Exporter (0) Imprimer
Développer tout

Définir les paramètres de stratégie de groupe UAC (contrôle de compte d'utilisateur)

Mis à jour: juin 2010

S'applique à: Windows 7, Windows Server 2008 R2

10 paramètres d'objet de stratégie de groupe (GPO) peuvent être configurés pour le contrôle de compte d'utilisateur (UAC). Le tableau répertorie la valeur par défaut pour chacun des paramètres de stratégie, et les sections suivantes expliquent les différents paramètres de stratégie de groupe UAC et fournissent des recommandations.

 

Paramètre de stratégie de groupe Valeur par défaut

Contrôle de compte d'utilisateur : mode Approbation administrateur pour le compte Administrateur intégré

Désactivé

Contrôle de compte d'utilisateur : autoriser les applications UIAccess à demander l'élévation sans utiliser le bureau sécurisé

Désactivé

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur

Demande de consentement pour les binaires non Windows

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard

Demande d'informations d'identification sur le bureau sécurisé

Contrôle de compte d'utilisateur : détecter les installations d'applications et demander l'élévation

Activé (par défaut pour les domiciles)

Désactivé (par défaut pour les entreprises)

Contrôle de compte d'utilisateur : élever uniquement les exécutables signés et validés

Désactivé

Contrôle de compte d'utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Activé

Contrôle de compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur

Activé

Contrôle de compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation

Activé

Contrôle de compte d'utilisateur : virtualiser les échecs d'écritures de fichiers et de Registre dans des emplacements définis par utilisateur

Activé

Pour plus d'informations sur chaque paramètre de stratégie de groupe UAC, consultez "Paramètres de stratégie de groupe UAC" dans Contrôle de compte d'utilisateur dans les références techniques Windows 7 (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkID=146195).

Bien que les paramètres de stratégie de groupe de contrôle de compte d'utilisateur permettent aux services informatiques de choisir comment configurer le contrôle de compte d'utilisateur, certaines considérations doivent être prises en compte avant de créer la nouvelle stratégie de sécurité.

L'invite d'élévation

Windows 7 inclut un nouveau paramètre de stratégie de sécurité qui peut être utilisé pour empêcher l'imitation de l'invite d'élévation. Ce nouveau paramètre (Contrôle compte d'utilisateur : passer au bureau sécurisé lors d'une demande d'élévation) fait basculer l'ordinateur de bureau de l'utilisateur actif sur le bureau sécurisé lorsqu'un processus demande l'élévation. Le bureau sécurisé n'est accessible qu'aux processus de base Windows, et les logiciels malveillants ne peuvent pas communiquer avec le bureau sécurisé. Par conséquent, toutes les invites d'élévation sur le bureau sécurisé ne peuvent pas être contrôlées par les applications sur l'ordinateur de bureau de l'utilisateur. Ce paramètre de stratégie est par défaut désactivé dans Windows 7.

Applications qui ne sont pas compatibles avec le contrôle de compte d'utilisateur

La désactivation de Contrôle de compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur désactive le contrôle de compte d'utilisateur. Lorsque le contrôle de compte d'utilisateur est désactivé, les fichiers et les dossiers ne sont plus virtualisés aux emplacements par utilisateur pour les applications non compatibles UAC, et tous les administrateurs locaux sont automatiquement connectés avec un jeton d'accès d'administration complet. La désactivation de ce paramètre entraîne le retour de Windows 7 au modèle utilisateur Windows XP. Certaines applications non compatibles avec le contrôle de compte d'utilisateur recommandent cette désactivation. Toutefois, cette action n'est pas nécessaire, car Windows 7 inclut, par défaut, la virtualisation de dossiers et registres des applications non compatibles avec le contrôle de compte d'utilisateur. La désactivation du contrôle de compte d'utilisateur expose votre ordinateur aux installations de logiciels malveillants sur le système. Si ce paramètre est modifié, un redémarrage du système est nécessaire pour que cette modification entre en vigueur.

Paramètres de stratégie de groupe UAC non utilisés

La virtualisation est utilisée pour permettre à des applications non compatibles UAC de fonctionner correctement dans Windows 7. Si uniquement des applications compatibles UAC sont utilisées dans votre environnement, le paramètre de stratégie de groupe Contrôle de compte d'utilisateur : virtualiser les erreurs d'écritures de fichiers et de Registre dans les emplacements définis par utilisateur n'est pas utile et peut être désactivé.

Dans la mesure où les programmes d'installation écrivent dans des zones protégées, tels que le dossier Program Files, le modèle Win32 requiert que les programmes d'installation puissent s'exécuter dans un contexte d'administration. Le paramètre de stratégie Contrôle de compte d'utilisateur : détecter les installations d'applications et demander l'élévation appelle une invite d'élévation lorsqu'un programme d'installation est détecté. Si toutes les applications disponibles sont déployées avec le Gestionnaire de configuration ou une autre technologie, l'élévation sur les programmes d'installation n'est pas nécessaire car l'élévation est faite automatiquement par le service du programme d'installation, qui s'exécute en tant que SYSTEM. Dans ce type d'environnement, ce paramètre de stratégie peut être désactivé.

Comportement de l'application au moment de l'exécution

Le démarrage d'une application dépend de la combinaison du niveau d'exécution demandé dans la base de données de compatibilité des applications (shim) et des droits de l'utilisateur disponibles au compte d'utilisateur qui démarre l'application. Les tableaux suivants identifient le comportement au moment de l'exécution pour une application en fonction des combinaisons des privilèges utilisateur et des shims appliqués.

Un administrateur en mode d'approbation Administrateur

Le tableau suivant décrit le comportement au moment de l'exécution d'une application pour un administrateur en fonction du paramètre de stratégie Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur lorsque plusieurs shims sont installés.

 

Jeton d'accès du processus parent Paramètre de stratégie Shim appliqué à partir de la base de données de compatibilité des applications

Aucun ou RunAsInvoker

RunAsHighest

RunAsAdmin

Administrateur protégé

Élever sans invite

L'application démarre comme un utilisateur standard sans invite

L'application démarre avec un jeton d'accès administrateur total et sans invite

L'application démarre avec un jeton d'accès administrateur total et sans invite

Administrateur protégé

Demande de consentement sur le bureau sécurisé

L'application démarre avec un jeton d'accès administrateur total et demande le consentement sur le bureau sécurisé

L'application démarre avec un jeton d'accès administrateur total et demande le consentement sur le bureau sécurisé

Administrateur protégé

Demande d'informations d'identification sur le bureau sécurisé

L'application démarre avec un jeton d'accès administrateur total et demande les informations d'identification sur le bureau sécurisé

L'application démarre avec un jeton d'accès administrateur total et demande les informations d'identification sur le bureau sécurisé

Administrateur protégé

Demande d'informations d'identification

L'application démarre avec un jeton d'accès administrateur total et demande les informations d'identification sur le bureau interactif de l'utilisateur

L'application démarre avec un jeton d'accès administrateur total et demande les informations d'identification sur le bureau interactif de l'utilisateur

Administrateur protégé

Demande de consentement

L'application démarre avec un jeton d'accès administrateur total et demande le consentement sur le bureau interactif de l'utilisateur

L'application démarre avec un jeton d'accès administrateur total et demande le consentement sur le bureau interactif de l'utilisateur

Administrateur protégé

Demande de consentement pour les binaires non Windows

L'application non Windows démarre comme un utilisateur standard

L'application non Windows démarre avec un jeton d'accès administrateur total et demande le consentement sur le bureau interactif de l'utilisateur

L'application non Windows démarre avec un jeton d'accès administrateur total et demande le consentement sur le bureau interactif de l'utilisateur

Administrateur (contrôle de compte utilisateur désactivé)

Non applicable

L'application démarre avec un jeton d'accès administrateur total et sans invite

L'application démarre avec un jeton d'accès administrateur total et sans invite

L'application démarre avec un jeton d'accès administrateur total et sans invite

Un compte utilisateur standard

Le tableau suivant décrit le comportement au moment de l'exécution d'une application pour un utilisateur standard en fonction du paramètre de stratégie Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard lorsque plusieurs shims sont installés.

