Description du contrôle de compte d’utilisateur et des restrictions à distance dans Windows Vista
Cet article décrit le contrôle de compte d’utilisateur (UAC) et les restrictions à distance.
S’applique à : Windows Vista
Numéro de la base de connaissances d’origine : 951016
Introduction
Le contrôle de compte d’utilisateur (UAC) est un nouveau composant de sécurité de Windows Vista. UAC permet aux utilisateurs d’effectuer des tâches quotidiennes courantes en tant que non-administrateurs. Ces utilisateurs sont appelés utilisateurs standard dans Windows Vista. Les comptes d’utilisateur membres du groupe Administrateurs local exécutent la plupart des applications en utilisant le principe du privilège minimum. Dans ce scénario, les utilisateurs disposant de privilèges minimum disposent de droits qui ressemblent aux droits d’un compte d’utilisateur standard. Toutefois, lorsqu’un membre du groupe Administrateurs local doit effectuer une tâche qui nécessite des droits d’administrateur, Windows Vista invite automatiquement l’utilisateur à approuver.
Fonctionnement des restrictions à distance UAC
Pour mieux protéger les utilisateurs membres du groupe Administrateurs local, nous implémentons des restrictions UAC sur le réseau. Ce mécanisme permet d’éviter les attaques de bouclage . Ce mécanisme permet également d’empêcher les logiciels malveillants locaux de s’exécuter à distance avec des droits d’administration.
Comptes d’utilisateur locaux (compte d’utilisateur du gestionnaire de compte de sécurité)
Lorsqu’un utilisateur membre du groupe Administrateurs local sur l’ordinateur distant cible établit une connexion d’administration à distance à l’aide de la commande net use *\\remotecomputer\Share$
, par exemple, il ne se connecte pas en tant qu’administrateur complet. L’utilisateur n’a aucun potentiel d’élévation sur l’ordinateur distant et l’utilisateur ne peut pas effectuer de tâches d’administration. Si l’utilisateur souhaite administrer la station de travail avec un compte sam (Security Account Manager), l’utilisateur doit se connecter de manière interactive à l’ordinateur qui doit être administré avec l’Assistance à distance ou le Bureau à distance, si ces services sont disponibles.
Comptes d’utilisateur de domaine (compte d’utilisateur Active Directory)
Un utilisateur disposant d’un compte d’utilisateur de domaine se connecte à distance à un ordinateur Windows Vista. De plus, l’utilisateur de domaine est membre du groupe Administrateurs. Dans ce cas, l’utilisateur du domaine s’exécute avec un jeton d’accès administrateur complet sur l’ordinateur distant, et le contrôle de compte d’utilisateur n’est pas en vigueur.
Remarque
Ce comportement n’est pas différent de celui de Windows XP.
Comment désactiver les restrictions à distance UAC
Importante
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.
Pour désactiver les restrictions à distance UAC, procédez comme suit :
Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis appuyez sur ENTRÉE.
Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Si l’entrée de
LocalAccountTokenFilterPolicy
Registre n’existe pas, procédez comme suit :- Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.
- Tapez LocalAccountTokenFilterPolicy, puis appuyez sur Entrée.
Cliquez avec le bouton droit sur LocalAccountTokenFilterPolicy, puis sélectionnez Modifier.
Dans la zone Données de la valeur , tapez 1, puis sélectionnez OK.
Fermez l’Éditeur du Registre.
Cela a-t-il résolu le problème ?
Vérifiez si le problème est résolu. Si le problème n’est pas résolu, contactez le support.
Paramètres distants du contrôle de contrôle de compte d’utilisateur
L’entrée de Registre LocalAccountTokenFilterPolicy peut avoir la valeur 0 ou 1. Ces valeurs remplacent le comportement de l’entrée de Registre par celui décrit dans le tableau suivant.
Valeur | Description |
---|---|
0 | Cette valeur génère un jeton filtré. Il s’agit de la valeur par défaut. Les informations d’identification de l’administrateur sont supprimées. |
1 | Cette valeur génère un jeton avec élévation de privilèges. |