ENA

Le
Aski
Bonjour Jean-François,


Je me permets d'ouvrir un autre fil afin d'éviter le coup de sifflet des
gendarmes de l'HS, en y recopiant l'intégralité du dernier message.
J'avais bien compris que ENA était devenu impuissant, mais je voulais
cependant t'informer que j'étais sur une piste puisque j'avais réussi à
débloquer la situation (mais sans savoir comment).
Je reprends maintenant après avoir résolu une partie de mes problèmes
"piscinicoles".
--
Cordialement

Aski
MVP Windows Desktop Experience
http://dechily.org/
http://dechily.org/Forum_Aski/

_____________________________________________________________________________

> Je n'y ai pas travaillé beaucoup mais suffisamment pour m'apercevoir que
> j'ai
> dû faire une erreur que je n'ai pas encore trouvée.
> J'ai réussi à réactiver le compte BIA (builtin administrator pour
> simplifier
> les discussions).
> Pour le faire, j'ai utilisé UHA.
> Donc les modifications faites entre UHA et la dernière version de ENA
> devraient avoir créé ce dysfonctionnement.
> Je vais lancer successivement toutes mes versions pour repérer la date de
> l'erreur, puis comparer les sources.
>
> Voici l'extrait du code utilisé pour activer l'administrateur en XP Pro
> Const Path = "HKLMSOFTWAREMicrosoftWindows
> NTCurrentVersionWinlogonSpecialAccountsUserList"
> Dim bKey As Long
> Dim oShell As Object
> Set oShell = CreateObject("WScript.Shell")
> If Adm_Enabled Then
> oShell.RegWrite Path & AdmName, 0, "REG_DWORD"
> Else: oShell.RegWrite Path & AdmName, 1, "REG_DWORD"
> End If
> Adm_Enabled = Not Adm_Enabled
> Set oShell = Nothing
> Text_Change

Ah c'est gentil de me montrer une partie de ton code, ces exe compilés
sont sympathiques mais plutôt fermés. Comme je le disais ENA modifie
cette clé, ce dont se fiche le paramètre de sécurité prioritaire situé
dans la clé SAM. Voir ci-après :

> Le paramétrage que j'ai trouvé est lié à secpol.msc et ne correspond pas à
> une clé du registre. C'est la raison pour laquelle ENA ne peut pas aider,
> il
> change bien la valeur dans le registre, mais ce paramètre n'est pas
> prioritaire. Démonstration (354ko)
> http://fspsa.free.fr/ng/administrateur-etat-de-compte-secpol-msc.gif
> On voit que "Administrator account status" --> "Not a registry key"
>
> Je ne sais pas où est rangé ce paramètre. Quelqu'un sait ?

Not a registry key veut dire qu'il n'y a pas une clé/valeur spécifique
pour le paramètre. En utilisant psexec + regshot on peut voir que des
modifications sont apportées dans SAM à la valeur F du compte BIA :

HKLMSAMSAMDomainsAccount
HKLMSAMSAMDomainsAccountUsers00001F4
HKLMSECURITYSAMDomainsAccount
HKLMSECURITYSAMDomainsAccountUsers00001F4

Avec bien sûr
HKLMSAMSAMDomainsAccountUsersNamesAdministrateur
@=0x1F4

Voici l'octet modifié :
http://fspsa.free.fr/ng/administrateur-etat-de-compte-sam.gif

Plus d'infos sur cette zone particulière du registre
http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers

--
Salutations, Jean-François
http://fspsa.free.fr/lenteur.htm
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Aski - MVP
Le #19558611
Hello Jean-François,

Je n'y ai pas travaillé beaucoup mais suffisamment pour m'apercevoir que
j'ai
dû faire une erreur que je n'ai pas encore trouvée.
J'ai réussi à réactiver le compte BIA (builtin administrator pour
simplifier
les discussions).
Pour le faire, j'ai utilisé UHA.
Donc les modifications faites entre UHA et la dernière version de ENA
devraient avoir créé ce dysfonctionnement.
Je vais lancer successivement toutes mes versions pour repérer la date de
l'erreur, puis comparer les sources.

Voici l'extrait du code utilisé pour activer l'administrateur en XP Pro
Const Path = "HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonSpecialAccountsUserList"
Dim bKey As Long
Dim oShell As Object
Set oShell = CreateObject("WScript.Shell")
If Adm_Enabled Then
oShell.RegWrite Path & AdmName, 0, "REG_DWORD"
Else: oShell.RegWrite Path & AdmName, 1, "REG_DWORD"
End If
Adm_Enabled = Not Adm_Enabled
Set oShell = Nothing
Text_Change



Ah c'est gentil de me montrer une partie de ton code, ces exe compilés
sont sympathiques mais plutôt fermés. Comme je le disais ENA modifie
cette clé, ce dont se fiche le paramètre de sécurité prioritaire situé
dans la clé SAM. Voir ci-après :

Le paramétrage que j'ai trouvé est lié à secpol.msc et ne correspond pas
à
une clé du registre. C'est la raison pour laquelle ENA ne peut pas aider,
il
change bien la valeur dans le registre, mais ce paramètre n'est pas
prioritaire. Démonstration (354ko)
http://fspsa.free.fr/ng/administrateur-etat-de-compte-secpol-msc.gif
On voit que "Administrator account status" --> "Not a registry key"

Je ne sais pas où est rangé ce paramètre. Quelqu'un sait ?



Not a registry key veut dire qu'il n'y a pas une clé/valeur spécifique
pour le paramètre. En utilisant psexec + regshot on peut voir que des
modifications sont apportées dans SAM à la valeur F du compte BIA :

HKLMSAMSAMDomainsAccount
HKLMSAMSAMDomainsAccountUsers00001F4
HKLMSECURITYSAMDomainsAccount
HKLMSECURITYSAMDomainsAccountUsers00001F4

Avec bien sûr
HKLMSAMSAMDomainsAccountUsersNamesAdministrateur
@=0x1F4

Voici l'octet modifié :
http://fspsa.free.fr/ng/administrateur-etat-de-compte-sam.gif

Plus d'infos sur cette zone particulière du registre
http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers


_________________________________________________________________________________
Je n'étais pas arrivé à trouver la solution pour modifier par logiciel le
SAM (F) qui est parfaitement bien protégé.

Bon, j'avais dû mettre de la moquette indienne dans mes joints !
Il aurait fallu que je simule la commande supplémentaire "net user
administrateur active:yes" (en remplaçant, bien sûr, administrateur par son
nom dans le registre et yes par no pour désactiver) pour compléter la
modification de UserList.
--
Cordialement

Aski
MVP Windows Desktop Experience
http://dechily.org/
http://dechily.org/Forum_Aski/
Aski - MVP
Le #19558601
Hello,

Il aurait fallu que je simule la commande supplémentaire "net user
administrateur active:yes"..



Erratum
"net user administrateur /active:yes"..
--
Aski
JF
Le #19559371
*Bonjour Aski - MVP*

Il aurait fallu que je simule la commande supplémentaire "net user
administrateur /active:yes" (en remplaçant, bien sûr, administrateur par son
nom dans le registre et yes par no pour désactiver)



Oui car sur un Windows en anglais ce sera par défaut administrator.
Et un bricoleur aura pu s'amuser à le renommer.

Pour résumer :
net user administrateur /active:no
net user administrateur /active:yes
agissent effectivement sur ce second paramètre caché dans SAM et
correspondant à :

Gérer, Utilisateurs et groupes locaux, Utilisateurs, Administrateur
- coche "Les compte est désactivé"

ou par ce cheminement :
secpol.msc (Paramètres de sécurité), Stratégies de comptes, Options de
sécurité, "Comptes : état de compte d'administrateur"
- coches Activé / Désactivé

Illustration :
http://fspsa.free.fr/ng/administrateur-etat-de-compte-secpol-msc.gif




pour compléter la modification de UserList.



Je n'avais pas eu l'idée d'essayer cette commande sur XP, merci du
rappel.

CONCLUSION
L'affichage dans l'Écran d'Accueil et dans Comptes d'utilisateur du
compte Administrateur intégré (buit-in) est dépendant de deux endroits
différents du registre. Si l'un des deux paramètres est activé de façon
à cacher le compte Administrateur, il sera caché.

Cela ne retire en rien l'intérêt de ENA qui permettra la plupart du
temps d'afficher le compte Administrateur facilement, quelle que soit
la version de Windows (sauf XPHOME hélas, qui ne peut accéder que via
le mode sans échec).

Rappel : il faut être soi-même déjà Administrateur
pour utiliser ENA, faut pas rêver.
http://dechily.org/downloads/ena.zip
http://dechily.org/Forum_Aski/topic132.html

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Virus-Malwares-Comment-on-se-fait-infecter.htm
Aski - MVP
Le #19559891
Bonsoir Jean-François,

Il aurait fallu que je simule la commande supplémentaire "net user
administrateur /active:yes" (en remplaçant, bien sûr, administrateur par
son nom dans le registre et yes par no pour désactiver)



Oui car sur un Windows en anglais ce sera par défaut administrator.
Et un bricoleur aura pu s'amuser à le renommer.



Pas de de problème de ce côté. ENA le détecte bien (essayé sur versions
française et anglaise).

Pour résumer :
net user administrateur /active:no
net user administrateur /active:yes
agissent effectivement sur ce second paramètre caché dans SAM et
correspondant à :

Gérer, Utilisateurs et groupes locaux, Utilisateurs, Administrateur
- coche "Les compte est désactivé"

ou par ce cheminement :
secpol.msc (Paramètres de sécurité), Stratégies de comptes, Options de
sécurité, "Comptes : état de compte d'administrateur"
- coches Activé / Désactivé

Illustration :
http://fspsa.free.fr/ng/administrateur-etat-de-compte-secpol-msc.gif



pour compléter la modification de UserList.



Je n'avais pas eu l'idée d'essayer cette commande sur XP, merci du rappel.



Restent que (pour XP PRO toujours) :
- la commande "net user" en question fonctionne bien en invite mais je n'ai
pas réussi encore à la lancer par shell en vb6
- il faut savoir si l'administrateur est actif et donc trouver la commande
ad hoc

CONCLUSION
L'affichage dans l'Écran d'Accueil et dans Comptes d'utilisateur du compte
Administrateur intégré (buit-in) est dépendant de deux endroits différents
du registre. Si l'un des deux paramètres est activé de façon à cacher le
compte Administrateur, il sera caché.

Cela ne retire en rien l'intérêt de ENA qui permettra la plupart du temps
d'afficher le compte Administrateur facilement, quelle que soit la version
de Windows (sauf XPHOME hélas, qui ne peut accéder que via le mode sans
échec).

Rappel : il faut être soi-même déjà Administrateur
pour utiliser ENA, faut pas rêver.
http://dechily.org/downloads/ena.zip
http://dechily.org/Forum_Aski/topic132.html



J'aimerais bien quand-même à faire faire à ENA ce que l'on fait manuellement
et sans se poser de question.
C'est le but de l'outil.
--
Amicalement

Henri
JF
Le #19560921
Salut Henri

net user administrateur /active:no
net user administrateur /active:yes





Restent que (pour XP PRO toujours) :
- la commande "net user" en question fonctionne bien en invite mais je n'ai
pas réussi encore à la lancer par shell en vb6



En VBS j'utiliserais %comspec%

============== run-comspec.vbs
==>
Set Shell = WScript.CreateObject("WScript.Shell")
Start = "%comspec% /c start "
Prog1 = "regedit -m"
Prog2 = "write"
Commande = Start&Prog1
Shell.Run Commande,0
Commande = Start&Prog2
Shell.Run Commande,0

=============== builtinadmin-on.vbs
==>
Set Shell = WScript.CreateObject("WScript.Shell")
Start = "%comspec% /c start "
Commande1 = "net user administrateur /active:yes"
Commande2 = "control userpasswords"
Commande = Start&Commande1
Shell.Run Commande,0
Commande = Start&Commande2
Shell.Run Commande,0
=================
- il faut savoir si l'administrateur est actif et donc trouver la commande ad
hoc



Pour empêcher qu'on désactive le compte Administrateur alors qu'il est
ouvert. On a vu que c'était possible, et c'est effectivement illogique.
Maintenant ce n'est pas bien grave.
J'avais vu la question pour une machine distante, l'outil utilisé était
psloggon, mais en local ce doit être simple. Si je trouve je te dis.
Pose la question sur scripting ?



J'aimerais bien quand-même à faire faire à ENA ce que l'on fait manuellement
et sans se poser de question.
C'est le but de l'outil.



Je n'avais pas testé net user sur xphome ==> Ça marche ! J'ai fait deux
batchs qui me permettent d'afficher ou non le compte Administrateur
intégré avec XPHOME :

Administrateur-ON.bat ==>
net user administrateur /active:yes
control userpasswords

Administrateur-OFF.bat
net user administrateur /active:no
control userpasswords

control userpasswords permet de vérifier immédiatement si le compte
Administrateur intégré est présent ou non dans Comptes d'Utilisateurs.

Pour récupérer le nom de l'administrateur tu sais faire :
http://groups.google.fr/group/microsoft.public.fr.scripting/msg/97c78824a0320866

Aucun moyen d'y parvenir en batch ?

Suite à cette observation que la commande fonctionne pour xphome, je
serais tenté de l'utiliser à la place de la modification de la clé
UserList. Il faut tout de même vérifier qu'il ne s'y trouve pas de
valeur du genre Administrateur=0 (elle masque le compte).

Pour le coup voilà une nette avancée, les utilisateurs de xphome
peuvent à présent accéder facilement au compte Administrateur intégré,
ce que ne permettait pas la simple modification de la clé UserList
puisqu'il fallait d'abord utiliser secpol.msc qui n'est pas présent
http://www.bellamyjc.org/fr/strategie.html#GPEDIT

--
Salutations, Jean-François
Aski - MVP
Le #19562021
Salut Jean-François,

Restent que (pour XP PRO toujours) :
- la commande "net user" en question fonctionne bien en invite mais je
n'ai pas réussi encore à la lancer par shell en vb6



En VBS j'utiliserais %comspec%

============== > run-comspec.vbs
==>
Set Shell = WScript.CreateObject("WScript.Shell")
Start = "%comspec% /c start "
Prog1 = "regedit -m"
Prog2 = "write"
Commande = Start&Prog1
Shell.Run Commande,0
Commande = Start&Prog2
Shell.Run Commande,0

=============== > builtinadmin-on.vbs
==>
Set Shell = WScript.CreateObject("WScript.Shell")
Start = "%comspec% /c start "
Commande1 = "net user administrateur /active:yes"
Commande2 = "control userpasswords"
Commande = Start&Commande1
Shell.Run Commande,0
Commande = Start&Commande2
Shell.Run Commande,0
=================


J'ai compris, cette nuit entre 2 rêves, que, contrairement à une invite de
commande, il fallait indiquer le chemin complet de cmd.
Cette variable d'environnement est celle qui convient.
En VB
Shell Environ("comspec") & Cde

- il faut savoir si l'administrateur est actif et donc trouver la
commande ad hoc



Pour empêcher qu'on désactive le compte Administrateur alors qu'il est
ouvert. On a vu que c'était possible, et c'est effectivement illogique.
Maintenant ce n'est pas bien grave.
J'avais vu la question pour une machine distante, l'outil utilisé était
psloggon, mais en local ce doit être simple. Si je trouve je te dis. Pose
la question sur scripting ?



Connaître cet état m'est nécessaire l'état d'activation effectif puisque
j'utilise une bascule.
Je voudrais chercher une peu d'abord avant de poster sur le Scripting.

Je n'avais pas testé net user sur xphome ==> Ça marche ! J'ai fait deux
batchs qui me permettent d'afficher ou non le compte Administrateur
intégré avec XPHOME :

Administrateur-ON.bat ==>
net user administrateur /active:yes
control userpasswords

Administrateur-OFF.bat
net user administrateur /active:no
control userpasswords

control userpasswords permet de vérifier immédiatement si le compte
Administrateur intégré est présent ou non dans Comptes d'Utilisateurs.

Pour récupérer le nom de l'administrateur tu sais faire :
http://groups.google.fr/group/microsoft.public.fr.scripting/msg/97c78824a0320866

Aucun moyen d'y parvenir en batch ?

Suite à cette observation que la commande fonctionne pour xphome, je
serais tenté de l'utiliser à la place de la modification de la clé
UserList. Il faut tout de même vérifier qu'il ne s'y trouve pas de valeur
du genre Administrateur=0 (elle masque le compte).



Effectivement il faut les 2 conditions.

Pour le coup voilà une nette avancée, les utilisateurs de xphome peuvent à
présent accéder facilement au compte Administrateur intégré, ce que ne
permettait pas la simple modification de la clé UserList puisqu'il fallait
d'abord utiliser secpol.msc qui n'est pas présent
http://www.bellamyjc.org/fr/strategie.html#GPEDIT



Je n'ai pas encore le temps d'essayer (mes problèmes de piscines sont plus
hard que prévu).
Veux-tu dire qu'on n'est pas obligé de passer par le démarrage en mode sans
échec pour activer ET faire apparaître le BIA ?
--
Amicalement

Aski
MVP Windows Desktop Experience
JF
Le #19562501
*Bonjour Aski - MVP*

- il faut savoir si l'administrateur est actif et donc trouver la commande
ad hoc



Pour empêcher qu'on désactive le compte Administrateur alors qu'il est
ouvert. On a vu que c'était possible, et c'est effectivement illogique.
Maintenant ce n'est pas bien grave.
J'avais vu la question pour une machine distante, l'outil utilisé était
psloggon, mais en local ce doit être simple. Si je trouve je te dis. Pose
la question sur scripting ?



Connaître cet état m'est nécessaire l'état d'activation effectif puisque
j'utilise une bascule.
Je voudrais chercher une peu d'abord avant de poster sur le Scripting.



Je vois passer des choses comme ceci :

http://hermesconseils.wordpress.com/2008/05/02/comment-retrouver-un-usager-par-son-sid/

http://www.bellamyjc.org/fr/vbsdownload.html#name2sid
(c'est sid2name qu'il faudrait :) mais c'est à voir )

Pour info : psloggedon et logonsessions
http://technet.microsoft.com/en-us/sysinternals/bb545027.aspx

En tout cas la réponse n'est pas la commande net use
Rappel : l'aide complète de cette commande est : net use /help


Je n'avais pas testé net user sur xphome ==> Ça marche
net user administrateur /active:yes
control userpasswords
les utilisateurs de xphome peuvent à présent accéder facilement
au compte Administrateur intégré, ce que ne permettait pas la
simple modification de la clé UserList





Veux-tu dire qu'on n'est pas obligé de passer par le démarrage en mode sans
échec pour activer ET faire apparaître le BIA ?



C'est ce que j'ai observé et c'est vraiment super. Je vais confirmer
dès que possible avec une autre installation xphome.

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Virus-Malwares-Comment-on-se-fait-infecter.htm
JF
Le #19563531
>>> Je n'avais pas testé net user sur xphome ==> Ça marche
net user administrateur /active:yes
control userpasswords
les utilisateurs de xphome peuvent à présent accéder facilement au compte
Administrateur intégré, ce que ne permettait pas la simple modification de
la clé UserList





Veux-tu dire qu'on n'est pas obligé de passer par le démarrage en mode sans
échec pour activer ET faire apparaître le BIA ?



C'est ce que j'ai observé et c'est vraiment super. Je vais confirmer dès que
possible avec une autre installation xphome.



Perdu.

La vérification dans une machine virtuelle créée pour l'occasion ne
donne pas le même comportement que sur mon vieux PC xphome
http://fspsa.free.fr/ng/administrateur-activation-xphome.gif

Le BuitInAdmin, même s'il est affiché dans Comptes d'utilisateurs,
reste masqué dans l'Écran d'accueil. Il faut toujours passer par le
mode sans échec pour entrer en session Administrateur.

Difficile de dire pourquoi cette différence de comportement.
Je cherche ...

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
Aski - MVP
Le #19563941
Hello Jean-François,

Perdu.

La vérification dans une machine virtuelle créée pour l'occasion ne donne
pas le même comportement que sur mon vieux PC xphome
http://fspsa.free.fr/ng/administrateur-activation-xphome.gif

Le BuitInAdmin, même s'il est affiché dans Comptes d'utilisateurs, reste
masqué dans l'Écran d'accueil. Il faut toujours passer par le mode sans
échec pour entrer en session Administrateur.

Difficile de dire pourquoi cette différence de comportement.
Je cherche ...



Faux espoir :o(

J'ai utilisé regshot pour voir ce qui était modifié dans le registre.
C'est uniquement HKLMSAMSAMDomainsAccountUsers00001F4F comme on s'y
attendait.
Je vais donc regarder s'il est possible d'y accéder dans tous les cas.
--
Cordialement

Henri
JF
Le #19564561
Hello http://www.salonpiscineparis.com/

La vérification dans une machine virtuelle créée pour l'occasion ne donne
pas le même comportement que sur mon vieux PC xphome
http://fspsa.free.fr/ng/administrateur-activation-xphome.gif
Le BuitInAdmin, même s'il est affiché dans Comptes d'utilisateurs, reste
masqué dans l'Écran d'accueil. Il faut toujours passer par le mode sans
échec pour entrer en session Administrateur.
Difficile de dire pourquoi cette différence de comportement.
Je cherche ...





J'ai trouvé la différence.
En utilisant control userpasswords2 + redémarrage
le BuiltInAdmin est maintenant affiché sur tous mes xphome

Pour afficher le BIA il faut décocher
"Les utilisateurs doivent entrer un mot de passe"
(qu'on peut laisser vide)

http://fspsa.free.fr/ng/administrateur-activation-xphome2.gif
http://fspsa.free.fr/ng/administrateur-activation-xphome2-accueil.gif

En reproduisant la manip inverse sur l'autre PC,
le BIA n'est plus affiché sur l'écran d'accueil, comme attendu.
En utilisant à nouveau userpasswords2 + redémarrage,
le BIA est revenu comme prévu.





J'ai utilisé regshot pour voir ce qui était modifié dans le registre.
C'est uniquement HKLMSAMSAMDomainsAccountUsers00001F4F comme on s'y
attendait.
Je vais donc regarder s'il est possible d'y accéder dans tous les cas.



La modif directe de l'octet n'a pas donné de résultat de mon côté.
Espérons que tu seras plus habile.

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
Publicité
Poster une réponse
Anonyme