Admin ?

Le
Loic
Bonjour

Je viens de passer d'XP pro à Win 7 x64 intégral
J'ai créé mon compte en administrateur mais j'ai l'impression de ne pas
avoir tous les droits
Comment avoir tous les droits sur la totalité de ma machine , disque
système et autres disques, dossiers , sous dossiers , fichiers système
et autres fichiers ( *.exe. etc.. ) , etc

merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #21818461
"Loic"
Bonjour

Je viens de passer d'XP pro à Win 7 x64 intégral
J'ai créé mon compte en administrateur mais j'ai l'impression de ne pas
avoir tous les droits
Comment avoir tous les droits sur la totalité de ma machine , disque
système et autres disques, dossiers , sous dossiers , fichiers système et
autres fichiers ( *.exe.... etc.. ) , etc...



Vu que tu viens de XP, sans être passé par la "case" Vista, tu n'as donc pas
encore goûté aux joies et délices d'UAC (= User Account Control) ;-)

Depuis que Windows NT existe, TOUT compte utilisateur possède un certain
nombre de "privilèges", dépendant du groupe auquel il appartient :
- administrateurs
- utilisateurs "lambda"
- invités
Ces privilèges ont de jolis petits noms, tels que :
SeCreateTokenPrivilege
SeAssignPrimaryTokenPrivilege
SeLockMemoryPrivilege
SeIncreaseQuotaPrivilege
SeMachineAccountPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeTimeZonePrivilege
SeShutdownPrivilege
...

Lorsqu'un compte ouvre une session, le sous-système de gestion de la
sécurité (LSA) attribue à ce compte un "jeton" (c'est un objet mémoire) qui
contient la liste des privilèges auxquels le compte a droit.
Si une manip relevant de la sécurité a lieu (création d'un dossier, arrêt de
l'ordinateur, création de compte, changer le fuseau horaire, ...), le
"jeton" est interrogé par le système qui autorise ou non le processus.

Ça, c'est valable depuis toujours (depuis NT3.1).

MAIS UAC (à partir de Vista puis Windows 7) a ajouté une subtilité,
concernant EXCLUSIVEMENT les comptes du groupe des ADMINISTRATEURS.

Lorsqu'un compte de ce groupe, AUTRE que le compte "Administrateur", ouvre
une session, il reçoit DEUX JETONS :
- un contenant la liste des privilèges "admin",
- un autre contenant une liste avec peu de privilèges,
comme pour un compte "lambda"
et c'est CE JETON "AU RABAIS" qui est actif en temps normal !
Cela afin de renforcer la sécurité, en limitant volontairement PAR DÉFAUT
les privilèges des administrateurs (et éviter des concetés et/ou des
attaques provenant "d'Aliens")


Si un processus a besoin de privilèges élevés, notifiés p.ex. dans un
fichier "xxxxx.manifest" par la ligne
<requestedexecutionlevel level="requireadministrator" /> "
le jeton en cours est insuffisant, et il y a alors demande d'élévation de
privilèges (signifiée, par défaut, par une boite de dialogue).

Si l'utilisateur (du groupe des admins) est d'accord, il y a alors
utilisation du 1er jeton (celui d'administrateur), si bien que le processus
peut se poursuivre.
Dès que le processus est terminé, le jeton "admin" est remis au placard, et
c'est le jeton "lambda" qui est à nouveau actif.

Ce qui explique que (sous Vista, car sous Win7 ça s'est amélioré) on est
sans arrêt sollicité par cette boite de dialogue d'élévation de privilèges,
ce qui a "hérissé le poil" de bon nombre d'utilisateurs (dont je fais
partie, avec Michel Claveau, "Le Claude", ...!)

Quant au compte "Administrateur" (créé automatiquement à l'installation de
Windows, non supprimable, de SID se terminant par 500), il ne possède QU'UN
SEUL JETON : celui d'administrateur.
Donc par défaut, si on ouvre une session sous ce compte (et LUI SEUL!), et
s'il a été activé (par défaut il est désactivé), on ne sera pas soumis aux
élévations de privilèges. Par contre on travaille sans filet ! ;-)

Si on est très "maso" et/ou "pervers" (;-)), on peut faire en sorte que le
compte "Administrateur" soit soumis aux mêmes règles que les autres comptes
admins.
Pour cela, il suffit d'attribuer la valeur 1 à la clef :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemFilterAdmini­­stratorToken

Si tu veux avoir "tous les droits", il faut donc :

- soit ouvrir une session sous LE compte "Administrateur"
Comme ce compte est désactivé par défaut,
il faudra qu'il soit activé.
Pour cela, exécuter la commande suivante
(sous un compte admin) :
NET USER Administrateur /ACTIVE:YES)

- soit ouvrir une session sous un compte administrateur ou autre
et pour exécuter un programme cliquer sur le menu contextuel
"exécuter comme administrateur"
Cela va revenir à demander l'utilisation du jeton "Admin" du
compte en cours (s'il appartient au groupe des admins).
Si ce compte ne fait pas partie du groupe des admins, il faudra
alors saisir dans une boite de dialogue:
- un nom de compte admin
(le compte "Administrateur" ou un autre, peu importe)
- son mot de passe associé.


NB: On peut "calmer" un peu l'UAC en faisant répondre OUI systématiquement
et automatiquement à la demande d'élévation de privilèges.
Cela correspond à la clef :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemConsentPromp­tBehaviorAdmin
0 -> Élévation des privilèges sans demander confirmation
1 -> Demande d'identification d'administrateur (nom + mot de passe)
2 -> Demande de consentement (accepter/refuser)
(valeur par défaut)


Bon amusement avec UAC !

Je détaille cela sur mon site :
http://www.bellamyjc.org/fr/windowsvista.html#UAC


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Jacques Dassié
Le #21925021
Le Fri, 7 May 2010 19:30:33 +0200, "Jean-Claude BELLAMY"


Vu que tu viens de XP, sans être passé par la "case" Vista, tu n'as donc pas
encore goûté aux joies et délices d'UAC (= User Account Control) ;-)

Bon amusement avec UAC !



Encore une de ces réponses d'anthologie dont tu as le secret !
L'une de ces réponses que l'on archive avec soin, précieusement, car on
a l'impression d'avoir tout compris... Merci J-C
--
Jacques DASSIÉ
http://archaero.com/
Publicité
Poster une réponse
Anonyme