droits d'administrateur

Aski

29/03/2007 à 08:32

Bonjour Daniel,

"Daniel" a écrit dans le message de
news:

Bonjour

je viens de lire dans un mail de la communauté microsoft qu'il existait
des droits de Super Administrateur en midifiant le registre. Pouvez vous
m'expliquer la marche à suivre pour effectuer cette manip.
Merci
Daniel

Passer à 0 la valeur de
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaLimitBlankPasswordUse
dans le registre

Aski

Jean-Claude BELLAMY

29/03/2007 à 13:08

"Aski" a écrit dans le message de
news:

Bonjour Daniel,

"Daniel" a écrit dans le message de
news:
Bonjour

je viens de lire dans un mail de la communauté microsoft qu'il existait
des droits de Super Administrateur en midifiant le registre. Pouvez vous
m'expliquer la marche à suivre pour effectuer cette manip.
Merci
Daniel

Passer à 0 la valeur de
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaLimitBlankPasswordUse
dans le registre

Mais "qu'aski t'a pris " de répondre ainsi complètement à côté de la plaque
?

Cette clef n'a AUCUN rapport avec l'existence de droits de "superadmin".
Elle concerne seulement la restriction d'utilisation de mots de passe vides,
pour n'importe quel compte, admin ou non.
Si cette entrée est à 0, il n'y a pas de restriction, sinon un mot de passe
non vide est exigé pour toute connexion.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Jean-Claude BELLAMY

29/03/2007 à 13:26

"Daniel" a écrit dans le message de
news:

Bonjour

je viens de lire dans un mail de la communauté microsoft qu'il existait
des droits de Super Administrateur en midifiant le registre. Pouvez vous
m'expliquer la marche à suivre pour effectuer cette manip.

Ouh la, quel raccourci !!!
Des droits de "Super Administrateur" , çà n'existe pas !

Il existe des administrateurs, qui disposent EN THÉORIE d'un accès complet
et illimité à l'ordinateur (et au domaine si on est dans cette
configuration), MAIS quand UAC (User Access Control) est actif, un compte du
groupe "Administrateurs" n'a que des droits d'utilisateur standard.

CEPENDANT, il peut demander une élévation TEMPORAIRE de privilèges pour
devenir réellement administrateur.
Une boite de dialogue s'affiche alors, lui demandant de confirmer cette
"promotion" (valable uniquement pour l'action en cours)
On peut désactiver cette demande, qui est rapidement très pénible, par
modification de l'entrée suivante :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemConsentPromptBehaviorAdmin
Valeur 0 -> la tranquillité !!!!

Quant au compte "Administrateur" (qui peut être considéré comme "Super
administrateur", mais c'est un terme abusif), il conserve en permanence ses
privilèges d'administrateur, sans notifications incessantes, que UAC soit
actif ou non, que l'entrée "ConsentPromptBehaviorAdmin" soit à 0 ou à 1.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Loupfurieux

29/03/2007 à 17:02

Bonjour,

Jean Claude vous avez écris ceci :

CEPENDANT, il peut demander une élévation TEMPORAIRE de privilèges pour
devenir réellement administrateur.

Pourriez-vous svp expliquer comment ? Par avance, merci.

"Daniel" a écrit dans le message de
news:
Bonjour

je viens de lire dans un mail de la communauté microsoft qu'il existait
des droits de Super Administrateur en midifiant le registre. Pouvez vous
m'expliquer la marche à suivre pour effectuer cette manip.

Ouh la, quel raccourci !!!
Des droits de "Super Administrateur" , çà n'existe pas !

Il existe des administrateurs, qui disposent EN THÉORIE d'un accès complet
et illimité à l'ordinateur (et au domaine si on est dans cette
configuration), MAIS quand UAC (User Access Control) est actif, un compte du
groupe "Administrateurs" n'a que des droits d'utilisateur standard.

CEPENDANT, il peut demander une élévation TEMPORAIRE de privilèges pour
devenir réellement administrateur.
Une boite de dialogue s'affiche alors, lui demandant de confirmer cette
"promotion" (valable uniquement pour l'action en cours)
On peut désactiver cette demande, qui est rapidement très pénible, par
modification de l'entrée suivante :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemConsentPromptBehaviorAdmin
Valeur 0 -> la tranquillité !!!!

Quant au compte "Administrateur" (qui peut être considéré comme "Super
administrateur", mais c'est un terme abusif), il conserve en permanence ses
privilèges d'administrateur, sans notifications incessantes, que UAC soit
actif ou non, que l'entrée "ConsentPromptBehaviorAdmin" soit à 0 ou à 1.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Jean-Claude BELLAMY

29/03/2007 à 19:27

"Loupfurieux" a écrit dans le
message de news:

Bonjour,

Jean Claude vous
Je déteste le vouvoiement !

Car j'ai l'impression que je suis plusieurs à casue de ma surcharge
pondérale .. ;-)

avez écris ceci :

CEPENDANT, il peut demander une élévation TEMPORAIRE de privilèges pour
devenir réellement administrateur.

Pourriez-vous svp expliquer comment ?

La nouveauté de VISTA est de tout protéger en permanence, et en particulier
d'éviter qu'une session soit ouverte avec les privilèges élevés
d'administrateur. En effet, un administrateur, par définition même, a le
droit de tout faire, y compris de tout détruire (ou presque) !

Donc si un "alien" (virus ou autre cochonnerieware) s'est introduit dans le
système, comme la session est ouverte avec tous les privilèges, le virus
pourra faire des dégats nettement plus facilement que s'il était dans une
session ouverte SANS privilèges particuliers. (en gros, sous un compte
"lambda", le virus va se faire "jeter comme un malpropre" s'il désire
attenter au système)

Et bien, par défaut, sous VISTA, un compte appartenant au groupe des
administrateurs N'A PAS les privilèges d'administrateur !
Oui, je sais, çà déconcerte au début !
C'est shakespearien comme situation :
"Être administrateur ou ne pas être administrateur, tel est UAC !"

UAC = User Acces Manager, cette fameuse nouveauté de VISTA

Très exactement, quand un utilisateur ouvre une session, il reçoit un
"jeton" (token) qui l'identifie, et qui dit ce qu'il a le droit de faire.
Sous VISTA, tout utilisateur (Admins compris) reçoit un jeton d'utilisateur
"lambda".
Un administrateur reconnu comme tel va recevoir "en prime" un 2ème jeton,
qui indique que c'est un administrateur, donc avec des prérogatives
importantes, mais par défaut ce jeton n'est PAS utilisé, SAUF nécessité, et
c'est le jeton lambda qui est utilisé dans les tâches courantes.

Donc toute action qui requiert les privilèges d'administrateur (p.ex la
création de nouvelles partitions ou l'accès à la Base de registres) va être
a priori refusée, sauf si c'est un administrateur qui veut la réaliser, et
dans ce cas une boite de dialogue va lui demander s'il veut bien acquérir
MOMENTANÉMENT les privilèges admin, le temps de l'action demandée.
S'il répond oui, l'action est déclenchée (p.ex. l'ouverture de
DISKMGMT.MSC), le 2ème jeton "admin" est pris en compte, donc avec
privilèges admins, et dès qu'elle est terminée l'utilisateur se voit
"rétrogradé" au rang de simple utilisateur. (le jeton admin est remis au
frigo ;-) )

Et c'est là où est le problème d'UAC :
Le principe, l'idée, la "philosophie", tout çà est EXCELLENT ...
Par contre, en pratique, surtout si on est développeur, çà devient invivable
car on est sans cesse en train d'appuyer sur un bouton pour dire que "Oui,
je veux augmenter les privilèges ..."

L'entrée "ConsentPromptBehaviorAdmin" mise à 0 dispense de cette invite.
Pour info et rappel :

une valeur 1 va provoquer l'ouverture d'une de boite de dialogue où nom de
compte admin et mot de passe seront demandés,

une valeur 2 va provoquer l'ouverture d'une de boite de dialogue où il est
seulement demander de confirmer (ou non) l'élévation de privilèges.
(c'est la valeur par défaut)

Il est possible également de désactiver totalement UAC, donc on se retrouve
avec un fonctionnement identique à XP, W2K ou NT4, c'est ce que je pratique,
mais il faut reconnaitre que c'est une situation plus "casse-gueule", et
elle doit être réservée aux utilisateurs "avertis", qui ont des habitudes et
comportements "sécurisés".
http://www.bellamyjc.org/fr/windowsvista.html#UAC

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

"Loupfurieux" <Loupfurieux@discussions.microsoft.com> a écrit dans le
message de news:C48C4F8B-5029-471E-9EB3-B7A26EE289D9@microsoft.com...

Bonjour,

Jean Claude vous
Je déteste le vouvoiement !

Car j'ai l'impression que je suis plusieurs à casue de ma surcharge
pondérale .. ;-)

avez écris ceci :

CEPENDANT, il peut demander une élévation TEMPORAIRE de privilèges pour
devenir réellement administrateur.

Pourriez-vous svp expliquer comment ?

La nouveauté de VISTA est de tout protéger en permanence, et en particulier
d'éviter qu'une session soit ouverte avec les privilèges élevés
d'administrateur. En effet, un administrateur, par définition même, a le
droit de tout faire, y compris de tout détruire (ou presque) !

Donc si un "alien" (virus ou autre cochonnerieware) s'est introduit dans le
système, comme la session est ouverte avec tous les privilèges, le virus
pourra faire des dégats nettement plus facilement que s'il était dans une
session ouverte SANS privilèges particuliers. (en gros, sous un compte
"lambda", le virus va se faire "jeter comme un malpropre" s'il désire
attenter au système)

Et bien, par défaut, sous VISTA, un compte appartenant au groupe des
administrateurs N'A PAS les privilèges d'administrateur !
Oui, je sais, çà déconcerte au début !
C'est shakespearien comme situation :
"Être administrateur ou ne pas être administrateur, tel est UAC !"

UAC = User Acces Manager, cette fameuse nouveauté de VISTA

Très exactement, quand un utilisateur ouvre une session, il reçoit un
"jeton" (token) qui l'identifie, et qui dit ce qu'il a le droit de faire.
Sous VISTA, tout utilisateur (Admins compris) reçoit un jeton d'utilisateur
"lambda".
Un administrateur reconnu comme tel va recevoir "en prime" un 2ème jeton,
qui indique que c'est un administrateur, donc avec des prérogatives
importantes, mais par défaut ce jeton n'est PAS utilisé, SAUF nécessité, et
c'est le jeton lambda qui est utilisé dans les tâches courantes.

Donc toute action qui requiert les privilèges d'administrateur (p.ex la
création de nouvelles partitions ou l'accès à la Base de registres) va être
a priori refusée, sauf si c'est un administrateur qui veut la réaliser, et
dans ce cas une boite de dialogue va lui demander s'il veut bien acquérir
MOMENTANÉMENT les privilèges admin, le temps de l'action demandée.
S'il répond oui, l'action est déclenchée (p.ex. l'ouverture de
DISKMGMT.MSC), le 2ème jeton "admin" est pris en compte, donc avec
privilèges admins, et dès qu'elle est terminée l'utilisateur se voit
"rétrogradé" au rang de simple utilisateur. (le jeton admin est remis au
frigo ;-) )

Et c'est là où est le problème d'UAC :
Le principe, l'idée, la "philosophie", tout çà est EXCELLENT ...
Par contre, en pratique, surtout si on est développeur, çà devient invivable
car on est sans cesse en train d'appuyer sur un bouton pour dire que "Oui,
je veux augmenter les privilèges ..."

L'entrée "ConsentPromptBehaviorAdmin" mise à 0 dispense de cette invite.
Pour info et rappel :

une valeur 1 va provoquer l'ouverture d'une de boite de dialogue où nom de
compte admin et mot de passe seront demandés,

une valeur 2 va provoquer l'ouverture d'une de boite de dialogue où il est
seulement demander de confirmer (ou non) l'élévation de privilèges.
(c'est la valeur par défaut)

Il est possible également de désactiver totalement UAC, donc on se retrouve
avec un fonctionnement identique à XP, W2K ou NT4, c'est ce que je pratique,
mais il faut reconnaitre que c'est une situation plus "casse-gueule", et
elle doit être réservée aux utilisateurs "avertis", qui ont des habitudes et
comportements "sécurisés".
http://www.bellamyjc.org/fr/windowsvista.html#UAC

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Vous avez filtré cet utilisateur ! Consultez son message

"Loupfurieux" a écrit dans le
message de news:

Bonjour,

Jean Claude vous
Je déteste le vouvoiement !

Car j'ai l'impression que je suis plusieurs à casue de ma surcharge
pondérale .. ;-)

avez écris ceci :

CEPENDANT, il peut demander une élévation TEMPORAIRE de privilèges pour
devenir réellement administrateur.

Pourriez-vous svp expliquer comment ?

La nouveauté de VISTA est de tout protéger en permanence, et en particulier
d'éviter qu'une session soit ouverte avec les privilèges élevés
d'administrateur. En effet, un administrateur, par définition même, a le
droit de tout faire, y compris de tout détruire (ou presque) !

Donc si un "alien" (virus ou autre cochonnerieware) s'est introduit dans le
système, comme la session est ouverte avec tous les privilèges, le virus
pourra faire des dégats nettement plus facilement que s'il était dans une
session ouverte SANS privilèges particuliers. (en gros, sous un compte
"lambda", le virus va se faire "jeter comme un malpropre" s'il désire
attenter au système)

Et bien, par défaut, sous VISTA, un compte appartenant au groupe des
administrateurs N'A PAS les privilèges d'administrateur !
Oui, je sais, çà déconcerte au début !
C'est shakespearien comme situation :
"Être administrateur ou ne pas être administrateur, tel est UAC !"

UAC = User Acces Manager, cette fameuse nouveauté de VISTA

Très exactement, quand un utilisateur ouvre une session, il reçoit un
"jeton" (token) qui l'identifie, et qui dit ce qu'il a le droit de faire.
Sous VISTA, tout utilisateur (Admins compris) reçoit un jeton d'utilisateur
"lambda".
Un administrateur reconnu comme tel va recevoir "en prime" un 2ème jeton,
qui indique que c'est un administrateur, donc avec des prérogatives
importantes, mais par défaut ce jeton n'est PAS utilisé, SAUF nécessité, et
c'est le jeton lambda qui est utilisé dans les tâches courantes.

Donc toute action qui requiert les privilèges d'administrateur (p.ex la
création de nouvelles partitions ou l'accès à la Base de registres) va être
a priori refusée, sauf si c'est un administrateur qui veut la réaliser, et
dans ce cas une boite de dialogue va lui demander s'il veut bien acquérir
MOMENTANÉMENT les privilèges admin, le temps de l'action demandée.
S'il répond oui, l'action est déclenchée (p.ex. l'ouverture de
DISKMGMT.MSC), le 2ème jeton "admin" est pris en compte, donc avec
privilèges admins, et dès qu'elle est terminée l'utilisateur se voit
"rétrogradé" au rang de simple utilisateur. (le jeton admin est remis au
frigo ;-) )

Et c'est là où est le problème d'UAC :
Le principe, l'idée, la "philosophie", tout çà est EXCELLENT ...
Par contre, en pratique, surtout si on est développeur, çà devient invivable
car on est sans cesse en train d'appuyer sur un bouton pour dire que "Oui,
je veux augmenter les privilèges ..."

L'entrée "ConsentPromptBehaviorAdmin" mise à 0 dispense de cette invite.
Pour info et rappel :

une valeur 1 va provoquer l'ouverture d'une de boite de dialogue où nom de
compte admin et mot de passe seront demandés,

une valeur 2 va provoquer l'ouverture d'une de boite de dialogue où il est
seulement demander de confirmer (ou non) l'élévation de privilèges.
(c'est la valeur par défaut)

Il est possible également de désactiver totalement UAC, donc on se retrouve
avec un fonctionnement identique à XP, W2K ou NT4, c'est ce que je pratique,
mais il faut reconnaitre que c'est une situation plus "casse-gueule", et
elle doit être réservée aux utilisateurs "avertis", qui ont des habitudes et
comportements "sécurisés".
http://www.bellamyjc.org/fr/windowsvista.html#UAC

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Faelan

29/03/2007 à 20:42

"Jean-Claude BELLAMY" a écrit dans le
message de news:%23fr%

Quant au compte "Administrateur" (qui peut être considéré comme "Super
administrateur", mais c'est un terme abusif), il conserve en permanence
ses privilèges d'administrateur, sans notifications incessantes, que UAC
soit actif ou non, que l'entrée "ConsentPromptBehaviorAdmin" soit à 0 ou à
1.

Bonjour

Dans les comptes qui apparaissent au démarrage, le vrai compte
"adminsitrateur" n'apparaît pas. Je n'ai que les comptes que j'ai créés au
départ, la machine étant installée par le constructeur (Dell).
Comment faire apparaître (et donc utiliser) le vrai compte "administrateur"
? Quel en est le passaword (à moins qu'il ne soit vide au départ) ?

--

F.

remjes

29/03/2007 à 22:11

"Loupfurieux" a écrit dans le
message de news:
Bonjour,

Bonjour, bonsoir,

merci pour ces précisions qui sont intéressantes mais une question me
tarode, j'aimerai savoir quel est la différence au niveau sécurité entre :
- la désactivation de l'UAC
- La mise à zéro de l'entrée "ConsentPromptBehaviorAdmin"
car d'après ce que j'ai compris, dans le 1er cas, on possède les droits
administrateurs et dans le 2ème cas il y élévation de privilège sans
consentement de l'utilisateur ce qui veut dire que si une "cochonnerie"
s'installe sur la machine en utilisant les droits de l'administrateur en
cours avec le ticket d'utilisateur normal (1er jeton), rien ne
l'empêchera d'utiliser des fonctions dangereuses nécessitant des droits
administrateur (2ème jeton).

Autre question, y a t'il un risque de réactiver l'UAC après l'avoir
désactivé et installé des logiciels ?

Kénavo
Rémy

Loupfurieux

30/03/2007 à 10:10

Merci JC, d'avoir répondu a ma question, ok je ne te dirais plus "vous" j'ai
une facheuse tendance a tutoyer les gens que je ne connais pas, on me le
reproche asser souvent lol, mais je trouve ca normal sur internet, on se
tutoie tous, je n'ai jamais su pourquoi ? mais c'est un autre sujet :)

Bon, en gros, si j'ai bien compris, je n'aurais pas plus de droits que si je
laisse tout comme c'est actuelement, si ce n'est qu'il ne me demandera plus
si je veut des droits d'admin pour effectuer la tâche. Donc perso, je ne vais
pas prendre de risque, je laisse comme c'est, je penssais que d'autres
fonctions étaient accésible en passant (super admin) mais je voit que non,
donc pas touche :)

Encore merci pour ta réponse, et celle des autres.

"Jean-Claude BELLAMY" a écrit dans le
message de news:%23fr%

Quant au compte "Administrateur" (qui peut être considéré comme "Super
administrateur", mais c'est un terme abusif), il conserve en permanence
ses privilèges d'administrateur, sans notifications incessantes, que UAC
soit actif ou non, que l'entrée "ConsentPromptBehaviorAdmin" soit à 0 ou à
1.

Bonjour

Dans les comptes qui apparaissent au démarrage, le vrai compte
"adminsitrateur" n'apparaît pas. Je n'ai que les comptes que j'ai créés au
départ, la machine étant installée par le constructeur (Dell).
Comment faire apparaître (et donc utiliser) le vrai compte "administrateur"
? Quel en est le passaword (à moins qu'il ne soit vide au départ) ?

--

F.

Isabelle

30/03/2007 à 12:09

Bonjour,

Depuis quelques jours, j'ai de la peine à ouvrir certains dossiers (surtout dans le dossier "Mes documents), même les dossiers que j'ai ouvert moi-même m'indiquent que je ne peux pas les ouvrir, car je n'ai pas l'autorisation. Je suis administrateur.
J'ai pu régler ce problème en :
"cliquant droit" "priorité" "sécurité" "tout le monde" "modifier" "contrôle Total".
Il n'y a que mon fils et moi et nous travaillons tous les deux sur le même utilisateur, alors cela va si il a le même contrôle que moi, mais est-ce normal que je dois faire de cette manière
l'UAC est désactivé.
Je travaille avec Windows Vista x64

Pouvez-vous m'aider?

Isabelle

"Daniel" a écrit dans le message de news:

Bonjour

je viens de lire dans un mail de la communauté microsoft qu'il existait des
droits de Super Administrateur en midifiant le registre. Pouvez vous
m'expliquer la marche à suivre pour effectuer cette manip.
Merci
Daniel

Jean-Claude BELLAMY

30/03/2007 à 14:26

"Faelan" a écrit dans le message de
news:%

[...]
Dans les comptes qui apparaissent au démarrage, le vrai compte
"adminsitrateur" n'apparaît pas.
Exact.

Je n'ai que les comptes que j'ai créés au départ, la machine étant
installée par le constructeur (Dell).
Comment faire apparaître (et donc utiliser) le vrai compte
"administrateur" ?

Il suffit de l'activer !

En effet, par défaut, ce compte est activé seulement en mode sans échec,
sinon il est désactivé.
La méthode la plus universelle (toute version de VISTA) pour cela est de
passer par la commande "NET USER" :

NET USER administrateur /active:yes

Quel en est le passaword (à moins qu'il ne soit vide au départ) ?

Il est vide par défaut

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

droits d'administrateur

10 réponses

Veuillez sélectionner un problème