Partager via

Description des restrictions à distance et contrôle de compte d’utilisateur dans Windows Vista

  • Article

Cet article décrit les restrictions de contrôle de compte d’utilisateur (UAC) et distantes.

S’applique à : Windows Vista
Numéro de base de connaissances d’origine : 951016

Introduction

Le contrôle de compte d’utilisateur (UAC) est un nouveau composant de sécurité de Windows Vista. L’UAC permet aux utilisateurs d’effectuer des tâches quotidiennes courantes en tant que non-administrateurs. Ces utilisateurs sont appelés utilisateurs standard dans Windows Vista. Les comptes d’utilisateur membres du groupe Administrateurs locaux exécutent la plupart des applications à l’aide du principe des privilèges minimum. Dans ce scénario, les utilisateurs disposant de privilèges minimum ont des droits qui ressemblent aux droits d’un compte d’utilisateur standard. Toutefois, lorsqu’un membre du groupe Administrateurs local doit effectuer une tâche qui nécessite des droits d’administrateur, Windows Vista invite automatiquement l’utilisateur à approuver.

Fonctionnement des restrictions à distance UAC

Pour mieux protéger les utilisateurs membres du groupe Administrateurs locaux, nous implémentons des restrictions UAC sur le réseau. Ce mécanisme permet d’éviter les attaques de bouclage . Ce mécanisme permet également d’empêcher l’exécution à distance de logiciels malveillants locaux avec des droits d’administration.

Comptes d’utilisateur locaux (compte d’utilisateur gestionnaire de compte de sécurité)

Lorsqu’un utilisateur membre du groupe Administrateurs local sur l’ordinateur distant cible établit une connexion administrative distante à l’aide de la commande Net Use *\\remotecomputer\Share$ , par exemple, il ne se connecte pas en tant qu’administrateur complet. L’utilisateur n’a aucun potentiel d’élévation sur l’ordinateur distant et l’utilisateur ne peut pas effectuer de tâches administratives. Si l’utilisateur souhaite administrer la station de travail avec un compte SAM (Security Account Manager), l’utilisateur doit se connecter de manière interactive à l’ordinateur qui doit être administré avec l’assistance à distance ou le Bureau à distance, si ces services sont disponibles.

Comptes d’utilisateur de domaine (compte d’utilisateur Active Directory)

Un utilisateur disposant d’un compte d’utilisateur de domaine se connecte à distance à un ordinateur Windows Vista. Et l’utilisateur de domaine est membre du groupe Administrateurs. Dans ce cas, l’utilisateur du domaine s’exécute avec un jeton d’accès administrateur complet sur l’ordinateur distant, et L’UAC n’est pas en vigueur.

Note

Ce comportement n’est pas différent du comportement dans Windows XP.

Comment désactiver les restrictions à distance UAC

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.

Pour désactiver les restrictions à distance UAC, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter. Tapez regedit et appuyez sur Entrée.

  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Si l’entrée de registre LocalAccountTokenFilterPolicy n’existe pas, procédez comme suit :

    1. Dans le menu Édition, pointez sur Nouveau, puis sélectionnez Valeur DWORD.
    2. Tapez LocalAccountTokenFilterPolicy et appuyez sur Entrée.

  4. Cliquez avec le bouton droit sur LocalAccountTokenFilterPolicy, puis cliquez sur Modifier.

  5. Dans la zone de données Valeur, tapez 1, puis cliquez sur OK.

  6. Quittez l’Éditeur du Registre.

A-t-il résolu le problème

Vérifiez si le problème est résolu. Si le problème n’est pas résolu, contactez le support.

Paramètres distants UAC

L’entrée de Registre LocalAccountTokenFilterPolicy peut avoir la valeur 0 ou 1. Ces valeurs modifient le comportement de l’entrée de Registre en celle décrite dans le tableau suivant.

Valeur Description
0 Cette valeur génère un jeton filtré. Il s’agit de la valeur par défaut. Les informations d’identification de l’administrateur sont supprimées.
1 Cette valeur génère un jeton élevé.