Encore des problèmes avec l'UAC

Le
MCI \(ex do ré Mi chel la si do\) [MVP]
Bonjour !


Cette fois-ci, j'ai un script (un .HTA) d'administration qui :
- fonctionne bien avec l'UAC désactivé.
- ne fonctionne pas avec l'UAC activé. Même s'il est lancé en tant
qu'administrateur. J'ai deux messages d'erreur :
(lancement direct) : l'objet s'est déconnecté de ses
clients
(en tant qu'Administrateur) : erreur non spécifiée

J'ai essayé plusieurs fois, en désactivant / réactivant l'UAC, et c'est
reproductible et systématique.

Certes, la solution de désactivation de l'UAC existe. Mais, cela
m'empêche de diffuser ce script au public.
Une solution ?



Autre problème : certains logiciels ou script ne se lancent pas par
l'instruction "exécuter", mais par "ouvrir". Or, il n'existe pas "ouvrir
en tant qu'Administrateur".
Comment peuvent faire les utilisateurs qui n'ont pas (encore) désactivé
l'UAC ?


@-salutations
--
Michel Claveau
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
David Sebban [MSFT]
Le #17301571
sans voir ton code ou que tu nous explique ce que fait ton HTA et comment,
impossible de deviner d'ou vient ton problème ...

le fait que tu nous dises qu'en désactivant UAC cela passe me fait
franchement pencher pour des problemes de code avec des chemins en dur vers
des répertoires/ruches virtualisées

si ce n'est pas le cas, alors c'est vraiment grave, cela veut dire que tu
déploies a tes utilisateurs du code qui nécessite des droits d'admin...

--
David Sebban | Microsoft Services France
MCTS Vista & BDD | MCITP Enterprise & Consumer Support
http://blogs.msdn.com/dsebban

"MCI (ex do ré Mi chel la si do) [MVP]" écrit dans le message de groupe de discussion :

Bonjour !


Cette fois-ci, j'ai un script (un .HTA) d'administration qui :
- fonctionne bien avec l'UAC désactivé.
- ne fonctionne pas avec l'UAC activé. Même s'il est lancé en tant
qu'administrateur. J'ai deux messages d'erreur :
(lancement direct) : l'objet s'est déconnecté de ses clients
(en tant qu'Administrateur) : erreur non spécifiée

J'ai essayé plusieurs fois, en désactivant / réactivant l'UAC, et c'est
reproductible et systématique.

Certes, la solution de désactivation de l'UAC existe. Mais, cela m'empêche
de diffuser ce script au public.
Une solution ?



Autre problème : certains logiciels ou script ne se lancent pas par
l'instruction "exécuter", mais par "ouvrir". Or, il n'existe pas "ouvrir
en tant qu'Administrateur".
Comment peuvent faire les utilisateurs qui n'ont pas (encore) désactivé
l'UAC ?


@-salutations
--
Michel Claveau






MCI \(ex do ré Mi chel la si do\) [MVP]
Le #17303951
Bonsoir !


Le ligne qui accroche, c'est celle-ci :
wpx=open("","PBridge");
(c'est du Jscript).

A noter la particularité suivante : avec IE-8 bêta, et on travaillant
sérieusement les droits (dans IE), ça fonctionne avec un utilisateur
normal, mais ça ne fonctionne plus, si c'est lancé "en tant
qu'administrateur".
Autrement dit, avec l'UAC, "en tant qu'administrateur" a, parfois, moins
de droits qu'un lancement simple.
D'ailleurs, cela se produit aussi pour accéder à des partages locaux
(avec "en tant qu'admin", il faut se reconnecter, opération inutile en
lancement direct).


tu déploies a tes utilisateurs du code qui nécessite des droits
d'admin...



Bien sûr. Et c'est normal.
Par exemple, j'ai installé chez un client, aujourd'hui, un script qui
permet à un utilisateur précis de gérer les droits d'autres
utilisateurs, sur un sous-répertoire partagé particulier.
L'utilisateur doit gérer ça, mais il ne doit connaitre les accès
administrateur. Le plus simple, c'est donc de faire un script, qui
saisie les demandes de modifications, et les utilise, de manière
invisible ; pour cela, le script a besoin de droits étendus, mais durant
un temps limité.


@-salutations
--
Michel Claveau
David Sebban [MSFT]
Le #17312161
>> tu déploies a tes utilisateurs du code qui nécessite des droits
d'admin...



Bien sûr. Et c'est normal.



Pas que je sache mais bon si tu le penses je comprends mieux ton
positionnement vis a vis d'UAC

Par exemple, j'ai installé chez un client, aujourd'hui, un script qui
permet à un utilisateur précis de gérer les droits d'autres utilisateurs,
sur un sous-répertoire partagé particulier.
L'utilisateur doit gérer ça, mais il ne doit connaitre les accès
administrateur. Le plus simple, c'est donc de faire un script, qui saisie
les demandes de modifications, et les utilise, de manière invisible ; pour
cela, le script a besoin de droits étendus, mais durant un temps limité.



Je ne suis pas sur que ce soit le plus simple. Personnellement j'aurais
simplement délégué le droit NTFS "modification des autorisations" sur "ce
dossier uniquement" pour l'utilisateur en question et je l'aurais laissé
utiliser l'interface Windows par défaut sans utiliser de script nécessitant
les droits d'administrateur.

mais ca n'engage que moi ...

--
David Sebban | Microsoft Services France
MCTS Vista & BDD | MCITP Enterprise & Consumer Support
http://blogs.msdn.com/dsebban
Esclapion
Le #17312441
Bonjour,

les scripts avec droits d'administrateur sont une porte ouverte pour tous
les piratages. Je me suis déjà amusé (pas méchamment) à les détourner pour
m'amuser. :-) Attention...

"David Sebban [MSFT]" de groupe de discussion :

tu déploies a tes utilisateurs du code qui nécessite des droits
d'admin...



Bien sûr. Et c'est normal.



Pas que je sache mais bon si tu le penses je comprends mieux ton
positionnement vis a vis d'UAC

Par exemple, j'ai installé chez un client, aujourd'hui, un script qui
permet à un utilisateur précis de gérer les droits d'autres utilisateurs,
sur un sous-répertoire partagé particulier.
L'utilisateur doit gérer ça, mais il ne doit connaitre les accès
administrateur. Le plus simple, c'est donc de faire un script, qui saisie
les demandes de modifications, et les utilise, de manière invisible ;
pour cela, le script a besoin de droits étendus, mais durant un temps
limité.



Je ne suis pas sur que ce soit le plus simple. Personnellement j'aurais
simplement délégué le droit NTFS "modification des autorisations" sur "ce
dossier uniquement" pour l'utilisateur en question et je l'aurais laissé
utiliser l'interface Windows par défaut sans utiliser de script
nécessitant les droits d'administrateur.

mais ca n'engage que moi ...

--
David Sebban | Microsoft Services France
MCTS Vista & BDD | MCITP Enterprise & Consumer Support
http://blogs.msdn.com/dsebban


David Sebban [MSFT]
Le #17315471
CQFD
merci Esclapion, je commençais a me sentir seul :)

--
David Sebban | Microsoft Services France
MCTS Vista & BDD | MCITP Enterprise & Consumer Support
http://blogs.msdn.com/dsebban

"Esclapion" discussion : 48d8bf0e$0$4459$
Bonjour,

les scripts avec droits d'administrateur sont une porte ouverte pour tous
les piratages. Je me suis déjà amusé (pas méchamment) à les détourner pour
m'amuser. :-) Attention...

"David Sebban [MSFT]" message de groupe de discussion :

tu déploies a tes utilisateurs du code qui nécessite des droits
d'admin...



Bien sûr. Et c'est normal.



Pas que je sache mais bon si tu le penses je comprends mieux ton
positionnement vis a vis d'UAC

Par exemple, j'ai installé chez un client, aujourd'hui, un script qui
permet à un utilisateur précis de gérer les droits d'autres
utilisateurs, sur un sous-répertoire partagé particulier.
L'utilisateur doit gérer ça, mais il ne doit connaitre les accès
administrateur. Le plus simple, c'est donc de faire un script, qui
saisie les demandes de modifications, et les utilise, de manière
invisible ; pour cela, le script a besoin de droits étendus, mais durant
un temps limité.



Je ne suis pas sur que ce soit le plus simple. Personnellement j'aurais
simplement délégué le droit NTFS "modification des autorisations" sur "ce
dossier uniquement" pour l'utilisateur en question et je l'aurais laissé
utiliser l'interface Windows par défaut sans utiliser de script
nécessitant les droits d'administrateur.

mais ca n'engage que moi ...

--
David Sebban | Microsoft Services France
MCTS Vista & BDD | MCITP Enterprise & Consumer Support
http://blogs.msdn.com/dsebban





MCI \(ex do ré Mi chel la si do\) [MVP]
Le #17322981
Salut !

les scripts avec droits d'administrateur sont une porte ouverte pour
tous les piratages



C'est vrai, si ces scripts contiennent, en clair, le nom de
l'utilisateur et le mot passe. C'est beaucoup moins vrai, si ces
informations sont cryptées. Ce n'est plus vrai du tout, si, en plus, le
script fait de la translation d'info ; car, alors, même l'utilisateur ne
pourra pas donner les véritables nom d'utilisateur et passe. Il ne les
connais pas, et, ni la torture, ni la corruption, n'auront d'effets.

@-salutations
--
Michel Claveau
Esclapion
Le #17323261
Sauf si tu peux dévier leur route ou les faire s'exécuter de façon modifiée
? Mais je ne vais pas passer de recette de hack sur ce groupe, quand même ?
:-)

"MCI (ex do ré Mi chel la si do) [MVP]" écrit dans le message de groupe de discussion :
#
Salut !

les scripts avec droits d'administrateur sont une porte ouverte pour tous
les piratages



C'est vrai, si ces scripts contiennent, en clair, le nom de l'utilisateur
et le mot passe. C'est beaucoup moins vrai, si ces informations sont
cryptées. Ce n'est plus vrai du tout, si, en plus, le script fait de la
translation d'info ; car, alors, même l'utilisateur ne pourra pas donner
les véritables nom d'utilisateur et passe. Il ne les connais pas, et, ni
la torture, ni la corruption, n'auront d'effets.

@-salutations
--
Michel Claveau




Laurent Gébeau [MToo]
Le #17350371
D'accord avec David et Esclapion..

Aucun de mes utilisateurs n'est admin local, et si une appli me l'impose
elle passe par la corbeille....

On sait tous les risques que représentent les spywares et autre snuisances,
et si UAC ferme -pa smal- les portes ce n'est pas pour les ouvrir.

J'imagine que les parametres de tes programmes sont stockés dans un INI dans
le même répertoire que l'appli .... et donc tu hais UAC.

http://www.toutwindows.com/vista_uac.shtml pour en savoir plus...

--
Laurent Gébeau (MToo)
[MVP Windows]

** http://www.toutwindows.com **
Tout sur Windows Server, Windows XP, Windows Vista, (FAQ XPSP2, FAQ AD et
FAQ UAC). Consultez mon blog : http://toutwindows.com/blog

** http://www.communautes-numeriques.net **
Découvrez les technologies numériques...

"Esclapion" news:48d9fd0f$0$31458$
Sauf si tu peux dévier leur route ou les faire s'exécuter de façon
modifiée ? Mais je ne vais pas passer de recette de hack sur ce groupe,
quand même ?
:-)

"MCI (ex do ré Mi chel la si do) [MVP]" a écrit dans le message de groupe de discussion :
#
Salut !

les scripts avec droits d'administrateur sont une porte ouverte pour
tous les piratages



C'est vrai, si ces scripts contiennent, en clair, le nom de l'utilisateur
et le mot passe. C'est beaucoup moins vrai, si ces informations sont
cryptées. Ce n'est plus vrai du tout, si, en plus, le script fait de la
translation d'info ; car, alors, même l'utilisateur ne pourra pas donner
les véritables nom d'utilisateur et passe. Il ne les connais pas, et, ni
la torture, ni la corruption, n'auront d'effets.

@-salutations
--
Michel Claveau






Publicité
Poster une réponse
Anonyme