Exporter (0) Imprimer
Développer tout

Meilleures pratiques pour le contrôle de compte d'utilisateur dans Windows 7

Mis à jour: septembre 2009

S'applique à: Windows 7, Windows Server 2008 R2

noteRemarque
Ce document contient des informations détaillées sur le contrôle de compte d'utilisateur dans Windows 7 pour les professionnels de l'informatique. Si vous avez besoin d'aide et d'informations relatives au contrôle de compte d'utilisateur de Windows 7 à votre domicile, consultez les éléments suivants :

Ce document fournit des informations supplémentaires sur le contrôle de compte d'utilisateur qui peuvent aider les professionnels de l'informatique à développer des meilleures pratiques relatives au contrôle de compte d'utilisateur pour leurs environnements Windows Server 2008 R2 et Windows 7. Ce document ne propose pas des informations complètes pour l'administration du contrôle de compte d'utilisateur.

Ne pas désactiver le contrôle de compte d'utilisateur

Il est recommandé de ne pas désactiver les invites du contrôle de compte d'utilisateur dans les paramètres de stratégie de groupe ou en agissant sur le curseur.

Bien que l'invite d'élévation soit la partie la plus visible du contrôle de compte d'utilisateur, celui-ci fournit également les composants sous-jacents qui permettent, moyennant une gêne minimale, de bénéficier d'une sécurité accrue, en particulier pour les utilisateurs standard. En voici deux avantages :

  • Mode protégé d'Internet Explorer

  • Virtualisation de fichiers système et du Registre

Si le contrôle de compte d'utilisateur est désactivé pour éviter l'invite d'élévation, toutes les fonctionnalités du contrôle de compte d'utilisateur sont désactivées. Envisagez plutôt de configurer le contrôle de compte d'utilisateur pour une élévation sans invite. Dans ce cas, les applications identifiées comme étant des applications d'administrateur, ainsi que les applications d'installation, fonctionneront automatiquement avec le jeton d'accès administrateur complet. Toutes les autres applications s'exécuteront automatiquement avec le jeton utilisateur standard. Les autres fonctionnalités du contrôle de compte d'utilisateur sont maintenues.

Curseur du contrôle de compte d'utilisateur dans l'entreprise

  • Le paramètre de curseur de chaque ordinateur client Windows 7 est dérivé de la stratégie de groupe.

  • Les utilisateurs standard ne peuvent afficher et modifier les paramètres de curseur qu'en fournissant les informations d'identification d'un compte d'administrateur local dans l'invite de demande d'informations d'identification du contrôle de compte d'utilisateur.

  • Les utilisateurs ayant ouvert une session en tant qu'administrateur local reçoivent une invite de consentement lorsqu'ils affichent ou modifient les paramètres de curseur.

  • Désactiver le contrôle de compte d'utilisateur dans la stratégie de groupe ou déplacer le curseur vers Ne jamais m'avertir requiert un redémarrage, lequel a pour effet d'actualiser et de réappliquer les paramètres de la stratégie de groupe.

Le tableau suivant présente les équivalences entre chaque paramètre de curseur et les paramètres de stratégie de groupe. Reportez-vous à la section Configurer les paramètres de stratégie de groupe UAC (contrôle de compte d'utilisateur) pour obtenir des informations et recommandations relatives aux paramètres de stratégie de groupe.

 

Paramètre de curseur Paramètres de stratégie de groupe équivalents

Toujours m'avertir

  • Le paramètre de stratégie comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur a la valeur Demande de consentement sur le bureau sécurisé.

  • Le paramètre de stratégie Contrôle de compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation est activé.

M'avertir uniquement quand des programmes tentent d'apporter des modifications à mon ordinateur (valeur par défaut)

  • Le paramètre de stratégie comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur a la valeur Demande de consentement pour les binaires non Windows.

  • Le paramètre de stratégie Contrôle de compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation est activé.

M'avertir uniquement quand des programmes tentent d'apporter des modifications à mon ordinateur (avec bureau sécurisé)

  • Le paramètre de stratégie comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur a la valeur Demande de consentement pour les binaires non Windows.

  • Le paramètre de stratégie Contrôle de compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation est désactivé.

  • Le paramètre de stratégie comportement de l'invite d'élévation pour les utilisateurs standard a la valeur Demande d'informations d'identification.

Ne jamais m'avertir

noteRemarque
Ce paramètre requiert un redémarrage pour entrer en vigueur.

  • Le paramètre de stratégie comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur a la valeur Élever les privilèges sans invite utilisateur.

  • Le paramètre de stratégie Contrôle de compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation est désactivé.

  • Le paramètre de stratégie Contrôle de compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur est désactivé.

  • Le contrôle de compte d'utilisateur est désactivé.

Utiliser des comptes d'utilisateurs standard

En règle générale, les utilisateurs doivent privilégier le fonctionnement en tant qu'utilisateurs standard. Il existe toutefois des exceptions :

Faites du compte d'utilisateur principal un compte d'utilisateur standard. Pour les utilisateurs autorisés à exécuter des tâches d'administration sur leur ordinateur client, créez un compte d'administrateur local pour l'exécution de ces tâches d'administration. Lorsqu'un utilisateur qui a ouvert une session en tant qu'utilisateur standard tente d'exécuter une tâche d'administration, l'invite de demande d'informations d'identification s'affiche. L'utilisateur doit entrer un nom et un mot de passe d'administrateur, puis cliquer sur Oui pour effectuer la tâche.

Lorsque les utilisateurs ont ouvert une session en tant qu'utilisateur standard et doivent exécuter des tâches d'administration, ils peuvent également passer d'un compte à l'autre à l'aide de la fonctionnalité Changement rapide d'utilisateur. Changement rapide d'utilisateur est une fonctionnalité de Windows qui permet à un utilisateur de basculer vers un autre compte d'utilisateur sans avoir à fermer au préalable des programmes ou fichiers. L'utilisateur peut rapidement passer au compte d'administrateur sans interrompre ses activités actuelles.

Pour changer d'utilisateur sans fermer la session

  1. Cliquez sur Démarrer, puis sur la flèche située à droite du bouton Arrêter.

  2. Cliquez sur Changer d'utilisateur.

  3. Cliquez sur le compte d'utilisateur que vous souhaitez utiliser.

    ImportantImportant
    S'il n'est pas nécessaire, avant de changer d'utilisateur, de fermer les programmes ou les fichiers, il reste conseillé d'enregistrer tous les fichiers ouverts. En effet, les modifications non enregistrées effectuées par le premier utilisateur risquent d'être perdues si après changement d'utilisateur, le deuxième utilisateur éteint l'ordinateur.

Configurer les paramètres de stratégie de groupe UAC (contrôle de compte d'utilisateur)

10 paramètres de stratégie de groupe déterminent le comportement du contrôle de compte d'utilisateur. Il est recommandé, au titre des meilleures pratiques, de configurer les paramètres de stratégie de groupe du contrôle de compte d'utilisateur de manière appropriée pour votre environnement. Le tableau suivant décrit les meilleures pratiques relatives aux paramètres de stratégie de groupe du contrôle de compte d'utilisateur.

 

Paramètre de stratégie de groupe Valeur par défaut Meilleure pratique

Contrôle de compte d'utilisateur : mode Approbation administrateur pour le compte Administrateur intégré

Désactivé

Lorsqu'il est désactivé, ce paramètre de stratégie équivaut à Ne jamais m'avertir sur le curseur lorsqu'un utilisateur a ouvert une session avec le compte Administrateur intégré.

Bien que l'utilisation du compte Administrateur intégré ne soit pas recommandée, s'il est utilisé, ce paramètre de stratégie doit être activé afin que l'utilisateur reçoive une invite du contrôle de compte d'utilisateur. Désactivez ce paramètre de stratégie uniquement en présence d'applications héritées indispensables qui ne sont pas compatibles avec le contrôle de compte d'utilisateur et qu'aucune autre solution ne peut corriger. Pour plus d'informations sur la résolution des problèmes de compatibilité des applications, consultez Contrôle de compte d'utilisateur : planification et déploiement de bases de données de compatibilité des applications pour Windows 7 (http://go.microsoft.com/fwlink/?LinkID=148442).

Contrôle de compte d'utilisateur : autoriser les applications UIAccess à demander l'élévation sans utiliser le bureau sécurisé

Désactivé

Lorsque ce paramètre de stratégie est désactivé, l'invite d'élévation s'affiche sur le bureau sécurisé. Si vous projetez d'utiliser la fonctionnalité Assistance à distance, ce paramètre de stratégie doit être activé. S'il ne l'est pas, l'assistant à distance reçoit un écran vide lorsque l'invite d'élévation s'affiche sur le bureau sécurisé de l'ordinateur distant.

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur

Demande de consentement pour les binaires non Windows

Le paramètre par défaut (Demande de consentement pour les binaires non Windows) demande un consentement uniquement pour l'exécution de fichiers exécutables et d'applications non-Windows.

Le paramètre Demande de consentement est recommandé dans un environnement moins sécurisé où les informations d'identification ne sont pas requises.

Le paramètre Demande d'informations d'identification est recommandé dans les environnements hautement sécurisés où les informations d'identification sont requises, mais où la sécurité supplémentaire du bureau sécurisé ne l'est pas.

Le paramètre Demande de consentement sur le bureau sécurisé est recommandé dans les environnements moins sécurisés où les informations d'identification ne sont pas requises, mais où la sécurité supplémentaire du bureau sécurisé l'est.

noteRemarque
Certains problèmes de pilotes vidéo peuvent entraîner un délai de basculement vers le bureau sécurisé.

Le paramètre Demande d'informations d'identification sur le bureau sécurisé est recommandé dans les environnements hautement sécurisés où les informations d'identification et la sécurité supplémentaire du bureau sécurisé sont requises.

noteRemarque
Certains problèmes de pilotes vidéo peuvent entraîner un délai de basculement vers le bureau sécurisé.

Le paramètre Élever les privilèges sans invite utilisateur désactive le contrôle de compte d'utilisateur. Ce paramètre doit être utilisé uniquement sur un contrôleur ou serveur de domaine et être réservé aux utilisateurs expérimentés ou aux administrateurs de serveurs. Ce paramètre ne doit pas être appliqué à un ordinateur client.

noteRemarque
Les utilisateurs ne doivent pas utiliser Internet lorsque ce paramètre est appliqué.

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard

Demande d'informations d'identification sur le bureau sécurisé

Le paramètre par défaut (Demande d'informations d'identification sur le bureau sécurisé) permet aux utilisateurs standard d'effectuer des tâches qui requièrent une élévation de privilège en présentant l'invite de demande d'informations d'identification sur le bureau sécurisé. L'utilisateur doit, pour continuer, fournir des informations d'identification valides. Ce paramètre n'est pas recommandé pour les environnements gérés. Le paramètre Refuser automatiquement les demandes d'élévation de privilèges est recommandé pour les environnements gérés. Les élévations sont automatiquement refusées et un message configurable d'accès refusé s'affiche.

Contrôle de compte d'utilisateur : détecter les installations d'applications et demander l'élévation

Activé (domicile)

Désactivé (entreprise)

Ce paramètre de stratégie doit être désactivé si vous avez des utilisateurs standard et utilisez Installation des logiciels de la stratégie de groupe ou Microsoft System Center Configuration Manager pour déployer des applications. Lorsque ce paramètre de stratégie est désactivé, les packages d'installation d'application ne sont pas détectés.

Contrôle de compte d'utilisateur : élever uniquement les exécutables signés et validés

Désactivé

Si votre environnement comprend des applications qui ne sont pas signées et validées, ce paramètre de stratégie ne doit pas être activé. Lorsque ce paramètre de stratégie est activé, seuls les applications et autres fichiers exécutables signés sont autorisés à s'exécuter. Une invite de consentement ou de demande d'informations d'identification s'affiche, selon les paramètres d'invite d'élévation définis pour le compte d'utilisateur.

Contrôle de compte d'utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Activé

Lorsque ce paramètre de stratégie est activé, seules les applications UIAccess installées à des emplacements sécurisés du système de fichiers sont autorisées à s'exécuter. Les emplacements sécurisés sont limités à :

  • Program Files\, y compris ses sous-dossiers

  • Windows\System32\

  • Program Files (x86)\, y compris ses sous-dossiers (pour les versions 64 bits)

Il s'agit du paramètre recommandé.

Contrôle de compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur

Activé

Ce paramètre de stratégie doit être activé et les paramètres de stratégie UAC associés doivent être définis de façon à autoriser le compte Administrateur intégré et tous les autres comptes d'utilisateurs qui sont membres du groupe Administrateurs à fonctionner en mode d'approbation Administrateur.

Lorsqu'il est désactivé, le mode d'approbation Administrateur et tous les paramètres UAC associés sont désactivés.

noteRemarque
Si ce paramètre de stratégie est désactivé, le Centre de sécurité informe l'utilisateur que la sécurité globale du système d'exploitation est réduite.

Contrôle de compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation

Activé

Les paramètres de stratégie de comportement d'invite sont employés pour les administrateurs et les utilisateurs standard afin de déterminer si l'invite d'élévation est présentée sur le bureau interactif ou sur le bureau sécurisé.

Lorsque ce paramètre de stratégie est activé, toutes les demandes d'élévation sont présentées sur le bureau sécurisé quels que soient les paramètres de comportement d'invite définis pour les administrateurs et les utilisateurs standard. Les utilisateurs doivent répondre à l'invite avant de pouvoir continuer. Ce paramètre n'est pas recommandé pour les environnements gérés.

Lorsque ce paramètre de stratégie est désactivé, la présentation des demandes d'élévation de privilège est autorisée sur le bureau interactif. Les paramètres de stratégie de comportement d'invite pour les administrateurs et les utilisateurs standard sont employés. L'invite reste sur le bureau interactif jusqu'à ce que l'utilisateur y réponde, mais l'utilisateur peut continuer à travailler sans répondre à l'invite.

Contrôle de compte d'utilisateur : virtualiser les échecs d'écritures de fichiers et de Registre dans des emplacements définis par utilisateur

Activé

Lorsque ce paramètre de stratégie est activé, les échecs d'écriture d'application sont redirigés au moment de l'exécution vers des emplacements définis par l'utilisateur. Activez ce paramètre de stratégie dans les environnements où des applications héritées doivent s'exécuter comme si elles étaient exécutées sur Windows XP.

Lorsque ce paramètre de stratégie est désactivé, les applications qui écrivent des données dans des ressources privilégiées, comme le dossier Program Files, échouent. Désactivez ce paramètre de stratégie dans les environnements où la virtualisation de fichiers système et du Registre n'est pas requise.

Pour plus d'informations sur les paramètres de stratégie de groupe UAC, consultez Référence technique du contrôle de compte d'utilisateur dans Windows 7 (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkID=146195).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft