Privilèges administrateur insuffisants !!!

"Paul Florent" <paul@florent.com> a écrit dans le message de news:
uSpY8P4jKHA.4672@TK2MSFTNGP06.phx.gbl...

Bonjour à tous,
Sur un pc portable HP qui était sous Vista, j'ai fait changement de
système d'exploitation
de Vista vers Xin7; je dirais que tout s'est passé sans problème
("finger in the noze" pour ceux qui sont pétris de culture
anglo-saxonne !!!)
Mais quand je souhaite désinstaller un programme (et peut être pour
d'autres actions),
je reçois le message "Vous ne disposez pas de privilèges suffisants
... " bien que je sois administrateur de la machine.
J'ai crée un nouvel utilisateur administrateur et avec ce nouvel
administrateur, le problème reste le même.

Où est le problème ?
Merci par avance pour votre aide et surtout couvrez vous bien avant de
sortir !
Paul

Normal
soit tu désactives l'UAC, soit tu ouvres le panneau de config en tant
qu'administrateur,
même si tu as ouvert le session sous un compte administrateur,
et de là, tu peux désinstaller.
--
Paulchen

Paulchen <paul.voyerENLEVER@laposte.net> a écrit dans ce message
<news:e1L2yF5jKHA.1536@TK2MSFTNGP06.phx.gbl> :

"Paul Florent" <paul@florent.com> a écrit dans le message de news:
uSpY8P4jKHA.4672@TK2MSFTNGP06.phx.gbl...

Bonjour à tous,
Sur un pc portable HP qui était sous Vista, j'ai fait changement de système
d'exploitation
de Vista vers Xin7; je dirais que tout s'est passé sans problème
("finger in the noze" pour ceux qui sont pétris de culture anglo-saxonne
!!!)
Mais quand je souhaite désinstaller un programme (et peut être pour
d'autres actions),
je reçois le message "Vous ne disposez pas de privilèges suffisants ... "
bien que je sois administrateur de la machine.
J'ai crée un nouvel utilisateur administrateur et avec ce nouvel
administrateur, le problème reste le même.

Où est le problème ?
Merci par avance pour votre aide et surtout couvrez vous bien avant de
sortir !
Paul

Normal
soit tu désactives l'UAC, soit tu ouvres le panneau de config en tant
qu'administrateur,
même si tu as ouvert le session sous un compte administrateur,
et de là, tu peux désinstaller.

Bonjour,

Non pas normal du tout bien évidemment !

Essayez avec le compte Administrateur après l'avoir activé :

http://www.ptorris.com/reg.php
-> account-active-administrator vista

--
Bien à vous. Pierre TORRIS
www.ptorris.com

Désolé Pierre, mais j'ai lu quelque part que curieusement
"exécuter comme administrateur" n'avait pas besoin
que l'Administrateur soit activé pour fonctionner.

Paulchen

"Pierre TORRIS" <contact_sur_site@ptorris.com> a écrit dans le message
de news: mn.3b687da1764c7abb.87733@ptorris.com...

Paulchen <paul.voyerENLEVER@laposte.net> a écrit dans ce message
<news:e1L2yF5jKHA.1536@TK2MSFTNGP06.phx.gbl> :

"Paul Florent" <paul@florent.com> a écrit dans le message de news:
uSpY8P4jKHA.4672@TK2MSFTNGP06.phx.gbl...

Bonjour à tous,
Sur un pc portable HP qui était sous Vista, j'ai fait changement de
système d'exploitation
de Vista vers Xin7; je dirais que tout s'est passé sans problème
("finger in the noze" pour ceux qui sont pétris de culture
anglo-saxonne !!!)
Mais quand je souhaite désinstaller un programme (et peut être pour
d'autres actions),
je reçois le message "Vous ne disposez pas de privilèges suffisants
... " bien que je sois administrateur de la machine.
J'ai crée un nouvel utilisateur administrateur et avec ce nouvel
administrateur, le problème reste le même.

Où est le problème ?
Merci par avance pour votre aide et surtout couvrez vous bien avant
de sortir !
Paul

Normal
soit tu désactives l'UAC, soit tu ouvres le panneau de config en tant
qu'administrateur,
même si tu as ouvert le session sous un compte administrateur,
et de là, tu peux désinstaller.

Bonjour,

Non pas normal du tout bien évidemment !

Essayez avec le compte Administrateur après l'avoir activé :

http://www.ptorris.com/reg.php
-> account-active-administrator vista

--
Bien à vous. Pierre TORRIS
www.ptorris.com

"Paulchen" <paul.voyerENLEVER@laposte.net> a écrit dans le message de groupe
de discussion : eqbPOG6jKHA.5520@TK2MSFTNGP06.phx.gbl...

Désolé Pierre, mais j'ai lu quelque part que curieusement
"exécuter comme administrateur" n'avait pas besoin
que l'Administrateur soit activé pour fonctionner.

FARPAITEMENT !
L'ami PAUL a raison et l'ami PIERRE a tort ! ;-)

La commande
"exécuter comme administrateur"
NE SIGNIFIE PAS
"exécuter sous LE compte "administrateur"
MAIS AU CONTRAIRE
"exécuter avec les privilèges administrateur du compte en cours"
(cela suppose que le compte en question appartient au groupe des admins)



Je rappelle le grand principe des privilèges et de UAC (User Account
Control) :

TOUT compte possède un certain nombre de "privilèges", dépendant du groupe
auquel il appartient :
- administrateurs
- utilisateurs "lambda"
- invités
Ces privilèges ont de jolis petits noms, tels que :
SeCreateTokenPrivilege
SeAssignPrimaryTokenPrivilege
SeLockMemoryPrivilege
SeIncreaseQuotaPrivilege
SeMachineAccountPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeTimeZonePrivilege
SeShutdownPrivilege
...

Lorsqu'un compte ouvre une session, le sous-système de gestion de la
sécurité (LSA) attribue à ce compte un "jeton" qui contient la liste des
privilèges auxquels le compte a droit.
Si une manip relevant de la sécurité a lieu (création d'un dossier, arrêt de
l'ordinateur, création de compte, changer le fuseau horaire, ...), le
"jeton" est interrogé par le système qui autorise ou non le processus.

Ça, c'est valable depuis toujours (depuis NT3.1).


MAIS UAC a ajouté une subtilité, concernant EXCLUSIVEMENT les comptes du
groupe des administrateurs :
Lorsqu'un compte de ce groupe AUTRE que le compte "Administrateur" ouvre une
session, il reçoit DEUX JETONS, un contenant la liste des privilèges
"admin", et un autre contenant une liste avec peu de privilèges, comme pour
un compte "lambda", et c'est CE JETON "AU RABAIS" qui est actif en temps
normal !
Cela afin de renforcer la sécurité, en limitant volontairement PAR DÉFAUT
les privilèges des administrateurs (et éviter des concetés et/ou des
attaques provenant "d'Aliens")

Si un processus a besoin de privilèges élevés (notifiés p.ex. dans un
fichier "xxxxx.manifest" par la ligne "<requestedexecutionlevel
level="requireadministrator" /> "), le jeton en cours est insuffisant, et il
y a alors demande d'élévation de privilèges (signifiée, par défaut, par une
boite de dialogue).
Si l'utilisateur (du groupe des admins) est d'accord, il y a alors
utilisation du 1er jeton (celui d'administrateur), si bien que le processus
peut se poursuivre.
Dès que le processus est terminé, le jeton "admin" est remis au placard, et
c'est le jeton "lambda" qui est à nouveau actif.

Ce qui explique que (sous Vista, car sous Win7 ça s'est amélioré) on est
sans arrêt sollicité par cette boite de dialogue d'élévation de privilèges,
ce qui a "hérissé le poil" de bon nombre d'utilisateurs (dont je fais
partie, avec Michel Claveau, "Le Claude", ...!)



Quant au compte "Administrateur" (créé automatiquement à l'installation de
Windows, non supprimable, de SID se terminant par 500), il ne possède QU'UN
SEUL JETON : celui d'administrateur.
Donc par défaut, si on ouvre une session sous ce compte (et LUI SEUL!), et
s'il a été activé (par défaut il est désactivé), on ne sera pas soumis aux
élévations de privilèges. Par contre on travaille sans filet ! ;-)

Si on est très "maso" et/ou "pervers" (;-)), on peut faire en sorte que le
compte "Administrateur" soit soumis aux mêmes règles que les autres comptes
admins.
Pour cela, il suffit d'attribuer la valeur 1 à la clef :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemFilterAdministratorToken



Donc pour en revenir au sujet initial, quand on clique sur "exécuter comme
administrateur", cela revient à demander l'utilisation du jeton "Admin" du
compte en cours.
Et si ce compte ne fait pas partie du groupe des admins, il faudra alors
saisir :
- un nom de compte admin
(le compte "Administrateur" ou un autre, peu importe)
- son mot de passe associé.

Si on utilise le compte "Administrateur", il faudra bien, sûr qu'il soit
activé
Pour cela, exécuter la commande suivante sous un compte admin :
NET USER Administrateur /ACTIVE:YES)


Mais comme je l'ai déjà dit, on peut très bien utiliser un AUTRE compte
admin !

Ouf !!!!


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Jean-Claude BELLAMY a écrit :

[Snip]

FARPAITEMENT !
L'ami PAUL a raison et l'ami PIERRE a tort ! ;-)

La commande
"exécuter comme administrateur"
NE SIGNIFIE PAS
"exécuter sous LE compte "administrateur"
MAIS AU CONTRAIRE
"exécuter avec les privilèges administrateur du compte en cours"
(cela suppose que le compte en question appartient au groupe des admins)

HEUREUSEMENT !
Sur plein de bécanes (dont celle de mon épouse ;-) en Vista) ça permet de
laisser l'UAC éviter les gaffes. En me laissant toujours cette porte.

Je rappelle le grand principe des privilèges et de UAC (User Account
Control) :

TOUT compte possède un certain nombre de "privilèges", dépendant du groupe
auquel il appartient :
- administrateurs
- utilisateurs "lambda"
- invités
Ces privilèges ont de jolis petits noms, tels que :
SeCreateTokenPrivilege

[Snip]

SeShutdownPrivilege
...

Lorsqu'un compte ouvre une session, le sous-système de gestion de la
sécurité (LSA) attribue à ce compte un "jeton" qui contient la liste des
privilèges auxquels le compte a droit.
Si une manip relevant de la sécurité a lieu (création d'un dossier, arrêt de
l'ordinateur, création de compte, changer le fuseau horaire, ...), le
"jeton" est interrogé par le système qui autorise ou non le processus.

Ça, c'est valable depuis toujours (depuis NT3.1).

MAIS UAC a ajouté une subtilité, concernant EXCLUSIVEMENT les comptes du
groupe des administrateurs :
Lorsqu'un compte de ce groupe AUTRE que le compte "Administrateur" ouvre une
session, il reçoit DEUX JETONS, un contenant la liste des privilèges
"admin", et un autre contenant une liste avec peu de privilèges, comme pour
un compte "lambda", et c'est CE JETON "AU RABAIS" qui est actif en temps
normal !

[Snip]

Ce qui explique que (sous Vista, car sous Win7 ça s'est amélioré) on est
sans arrêt sollicité par cette boite de dialogue d'élévation de privilèges,
ce qui a "hérissé le poil" de bon nombre d'utilisateurs (dont je fais
partie, avec Michel Claveau, "Le Claude", ...!)

TU es sans arrêt sollicité, JE suis sans arrêt sollicité (si vous faites un
Club je veux bien adhérer).

MM. les M.V.P., pourriez-vous demander à M.S. qu'ils fassent un ballot screen
du type "voulez-vous installer un garde-fous qui vous préviendra avant tout
modification de votre système ?" (opt-in) ?

L'U.A.C. c'est très bien pour certains... et une horreur pour d'autres (quand
je vois une machine du commerce, c'est la première chose que je désactive si
l'utilisateur peut s'en passer (sauf des fois où c'est Norton qui passe à la
trappe en premier, c'est selon humeur...)).

[Snip]

Si on est très "maso" et/ou "pervers" (;-)), on peut faire en sorte que le
compte "Administrateur" soit soumis aux mêmes règles que les autres comptes
admins.
Pour cela, il suffit d'attribuer la valeur 1 à la clef :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemFilterAdministratorToken

Faut une sacrée quantité de bulles et de foie gras pour l'oser, celle-là...

Merci pour ce joli morceau de prose !

--
Quartzkyte (si c'est compliqué appelez-moi Michel)
quartzkyte@laposte.net

Newsgroups win7 et office2010 créés par Michel Claveau :
news:\ponx.frwin7 - Utilisateur et Passe : v (comme visiteur)
La FAQ Outlook de JièL : http://faq-outlook.fr/
7 Extra, mon annuaire Windows 7 :
http://www.corpfrance.com/7extra/

Paulchen <paul.voyerENLEVER@laposte.net> a écrit dans ce message
<news:eqbPOG6jKHA.5520@TK2MSFTNGP06.phx.gbl> :

Bonjour,

Désolé Pierre, mais j'ai lu quelque part que curieusement
"exécuter comme administrateur" n'avait pas besoin
que l'Administrateur soit activé pour fonctionner.

Maiiiiiiiiiiiiiiiiiiiiis, je N'ai PAS dit le contraire. ;-)

En 1, Paul ne peut pas désinstaller (avec un compte administrateur).
En 2, tu lui dis que c'est normal !
En 3, je réponds que non ce n'est pas normal
(avec UAC, il y aura demande d'élévation de privilèges).

Et en prime, mais en prime seulement,
je lui suggère d'essayer avec le compte Administrateur.
-> car le but est quand même de désinstaller des logiciels.

Mais la prime n'a rien à voir ta propre réponse,
et l'option "Exécuter en tant qu'administrateur"

--
Bien à vous. Pierre TORRIS
www.ptorris.com

Jean-Claude BELLAMY <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans ce
message
<news:elN3go6jKHA.1652@TK2MSFTNGP05.phx.gbl> :

Bonjour,

Désolé Pierre, mais j'ai lu quelque part que curieusement
"exécuter comme administrateur" n'avait pas besoin
que l'Administrateur soit activé pour fonctionner.

FARPAITEMENT !
L'ami PAUL a raison et l'ami PIERRE a tort ! ;-)

Et moi, je dis qu'il faudrait que l'ami PAUL et l'ami JEAN-CLAUDE
cessent immédiatement les bulles, car je N'ai RIEN dit de tel. ;-)

La commande
"exécuter comme administrateur"
NE SIGNIFIE PAS
"exécuter sous LE compte "administrateur"

Maiiiiiiiiiiiiiiiiiiiiis, je N'ai PAS dit ça ! ;-)

- Paul 1er ne peut pas désinstaller un logiciel sous compte admin.
- Paul second lui dit que c'est normal !
- Pierre dit que non, ce n'est pas normal.

Au besoin, le programme de désinstallation va demander une élévation de
privilèges, et j'ai compris que ce n'est pas le cas de Paul 1er. De
plus, il vient de Vista, il doit connaître UAC.

Si j'ai parlé ensuite du compte Administrateur, c'est pour vérifier que
cela s'avère alors possible sous ce compte, et aussi avoir quand même
la possibilité de désinstaller ses logiciels, mais cela n'a rien à voir
avec l'option d'élévation de privilèges.

--
Bien à vous. Pierre TORRIS
www.ptorris.com

Messieurs,
Merci de vous êtes intéressés avec tant de passion et de compétences
à mon modeste problème.
Grâce à vous, la machine marche de façon très satisfaisante
même si je n'ai pas tout compris de vos savantes explications.
Tant de solidarité rend la vie plus Belle;
Paul

On Thu, 7 Jan 2010 16:00:14 +0100, "Jean-Claude BELLAMY"
<Jean-Claude.Bellamy@wanadoo.fr> wrote:

Ce qui explique que (sous Vista, car sous Win7 ça s'est amélioré) on est
sans arrêt sollicité par cette boite de dialogue d'élévation de privilèges,
ce qui a "hérissé le poil" de bon nombre d'utilisateurs (dont je fais
partie, avec Michel Claveau, "Le Claude", ...!)

Etant utilisatrice de systeme linux, je trouve cela plutot une bonne
chose de demander regulierement le mot de passe car il est idiot
d'etre admin en permanance même pour un admin.

Par contre ce qui est idiot c'est qu'un admin ne soit pas tout a fait
admin. Evidement cela s'explique par l'utilisation abusive des
privilege admin par tout a chacun au quotidien. Donc il a bien fallut
y remedier en creant un "super admin"

Le jour où les admin seront des utilisateurs limité avec ponctuelement
des droit admin, windows aura fait un grand pas vers la securisation
de son systeme.




--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fier en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA