Exporter (0) Imprimer
Développer tout
16 sur 39 ont trouvé cela utile - Évaluez ce sujet

Guide pas à pas du contrôle de compte d'utilisateur Windows

Mis à jour: avril 2011

S'applique à: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Storage Server 2008 R2, Windows Vista

Ce guide pas à pas fournit les instructions nécessaires à l'utilisation du contrôle de compte d'utilisateur dans un environnement de test.

Ce document ne constitue pas une description complète et détaillée du contrôle de compte d'utilisateur. Les ressources supplémentaires sont les suivantes :

  • Tous les utilisateurs de ce guide pas à pas seront également intéressés par le document Getting Started with User Account Control on Windows Vista (http://go.microsoft.com/fwlink/?LinkID=102562) (en anglais).

  • Pour des informations supplémentaires destinées aux professionnels de l'informatique, voir la rubrique Présentation et configuration du contrôle de compte d'utilisateur dans Windows Vista (http://go.microsoft.com/fwlink/?LinkId=56402).

  • Pour plus d'informations sur le développement d'applications pour Windows Vista® ou Windows Server® 2008, les développeurs et les éditeurs de logiciels peuvent consulter la rubrique The Windows Vista and Windows Server 2008 Developer Story : Windows Vista Application Development Requirements for User Account Control (UAC) (http://go.microsoft.com/fwlink/?LinkId=89654) (en anglais).

Qu'est-ce que le contrôle de compte d'utilisateur ?

Le contrôle de compte d'utilisateur est un nouveau composant de sécurité de Windows Vista. Il permet aux utilisateurs d'effectuer des tâches courantes en tant que non-administrateurs (appelés utilisateurs standard sous Windows Vista) et en tant qu'administrateurs sans devoir changer d'utilisateur, fermer la session ou utiliser l'option Exécuter en tant que. Un compte d'utilisateur standard est synonyme de compte d'utilisateur sous Windows XP. Les comptes d'utilisateurs membres du groupe local Administrateurs exécuteront la plupart des applications en tant qu'utilisateur standard. En séparant les fonctions utilisateur et les fonctions administrateur tout en permettant la productivité, le contrôle de compte d'utilisateur représente une amélioration importante pour Windows Vista.

noteRemarque
Le contrôle de compte d'utilisateur est également un composant de Windows Server 2008.

Lorsqu'un administrateur ouvre une session sur un ordinateur exécutant Windows Vista, l'utilisateur reçoit deux jetons d'accès. Les jetons d'accès, qui contiennent les données d'appartenance aux groupes, d'autorisation et de contrôle d'accès d'un utilisateur, permettent à Windows® de contrôler les ressources et les tâches auxquelles l'utilisateur peut accéder. Avant Windows Vista, un compte d'administrateur ne recevait qu'un seul jeton d'accès qui incluait les données pour accorder l'accès utilisateur à toutes les ressources Windows. Ce modèle de contrôle d'accès ne comprenait aucune vérification sûre pour s'assurer que les utilisateurs souhaitent réellement effectuer une tâche nécessitant leur jeton d'accès administrateur. Par conséquent, les logiciels malveillants pouvaient s'installer sur les ordinateurs des utilisateurs sans que ceux-ci n'en soient avertis. (Ce processus est souvent appelé installation « silencieuse ».)

Encore plus problématique puisque l'utilisateur est administrateur, les logiciels malveillants pouvaient utiliser les données de contrôle d'accès de l'administrateur pour infecter les fichiers essentiels du système d'exploitation et, dans certains cas, il devenait presque impossible de les supprimer.

La principale différence entre un utilisateur standard et un administrateur sous Windows Vista réside dans le niveau d'accès de l'utilisateur aux zones protégées essentielles de l'ordinateur. Les administrateurs peuvent modifier l'état du système, désactiver le pare-feu, configurer une stratégie de sécurité, installer un service ou un pilote affectant chaque utilisateur de l'ordinateur et installer des logiciels pour l'ensemble de l'ordinateur. Les utilisateurs standard ne peuvent pas effectuer ces tâches et peuvent uniquement installer des logiciels par utilisateur.

Pour éviter l'installation silencieuse de logiciels malveillants et l'infection de l'ensemble de l'ordinateur, Microsoft a développé la fonctionnalité de contrôle de compte d'utilisateur. Contrairement aux versions précédentes de Windows, lorsqu'un administrateur ouvre une session sur un ordinateur exécutant Windows Vista, le jeton d'accès administrateur complet de l'utilisateur est divisé en deux jetons d'accès : un jeton d'accès administrateur complet et un jeton d'accès utilisateur standard. Au cours du processus d'ouverture de session, les composants d'autorisation et de contrôle d'accès qui identifient un administrateur sont supprimés et il en résulte un jeton d'accès utilisateur standard. Le jeton d'accès utilisateur standard permet ensuite de démarrer l'ordinateur et le processus Explorer.exe. Étant donné que toutes les applications héritent de leurs données de contrôle d'accès à la suite du lancement initial de l'ordinateur, elles s'exécutent toutes en tant qu'utilisateur standard.

Une fois que l'administrateur a ouvert une session, le jeton d'accès administrateur complet n'est pas appelé tant que l'utilisateur n'a pas tenté d'effectuer une tâche d'administration.

Par opposition à ce processus, lorsqu'un utilisateur standard ouvre une session, seul un jeton d'accès utilisateur standard est créé. Ce jeton d'accès est ensuite utilisé pour démarrer l'ordinateur.

ImportantImportant
L'expérience utilisateur pouvant être configurée à l'aide de la stratégie de groupe, il peut exister différentes expériences utilisateur en fonction des paramètres de stratégie. Les choix de configuration effectués dans votre environnement affectent les invites et boîtes de dialogue que peuvent voir les utilisateurs standard, les administrateurs ou les deux.

Qui doit utiliser ce guide ?

Ce guide s'adresse aux publics suivants :

  • planificateurs et analystes informatiques qui évaluent le produit ;

  • architectes de sécurité responsables de l'implémentation de l'informatique fiable ;

  • administrateurs devant superviser le comportement du contrôle de compte d'utilisateur.

Pourquoi utiliser ce guide ?

Les groupes répertoriés ci-dessus doivent utiliser ce guide pour tester la manière dont leurs applications métier s'exécutent sous Windows Vista. Dans la mesure où le contrôle de compte d'utilisateur établit une distinction claire entre les processus administrateur et les processus utilisateur standard, certaines applications métier existantes peuvent nécessiter des modifications par l'éditeur de logiciels ou par l'équipe interne en charge des outils, ou être marquées pour s'exécuter en permanence avec des privilèges élevés.

Dans ce guide

Exigences concernant le contrôle de compte d'utilisateur

Il est recommandé de commencer par utiliser la procédure de ce guide dans un environnement de test. Les guides pas à pas ne sont pas nécessairement destinés à permettre le déploiement des fonctions de Windows Vista sans la documentation correspondante (répertoriée dans la section Ressources supplémentaires) et doivent être utilisés avec prudence comme un document autonome.

Configuration de l'environnement de test

La configuration de l'environnement de test requise pour tester le contrôle de compte d'utilisateur comprend un contrôleur de domaine exécutant Windows Server 2008 (ou Windows Server® 2003), un serveur membre exécutant Windows Server 2008 (ou Windows Server 2003) et un ordinateur client exécutant Windows Vista. Le contrôleur de domaine, le serveur membre et l'ordinateur client doivent se trouver sur un réseau isolé et doivent être connectés via un concentrateur commun ou un commutateur Couche 2. Des adresses privées doivent être utilisées dans la configuration du test.

Principaux scénarios pour le contrôle de compte d'utilisateur

Ce guide traite les scénarios suivants pour le contrôle de compte d'utilisateur :

noteRemarque
Les trois scénarios inclus dans ce guide sont destinés à aider les administrateurs à se familiariser avec la fonction du contrôle de compte d'utilisateur de Windows Vista. Ils comprennent les informations et les procédures de base dont les administrateurs ont besoin pour commencer à utiliser le contrôle de compte d'utilisateur. Les informations et procédures pour les configurations avancées ou personnalisées du contrôle de compte d'utilisateur ne sont pas incluses dans ce guide.

Scénario 1 : demander à une application de s'exécuter une fois avec des privilèges élevés

Sous Windows Vista, le contrôle de compte d'utilisateur et son mode d'approbation Administrateur sont activés par défaut. Lorsque le contrôle de compte d'utilisateur est activé, les comptes d'administrateurs locaux fonctionnent comme des comptes d'utilisateurs standard. Cela signifie que lorsqu'un membre du groupe local Administrateurs ouvre une session, ses privilèges d'administrateur sont désactivés. C'est le cas jusqu'à ce qu'il tente d'exécuter une application ou une tâche qui possède un jeton d'administration. Lorsqu'un membre du groupe local Administrateurs tente de démarrer une telle application ou tâche, il est invité à donner son consentement pour l'exécution de l'application avec des privilèges élevés. Le scénario 1 détaille la procédure d'exécution d'une application ou d'une tâche avec des privilèges élevés.

noteRemarque
Pour exécuter la procédure suivante, vous devez ouvrir une session sur un ordinateur client en tant que membre du groupe local Administrateurs. Vous ne pouvez pas ouvrir une session avec le compte d'administrateur de l'ordinateur (ou intégré) car le mode d'approbation Administrateur ne s'applique pas à ce compte. (Le compte d'administrateur intégré est désactivé sur les nouvelles installations de Windows Vista.)

Pour demander à une application de s'exécuter une fois avec des privilèges élevés

  1. Démarrez une application susceptible de posséder un jeton d'administration, telle que Nettoyage de disque Microsoft Windows. Une invite Contrôle de compte d'utilisateur s'affiche.

  2. Vérifiez que les détails affichés correspondent à la demande introduite.

  3. Dans la boîte de dialogue Contrôle de compte d'utilisateur, cliquez sur Continuer pour démarrer l'application.

Scénario 2 : marquer une application pour qu'elle s'exécute toujours avec des privilèges élevés

Le scénario 2 est semblable au précédent dans la mesure où vous souhaitez exécuter une application ou un processus avec des privilèges élevés, avec le jeton d'accès administrateur. Toutefois, dans ce scénario, vous souhaitez exécuter une application qui n'a pas été marquée par le développeur ou identifiée par le système d'exploitation comme une application administrative. Certaines applications, telles que les applications métier internes ou des produits non-Microsoft, peuvent nécessiter des droits d'administration sans avoir été identifiées comme telles. Dans ce scénario, vous marquez une application afin d'inviter l'utilisateur à donner son consentement et, le cas échéant, à s'exécuter en tant qu'application administrative. La procédure suivante vous guide dans ce processus.

noteRemarque
Pour exécuter la procédure suivante, vous devez ouvrir une session sur un ordinateur client en tant que membre du groupe local Administrateurs. Vous ne pouvez pas ouvrir une session avec le compte d'administrateur de l'ordinateur (ou intégré) car le mode d'approbation Administrateur ne s'applique pas à ce compte.

ImportantImportant
Cette procédure ne peut pas être utilisée pour empêcher le contrôle de compte d'utilisateur d'inviter l'utilisateur à donner son consentement pour l'exécution en tant qu'application administrative.

Pour marquer une application pour qu'elle s'exécute toujours avec des privilèges élevés

  1. Cliquez avec le bouton droit sur une application à laquelle aucun jeton d'administration n'a probablement été affecté, telle qu'une application de traitement de texte.

  2. Cliquez sur Propriétés, puis sur l'onglet Compatibilité.

  3. Sous Niveau de privilège, sélectionnez Exécuter ce programme en tant qu'administrateur, puis cliquez sur OK.

    noteRemarque
    Si l'option Exécuter ce programme en tant qu'administrateur n'est pas disponible, cela signifie que l'application ne peut pas être toujours exécutée avec des privilèges élevés, qu'elle ne nécessite pas d'informations d'identification administratives pour s'exécuter, qu'elle fait partie de la version actuelle de Windows Vista ou que vous n'avez pas ouvert de session en tant qu'administrateur sur l'ordinateur.

Scénario 3 : configurer le contrôle de compte d'utilisateur

Le scénario 3 décrit brièvement certaines tâches courantes que les administrateurs locaux effectuent au cours de l'installation et de la configuration d'ordinateurs clients exécutant Windows Vista. Les procédures suivantes expliquent comment désactiver le contrôle de compte d'utilisateur et le mode d'approbation Administrateur, comment empêcher le contrôle de compte d'utilisateur d'inviter l'utilisateur à entrer ses informations d'identification pour installer des applications et comment modifier le comportement de l'invite d'élévation de privilège.

ImportantImportant
Les options de configuration avancée pour le contrôle de compte d'utilisateur ne sont pas disponibles sous Windows Vista Starter, Windows Vista Édition Familiale Basique ou Windows Vista Édition Familiale Premium.

Désactivation du contrôle de compte d'utilisateur

Procédez comme suit pour désactiver le contrôle de compte d'utilisateur.

Pour exécuter la procédure suivante, vous devez pouvoir ouvrir une session à l'aide des informations d'identification d'un membre du groupe local Administrateurs ou fournir ces informations.

ImportantImportant
La désactivation du contrôle de compte d'utilisateur réduit le niveau de sécurité de votre ordinateur et peut vous exposer à des risques plus élevés d'attaques par des logiciels malveillants. Il est recommandé de ne pas laisser le contrôle de compte d'utilisateur désactivé.

Pour désactiver le contrôle de compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Dans le Panneau de configuration, cliquez sur Comptes d'utilisateurs.

  3. Dans la fenêtre Comptes d'utilisateurs, cliquez sur Comptes d'utilisateurs.

  4. Dans la fenêtre des tâches Comptes d'utilisateurs, cliquez sur Activer ou désactiver le contrôle de compte d'utilisateur.

  5. Si le contrôle de compte d'utilisateur est actuellement configuré en mode d'approbation Administrateur, le message Contrôle de compte d'utilisateur s'affiche. Cliquez sur Continuer.

  6. Désactivez la case à cocher Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur, puis cliquez sur OK.

  7. Cliquez sur Redémarrer maintenant pour appliquer la modification immédiatement ou cliquez sur Redémarrer ultérieurement et fermez la fenêtre des tâches Comptes d'utilisateurs.

Désactivation du mode d'approbation Administrateur

Procédez comme suit pour désactiver le mode d'approbation Administrateur.

noteRemarque
Pour exécuter la procédure suivante, vous devez ouvrir une session sur un ordinateur client en tant qu'administrateur local.

ImportantImportant
Cette procédure n'est pas prise en charge sous Windows Vista Starter, Windows Vista Édition Familiale Basique ou Windows Vista Édition Familiale Premium.

Pour désactiver le mode d'approbation Administrateur

  1. Cliquez sur Démarrer, Tous les programmes, Accessoires, Exécuter, tapez secpol.msc dans la zone Ouvrir, puis cliquez sur OK.

  2. Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, confirmez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer..

  3. Dans l'arborescence de la console Paramètres de sécurité locaux, double-cliquez sur Stratégies locales, puis double-cliquez sur Options de sécurité.

  4. Faites défiler vers le bas et double-cliquez sur Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur.

  5. Sélectionnez l'option Désactivé, puis cliquez sur OK.

  6. Fermez la fenêtre Paramètres de sécurité locaux.

Désactivation de la demande d'informations d'identification pour installer des applications

Procédez comme suit pour désactiver la demande d'informations d'identification pour installer des applications.

noteRemarque
Pour exécuter la procédure suivante, vous devez ouvrir une session sur un ordinateur client en tant qu'administrateur local.

ImportantImportant
Cette procédure n'est pas prise en charge sous Windows Vista Starter, Windows Vista Édition Familiale Basique ou Windows Vista Édition Familiale Premium.

Pour désactiver la demande d'informations d'identification pour installer des applications

  1. Cliquez sur Démarrer, Tous les programmes, Accessoires, Exécuter, tapez secpol.msc dans la zone de texte Ouvrir, puis cliquez sur OK.

  2. Dans l'arborescence de la console Paramètres de sécurité locaux, cliquez sur Stratégies locales, puis sur Options de sécurité.

  3. Faites défiler vers le bas et double-cliquez sur Contrôle compte d'utilisateur : détecter les installations d'application et demander l'élévation.

  4. Sélectionnez l'option Désactivé, puis cliquez sur OK.

  5. Fermez la fenêtre Paramètres de sécurité locaux.

Changement du comportement de l'invite d'élévation

Procédez comme suit pour modifier le comportement de l'invite d'élévation du contrôle de compte d'utilisateur. Vous pouvez configurer le comportement de l'invite d'élévation séparément pour les administrateurs et pour les utilisateurs standard.

noteRemarque
Pour exécuter les procédures suivantes, vous devez ouvrir une session sur un ordinateur client en tant qu'administrateur local.

ImportantImportant
Ces procédures ne sont pas prises en charge sous Windows Vista Starter, Windows Vista Édition Familiale Basique ou Windows Vista Édition Familiale Premium.

Pour changer le comportement de l'invite d'élévation pour les administrateurs

  1. Cliquez sur Démarrer, Accessoires, Exécuter, tapez secpol.msc dans la zone Ouvrir, puis cliquez sur OK.

  2. Dans l'arborescence de la console Paramètres de sécurité locaux, cliquez sur Stratégies locales, puis sur Options de sécurité.

  3. Faites défiler vers le bas et double-cliquez sur Contrôle compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs.

  4. Dans le menu déroulant, sélectionnez l'un des paramètres suivants :

    • Élever les privilèges sans invite utilisateur (les tâches nécessitant une élévation seront automatiquement exécutées avec des privilèges élevés sans que l'administrateur ne soit invité à donner son consentement)

    • Demande d'informations d'identification (ce paramètre nécessite la saisie du nom d'utilisateur et du mot de passe pour permettre l'exécution d'une application ou d'une tâche avec des privilèges élevés)

    • Demande de consentement (paramètre par défaut pour les administrateurs)

  5. Cliquez sur OK.

  6. Fermez la fenêtre Paramètres de sécurité locaux.

Pour changer le comportement de l'invite d'élévation pour les utilisateurs standard

  1. Cliquez sur Démarrer, Accessoires, Exécuter, tapez secpol.msc dans la zone Ouvrir, puis cliquez sur OK.

  2. Dans l'arborescence de la console Paramètres de sécurité locaux, cliquez sur Stratégies locales, puis sur Options de sécurité.

  3. Faites défiler vers le bas et double-cliquez sur Contrôle compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard.

  4. Dans le menu déroulant, sélectionnez l'un des paramètres suivants :

    • Refuser automatiquement les demandes d'élévation de privilèges (les utilisateurs standard ne peuvent pas exécuter les programmes nécessitant une élévation des privilèges et n'y seront pas invités)

    • Demande d'informations d'identification (ce paramètre nécessite la saisie du nom d'utilisateur et du mot de passe pour permettre l'exécution d'une application ou d'une tâche avec des privilèges élevés et est le paramètre par défaut pour les utilisateurs standard)

  5. Cliquez sur OK.

  6. Fermez la fenêtre Paramètres de sécurité locaux.

Dépannage et assistance

Dans la mesure où le contrôle de compte d'utilisateur est une fonction de Windows Vista, l'assistance est fournie directement par Microsoft et par les communautés d'utilisateurs. Pour plus d'informations sur l'assistance, voir http://go.microsoft.com/fwlink/?LinkID=76619.

Ressources supplémentaires

  • Pour plus d'informations sur la gestion de la sécurité et du contrôle de compte d'utilisateur dans un environnement professionnel ou d'entreprise, voir le Guide de sécurité Windows Vista (http://go.microsoft.com/fwlink/?LinkID=85735).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.