 

Jeton d'accès du processus parent Stratégie de consentement Shim appliqué à partir de la base de données de compatibilité des applications

RunAsInvoker

RunAsHighest

RunAsAdmin

Utilisateur standard

Refuser automatiquement les demandes d'élévation de privilèges

L'application démarre comme un utilisateur standard

L'application démarre comme un utilisateur standard

L'application ne démarre pas

Utilisateur standard

Demande d'informations d'identification

L'application démarre comme un utilisateur standard

L'application démarre comme un utilisateur standard

Demande les informations d'identification administrateur sur le bureau interactif de l'utilisateur

Utilisateur standard

Demande d'informations d'identification sur le bureau sécurisé

L'application démarre comme un utilisateur standard

L'application démarre comme un utilisateur standard

Demande les informations d'identification administrateur sur le bureau sécurisé

Utilisateur standard (contrôle de compte d'utilisateur désactivé)

Non applicable

L'application démarre comme un utilisateur standard

L'application démarre comme un utilisateur standard

L'application ne démarre pas

Un utilisateur standard avec des privilèges supplémentaires (par exemple un opérateur de sauvegarde)

Le tableau suivant décrit le comportement au moment de l'exécution d'une application pour un utilisateur standard avec des privilèges supplémentaires en fonction du paramètre de stratégie Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard lorsque plusieurs shims sont installés.

 

Jeton d'accès du processus parent Stratégie de consentement Shim appliqué à partir de la base de données de compatibilité des applications

RunAsInvoker

RunAsHighest

RunAsAdmin

Utilisateur standard

Aucune invite

L'application démarre comme un utilisateur standard

L'application ne démarre pas

L'application ne démarre pas

Utilisateur standard

Demande d'informations d'identification

L'application démarre comme un utilisateur standard

Demande des informations d'identification, puis s'exécute comme un utilisateur standard avec des privilèges supplémentaires

Demande les informations d'identification administrateur sur le bureau interactif de l'utilisateur

Utilisateur standard

Demande d'informations d'identification sur le bureau sécurisé

L'application démarre comme un utilisateur standard

Demande des informations d'identification, puis s'exécute comme un utilisateur standard avec des privilèges supplémentaires

Demande les informations d'identification administrateur sur le bureau sécurisé

Utilisateur standard (contrôle de compte d'utilisateur désactivé)

Non applicable

L'application démarre comme un utilisateur standard

Demande des informations d'identification, puis s'exécute comme un utilisateur standard avec des privilèges supplémentaires

L'application ne démarre pas

Paramètres d'enregistrement

Utilisez le tableau suivant pour enregistrer les paramètres pour votre organisation.

 

Paramètre de stratégie de groupe UAC Valeur par défaut Paramètre pour votre organisation

Contrôle de compte d'utilisateur : mode Approbation administrateur pour le compte Administrateur intégré

Désactivé

Contrôle de compte d'utilisateur : autoriser les applications UIAccess à demander l'élévation sans utiliser le bureau sécurisé

Désactivé

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur

Demande de consentement pour les binaires non Windows

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard

Demande d'informations d'identification sur le bureau sécurisé

Contrôle de compte d'utilisateur : détecter les installations d'applications et demander l'élévation

Activé (par défaut pour les domiciles)

Désactivé (par défaut pour les entreprises)

Contrôle de compte d'utilisateur : élever uniquement les exécutables signés et validés

Désactivé

Contrôle de compte d'utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Activé

Contrôle de compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur

Activé

Contrôle de compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation

Activé

Contrôle de compte d'utilisateur : virtualiser les échecs d'écritures de fichiers et de Registre dans des emplacements définis par utilisateur

Activé

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft