000 en particulier, on trouve sur noadmin.de une solution pour de nombreuses applications dont l’exécution sous un identifiant non administrateur pose problème. Certaines applications ne fonctionnent toutefois qu’avec des droits d’administrateur ou il est trop compliqué de chercher une solution et de la mettre en œuvre en réseau sur de nombreux clients. Si l’on est connecté en tant que simple utilisateur, on peut cliquer avec le bouton droit de la souris sur le raccourci correspondant dans le menu de démarrage et sélectionner la commande « Exécuter en tant que… » pour lancer l’application en tant qu’administrateur. Cette étape est souvent oubliée – et surtout dans les réseaux où les utilisateurs du domaine ne travaillent qu’avec des droits d’utilisateur simples, il est fastidieux d’expliquer à tous les utilisateurs pour quelles applications ils doivent d’abord cliquer sur le raccourci avec le bouton droit de la souris et sélectionner la commande « Exécuter en tant que… » pour lancer l’application sans erreur avec des droits étendus. Vous pouvez toutefois faire en sorte que la fenêtre « Exécuter en tant que » s’ouvre automatiquement en premier lorsque vous cliquez sur certains raccourcis :
Vous vous connectez en tant qu’administrateur, ouvrez les propriétés du raccourci de cette application dans le menu de démarrage et cliquez sur le bouton « Avancé… » dans l’onglet « Raccourci ». Dans la fenêtre qui s’ouvre, sélectionnez l’option « Exécuter sous d’autres informations d’identification ».
 |
|
Figure 1 : Exécuter en tant que… |
Si l’on clique maintenant sur le raccourci, la fenêtre « Exécuter en tant que » s’ouvre directement, dans laquelle l’utilisateur doit saisir le mot de passe de l’administrateur.
 |
|
Illustration 2 : …données de l’utilisateur |
Table des matières
Démarrer les composants du panneau de configuration en tant que non-administrateur
Pas de problème sous Windows Vista
Si l’on ouvre sous Windows Vista un composant du panneau de configuration pour lequel on a besoin de droits d’administration, le contrôle des comptes d’utilisateurs est automatiquement lancé, sous lequel on peut saisir le mot de passe administrateur. Démarrez par exemple le composant « Comptes d’utilisateurs » et cliquez sur « Gérer les autres comptes » pour tester cela.
Vous pouvez d’ailleurs modifier ce comportement par défaut via une stratégie de groupe : Pour ce faire, lancez « Panneau de configuration – Outils d’administration – Stratégie de sécurité locale » et ouvrez sous « Options de sécurité – Contrôle des comptes d’utilisateurs » la stratégie « Comportement de la demande de relèvement pour les utilisateurs standard ». Si vous changez ici l’option « Invitation à saisir les informations d’identification » en « Refuser automatiquement les demandes d’élévation des droits », un non-administrateur recevra à l’avenir le message « Ce programme a été bloqué par une stratégie de groupe » lorsqu’il cliquera sur les composants correspondants du panneau de configuration.
Vous pouvez également saisir la commande « gpedit.msc » via « Démarrer – Exécuter » et ouvrir ainsi l’éditeur d’objets de stratégie de groupe. Là, vous devez d’abord ouvrir « Configuration de l’ordinateur – Paramètres Windows – Paramètres de sécurité – Stratégies locales » pour accéder à la stratégie « Options de sécurité – Contrôle de compte d’utilisateur – « Comportement de la demande d’élévation pour les utilisateurs standard », comme décrit ci-dessus.
Également possible sous Windows XP/2000
Sous Windows XP et Windows 2000, on peut certes démarrer tous les composants du panneau de configuration, mais les champs sont grisés et ne peuvent pas être modifiés en tant que non-administrateur. Si l’on clique avec le bouton droit de la souris sur le panneau de configuration dans le menu de démarrage ou sur certains composants dans le panneau de configuration, on constate qu’ils n’ont pas de propriétés que l’on puisse modifier. Certes, pour démarrer l’ensemble du panneau de configuration, on peut créer un nouveau raccourci avec pour cible « %windir%\Nsystem32\Ncontrol.exe » et modifier ensuite ses propriétés, mais le panneau de configuration ne démarre pas selon la procédure décrite ci-dessus si l’on n’est pas connecté en tant qu’administrateur.
Il existe toutefois la possibilité suivante pour démarrer certains composants du panneau de configuration avec des droits d’administrateur. Pour cela, on crée un nouveau raccourci et on indique le fichier CPL correspondant, par exemple %windir%\system32\sysdm.cpl, pour démarrer le composant Système. Dès que le raccourci est créé, on ouvre ses propriétés et on choisit dans l’onglet « Raccourci », via le bouton « Autre symbole… », d’abord un symbole facile à mémoriser pour le raccourci. En cliquant sur le bouton « Avancé… », on active l’option « Exécuter sous d’autres informations d’identification ». Il est également important d’ajouter dans l’onglet « Sécurité » le groupe de sécurité « Utilisateur » ou au moins l’identifiant de l’utilisateur qui pourra ensuite effectuer les modifications dans le panneau de configuration.
 |
|
Illustration 3 : Paramètres de sécurité |
Ensuite, déplacer le nouveau raccourci sous Windows XP vers « C:\NDocuments et paramètres\All Users\Startmenü » ou vers « C:\NDocuments et paramètres\All Users\Desktop ». Sous Windows Vista, le dossier « C:\NUsers\All Users\N » s’appelle désormais « C:\NUsers\All Users ».
Voici une liste de quelques fichiers CPL et leur signification sous Windows XP et Windows Vista :
ACCESS.CPL Aide à la saisie (uniquement sous Windows XP)
APPWIZ.CPL Logiciel
DESK.CPL Affichage
FIREWALL.CPL Pare-feu Windows
HDWWIZ.CPL Assistant matériel
INETCPL.CPL Paramètres Internet
INTL.CPL Options de région et de langue
JOY.CPL Contrôleur de jeu
MAIN.CPL Propriétés de la souris
MMSYS.CPL Sons et périphériques audio
NCPA.CPL Connexions réseau
NETSETUP.CPL Assistant d’installation réseau (uniquement sous Windows XP)
NUSRMGR.CPL Comptes d’utilisateurs (uniquement sous Windows XP)
ODBCCP32.CPL Administrateur de sources de données ODBC
POWERCFG.CPL Options d’alimentation
STICPL.CPL Propriétés des scanners et des caméras
SYSDM.CPL Propriétés du système
TABLETPC.CPL Stylet et périphériques d’entrée (uniquement sous Windows Vista)
TELEPHON.CPL sous Windows XP : options de téléphone et de modem, sous Windows Vista : informations de localisation
TIMEDATE.CPL Propriétés de la date/l’heure
WSCUI.CPL Centre de sécurité Windows
Pour que l’utilisateur n’ait pas à demander au service d’assistance quel est le nom du mot de passe de l’administrateur, vous pouvez renommer le raccourci : Renommez par exemple le raccourci « Système » en « Démarrer le système en tant qu’administrateur avec le mot de passe F+4g#3 » ou plus brièvement « Mot de passe administrateur système F+4g#3 ». Vous pouvez également procéder de la sorte pour faciliter aux utilisateurs le lancement administratif d’applications qui ne fonctionnent pas correctement autrement.
Problèmes de sécurité dans un domaine
Pour des raisons de sécurité, il est évidemment problématique de donner aux utilisateurs d’un domaine Windows le mot de passe de l’administrateur local. Qu’est-ce qui empêcherait alors l’utilisateur du domaine d’être connecté en permanence en tant qu’administrateur et d’installer n’importe quelle application au lieu de se contenter des restrictions d’un identifiant qui n’est pas membre du groupe d’administrateurs locaux ?
Par une déclaration signée par tous les utilisateurs, on peut toutefois interdire aux utilisateurs d’installer des applications non autorisées ou de manipuler le système à leur guise. Une infraction peut alors conduire à un avertissement ou à un licenciement. En outre, l’administrateur local n’est pas membre du domaine et ne peut pas accéder aux serveurs et à leurs services (système de messagerie, imprimante réseau, répertoire de groupe, modèles de documents d’entreprise, etc. Un travail productif n’est donc tout simplement pas possible sous l’identifiant de l’administrateur, ce qui contraint les utilisateurs à se connecter sous leur identifiant d’utilisateur de domaine.
En particulier dans les petits réseaux, par exemple sous Microsoft Small Business Server, il n’y a souvent pas d’administrateurs système capables d’intervenir immédiatement, ne serait-ce que pour des raisons de coûts, lorsque certaines applications ne fonctionnent pas correctement sous des droits d’utilisateur simples ou que les paramètres du système doivent être modifiés de manière ad hoc pour permettre un travail utile. Dans ce contexte, il est certainement préférable d’indiquer à l’utilisateur le mot de passe de l’administrateur local, afin qu’il puisse lancer de manière ciblée certaines applications avec des droits étendus, selon la méthode décrite ci-dessus, plutôt que d’ajouter l’identifiant de l’utilisateur au groupe des administrateurs locaux et de laisser ainsi l’utilisateur travailler globalement avec des droits d’administrateur.
Particularités du contrôle des utilisateurs de Windows Vista
PowerToys d’augmentation des scripts pour Windows Vista
Dans un article, Michael Murgolo, conseiller principal en infrastructure pour Microsoft Consulting Services, présente quelques Script Elevation PowerToys qu’il a créés pour surmonter les restrictions imposées par le contrôle de compte utilisateur lors de l’exécution de scripts.
L’outil elevate permet de lancer des applications pour lesquelles l’utilisateur est invité à élever ses droits d’utilisateur via une ligne de commande, via un script ou via la boîte de dialogue « Exécuter ». La commande suivante permet par exemple d’ouvrir le fichier « win.in » après l’invitation à l’élévation dans l’éditeur : elevate notepad c:\Windows\Win.ini
Pour la plupart des types de scripts Windows, il n’y a pas d’option « Exécuter en tant qu’administrateur » lorsque l’on clique avec le bouton droit de la souris sur le fichier dans l’explorateur. Les PowerToys Elevate HTML Application, Elevate Windows PowerShell Script et Elevate WSH Script ajoutent respectivement l’option « Exécuter en tant qu’administrateur » dans le menu contextuel de l’explorateur pour les types de fichiers HTA, pour les types de fichiers Windows PowerShell et pour les types de fichiers Windows Script Host.
L’outil ElevateMSI.inf clone les actions standard pour les paquets Windows Installer (fichiers msi) et les fichiers de correctifs associés (fichiers msp), de sorte que l’option de menu contextuel « Install as Administrator » est disponible pour les paquets et l’option « Apply Patch as Administrator » pour les correctifs.
Les autres outils gratuits présentés dans l’article sont CMD Prompt Here as Administ rator et PowerShell Prompt Here as Administrator.
Vous trouverez l’article ici.
Tous les PowerToys présentés dans l’article se trouvent dans la zone de téléchargement de code sous : technetmagazine .com/code07.aspx
A propos de cet article, lisez également l’article de blog Scripting Elevation on Vista
Contrôle des utilisateurs
Mais même si l’on inclut des utilisateurs individuels ou un groupe de sécurité Active Directory spécial d’un domaine dans le groupe des administrateurs locaux, il est possible de restreindre à nouveau leurs autorisations, par exemple avec User Control. Ce shareware fonctionne sous Windows 2000, XP, Vista, 2008 et Windows 7 et permet de définir de multiples restrictions dans le système pour les utilisateurs. Un filtre logiciel permet de définir les programmes que l’utilisateur peut ou ne peut pas exécuter. Il existe un filtre de site web, un filtre Internet, une protection du bureau et autres. Vous trouverez plus d’informations sur WinTotal.
WinTotal vous donne déjà quelques conseils sur les particularités du contrôle des comptes utilisateurs (UAC) de Windows Vista :
Activer le compte administrateur sous Vista
L’article décrit la différence entre les administrateurs réels et les administrateurs limités et montre comment activer l’administrateur réel, désactivé par défaut.
Si vous souhaitez désactiver l’UAC pour les administrateurs restreints, lisez l’article Désactiver ou éditer le contrôle des comptes d’utilisateurs.
Désactiver et réactiver le contrôle des comptes d’utilisateurs
Cet article présente plusieurs façons de désactiver et de réactiver le contrôle des comptes d’utilisateurs.
Le freeware TweakUAC permet également de désactiver le contrôle des comptes d’utilisateurs, mais de tels outils ne sont plus vraiment nécessaires après avoir lu l’article ci-dessus.
Pour ceux qui souhaitent en savoir plus sur le fonctionnement du contrôle des comptes d’utilisateurs, divers articles sont disponibles sur les forums web de Microsoft :
- Le contrôle de compte d’utilisateur de Windows Vista
- Avec le contrôle des comptes utilisateurs, les programmes sans droits d’administrateur ne sont plus un rêve.
- Contrôle de compte d’utilisateur pour les professionnels de l’informatique
- Windows Vista pour les développeurs : exigences de développement d’applications Windows Vista pour le contrôle de compte d’utilisateur