Différences utilisateurs...

Le
Le Yéti
Bonjour à tous,

L'un d'entre vous pourrait-il avoir la gentillesse (en plus
des compétences) pour pouvoir m'expliquer la différence
entre un "utilisateur limité", et un "utilisateur avec pouvoirs".

En effet, et ne souhaitant pas utiliser "superexec.exe" dans
un premier temps, certains programmes (ISonic par exemple)
me causant un soucis quand l'utilisateur est "limité".

L'utilisateur "avec pouvoirs" peut-il provoquer des dégâts par
son manque de maîtrise ? Peut-il installer lui-même un
programme comme le ferais un utilisateur "administrateur" ?

Merci de vos réponses, amicalement, Tonio :-)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #1102522
"Le Yéti" news:
Bonjour à tous,

L'un d'entre vous pourrait-il avoir la gentillesse (en plus
des compétences) pour pouvoir m'expliquer la différence
entre un "utilisateur limité", et un "utilisateur avec pouvoirs".



"utilisateur limité" est une dénomination utilisée sous XP HOME.
Cela désigne un compte qui n'est :
- ni administrateur
- ni invité

C'est d'ailleurs ce que renvoie comme info sur un utilisateur la fonction
"NetUserGetInfo" de l'API NETAPI32.DLL
(http://msdn2.microsoft.com/en-us/library/aa370654(VS.85).aspx )
NB: Cette fonction est disponible sous toute version de NT, depuis NT 3.1
jusqu'à Windows 2008

Dans une structure "USER_INFO_1", le champ "usri1_priv" contient , suivant
le cas :
USER_PRIV_GUEST (0) -> Guest
USER_PRIV_USER (1) -> User
USER_PRIV_ADMIN (2) -> Administrator
(http://msdn2.microsoft.com/en-us/library/aa371109(VS.85).aspx)


"utilisateur avec pouvoirs" est une dénomination apparue sous W2K PRO et XP
PRO ...
Cela désigne un compte utilisateur "lambda", mais avec en prime quelques
privilèges, tels que celui de pouvoir "exécuter des applications héritées,
ainsi que des applications certifiées" (dixit l'aide en ligne de
LUSRMGR.MSC)

Pour en savoir plus (car cette explication de Microsoft ne brille pas par sa
pédagogie!!!), j'ai créé 2 comptes utilisateurs, nommés "GEDEON" ("Gédéon
Burnemauve") et "MARCEL" ("Marcel Grouchard"), identiques à la différence
près que j'ai rendu "GEDEON" membre du groupe "Utilisateurs avec pouvoir".

Puis j'ai ouvert une session LOCALE (le groupe "utilisateur avec pouvoirs"
n'existe pas dans un domaine, ni de type NT4, ni de type Active Directory),
et sous chaque session j'ai exécuté un utilitaire que j'ai écrit moi-même :
GETPRIV.EXE, qui donne les priviléges du compte en cours.
http://www.bellamyjc.org/download/getpriv.exe
http://www.bellamyjc.org/download/rtl100.bpl (runtime Delphi)


Et voici les résultats (j'ai élagué les infos non pertinentes ici) :

Nom : GEDEON
Membre des groupes :
S-1-5-32-545 : Utilisateurs
S-1-5-32-547 : Utilisateurs avec pouvoir
Privilèges :
SeChangeNotifyPrivilege
Outrepasser le contrôle de défilement -> Activé par défaut
SeShutdownPrivilege
Arrêter le système -> Désactivé
SeUndockPrivilege
Retirer l'ordinateur de la station d'accueil -> Activé
SeSystemtimePrivilege
Modifier l'heure système -> Désactivé
SeProfileSingleProcessPrivilege
Optimiser un processus unique -> Désactivé



Nom : MARCEL
Membre des groupes :
S-1-5-32-545 : Utilisateurs
Privilèges :
SeChangeNotifyPrivilege
Outrepasser le contrôle de défilement -> Activé par défaut
SeShutdownPrivilege
Arrêter le système -> Désactivé
SeUndockPrivilege
Retirer l'ordinateur de la station d'accueil -> Activé



On voit donc qu'un compte membre de "utilisateurs avec pouvoirs" possède les
2 privilèges supplémentaires suivants :

SeSystemtimePrivilege (LUID 12)
SeProfileSingleProcessPrivilege (LUID 13)


Ces 2 privilèges, par défaut, sont désactivés, donc en temps normal il n'y a
AUCUNE différence entre un compte utilisateur ("lambda") et un compte
utilisateur avec pouvoirs.

Ce dernier a la possibilité (en activant les privilèges)
- de modifier l'heure système
- de "Optimiser un processus unique" (je cite Windows)
à ce sujet, ce n'est pas très clair...
On trouve en de rares endroits que ce privilège
"is required for using performance monitoring tools
to monitor “non-system processes”
ou encore :
"This right is apparently required if you
use the undocumented API NTCreateProfile to perform
application profiling in user mode."
ou (MSDN) :
"Required to gather profile information for
a single process."


J'espère que ces explications te suffiront !
Si ce n'est pas le cas, je te "passe le flambeau" pour trouver d'autres
infos dans le MSDN p.ex. !

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Fred
Le #1102520
Dans : news:,
Jean-Claude BELLAMY disait :

"utilisateur limité" est une dénomination utilisée sous XP HOME.
Cela désigne un compte qui n'est :
- ni administrateur
- ni invité


[...]

Bonjour Jean-Claude,

Tu oublies, à mon sens, une différence primordiale qui est celle de la
différence des droits NTFS associés par défaut à chacun de ces deux
groupes d'utilisateurs.
Ce qui fait par exemple qu'un /Utilisateur/ ne peut écrire dans Program
Files, alors qu'un /Utilisateur avec pouvoir/ le peut.

Idem pour les droits du registre.

Avec certains programmes pas très bien écrits, il faut se battre pour
qu'un simple utilisateur puisse les utiliser sans pour autant leur
conférer tous les droits d'un utilisateur avec pouvoir !

--
Fred
http://www.cerber mail.com/?3kA6ftaCvT (enlever l'espace)

Jean-Claude BELLAMY
Le #1102518
"Fred" news:
Dans : news:,
Jean-Claude BELLAMY disait :

"utilisateur limité" est une dénomination utilisée sous XP HOME.
Cela désigne un compte qui n'est :
- ni administrateur
- ni invité


[...]
Tu oublies, à mon sens, une différence primordiale qui est celle de la
différence des droits NTFS associés par défaut à chacun de ces deux
groupes d'utilisateurs.
Ce qui fait par exemple qu'un /Utilisateur/ ne peut écrire dans Program
Files, alors qu'un /Utilisateur avec pouvoir/ le peut.


PAR DÉFAUT, oui, c'est exact, mais il est très facile de changer cela !
On peut très décider qu'un Utilisateur lamba puisse écrire dans "Program
Files"
De même, si on le désire, on peut donner le contrôle total sur %systemroot%
à un compte invité particulier.
Car cela n'est pas lié à un privilège particulier, mais uniquement à
l'octroi de permissions.
Ce n'est donc pas "fixé" dans le type de compte.

Au contraire, un compte utilisateur "lambda" n'aura jamais le privilège
"SeSystemtimePrivilege", donc quoi que tu fasses (à part bien sûr le changer
de groupe, et le passer p.ex. chez les admins, mais alors ce n'est plus un
utilisateur lambda) il ne pourra jamais modifier l'heure système.

Il ne faut pas confondre "privilèges" (qui est un paramètre pérenne, affecté
à une "classe" d'utilisateurs) et "permissions" (qui est un paramètre
ponctuel, affecté à une "instance" d'utilisateur)!

Idem pour les droits du registre.
Même remarque.



--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org


Le Yéti
Le #1101512
Jean-Claude BELLAMY nous a écrit dans son message :
"Fred" news:
Dans : news:,
Jean-Claude BELLAMY disait :

"utilisateur limité" est une dénomination utilisée sous XP HOME.
Cela désigne un compte qui n'est :
- ni administrateur
- ni invité


[...]
Tu oublies, à mon sens, une différence primordiale qui est celle de
la différence des droits NTFS associés par défaut à chacun de ces
deux groupes d'utilisateurs.
Ce qui fait par exemple qu'un /Utilisateur/ ne peut écrire dans
Program Files, alors qu'un /Utilisateur avec pouvoir/ le peut.


PAR DÉFAUT, oui, c'est exact, mais il est très facile de changer cela
! On peut très décider qu'un Utilisateur lamba puisse écrire dans
"Program Files"
De même, si on le désire, on peut donner le contrôle total sur
%systemroot% à un compte invité particulier.
Car cela n'est pas lié à un privilège particulier, mais uniquement à
l'octroi de permissions.
Ce n'est donc pas "fixé" dans le type de compte.

Au contraire, un compte utilisateur "lambda" n'aura jamais le
privilège "SeSystemtimePrivilege", donc quoi que tu fasses (à part
bien sûr le changer de groupe, et le passer p.ex. chez les admins,
mais alors ce n'est plus un utilisateur lambda) il ne pourra jamais
modifier l'heure système.
Il ne faut pas confondre "privilèges" (qui est un paramètre pérenne,
affecté à une "classe" d'utilisateurs) et "permissions" (qui est un
paramètre ponctuel, affecté à une "instance" d'utilisateur)!

Idem pour les droits du registre.
Même remarque.



Bonjour,

Merci à tous deux pour vos exhaustives explications.
Cela me sera utile...

Bonne journée à tous, Tonio, amicalement :-)



Publicité
Poster une réponse
Anonyme