Users Guide
8
Contrôle de comptes d'utilisateur Microsoft
Windows Server 2008
Sous Microsoft Windows Server 2008 et versions antérieures, les comptes d'utilisateurs étaient souvent membres du groupe
Administrateurs local et avaient accès à des privilèges d'administrateur. Les membres du groupe Administrateurs local pouvaient
installer, mettre à jour et exécuter le logiciel, puisqu'un compte Administrateur possède un accès à l'ensemble du système. Lorsqu'un
utilisateur était ajouté au groupe Administrateurs local, il recevait automatiquement des privilèges Windows qui lui donnaient accès à
toutes les ressources du système d'exploitation. Ainsi, les comptes d'utilisateur avec privilèges d'administrateur représentaient un
risque pour la sécurité, puisqu'ils donnaient accès à des ressources de système d'exploitation pouvant être exploitées par un logiciel
malveillant (malware).
La fonction de sécurité Contrôle de compte d'utilisateur (CCU) est une nouveauté du système d'exploitation Windows Server 2008.
Lorsque vous l'activez, le CCU restreint l'accès aux ressources système critiques pour tous les utilisateurs, à l'exception de
l'utilisateur Administrateur local intégré.
Les trois types de compte utilisateur dans le système d'exploitation Windows Server 2008 sont les suivants :
• le compte Administrateur de domaine, qui est un compte utilisateur disposant de droits d'administrateur ;
• le compte Utilisateur standard, qui permet à l'utilisateur d'installer les logiciels et de modifier les paramètres système qui
n'affectent pas les autres utilisateurs ou la sécurité de l'ordinateur ;
• le compte Administrateur local, qui est le super utilisateur par défaut du système d'exploitation.
L'expérience d'un utilisateur possédant un compte Administrateur de domaine diffère de celle d'un utilisateur Administrateur local si
le contrôle de compte d'utilisateur (CCU) est activé. Lorsqu'un compte Administrateur de domaine demande l'accès à des
ressources système critiques, le système d'exploitation Windows Server 2008 invite l'utilisateur à saisir l'une des informations
suivantes avant de lancer un programme ou une tâche qui nécessite un plein accès administrateur :
• l'autorisation d'élever les privilèges (dans le cas d'un utilisateur du groupe Administrateurs de domaine) ;
• les références de l'administrateur de domaine pour élever les privilèges (dans le cas des utilisateurs standard).
Le CCU invite les utilisateurs du groupe Administrateurs de domaine (à l'exception du compte Administrateur) à cliquer sur
Continuer pour obtenir des privilèges de niveau supérieur ou sur Annuler lorsqu'ils réalisent des fonctions présentant un risque de
sécurité. Avec le CCU, les utilisateurs doivent demander une mise à niveau de leur compte vers le rôle Administrateur avant
d'exécuter des progiciels DUP.
REMARQUE : Comme l'expérience de l'utilisateur peut être configurée à l'aide de l'utilitaire enfichable Security Policy
Manager (secpol.msc) et d'une stratégie de groupe, vous pouvez mettre en place différentes configurations. Les options
de configuration choisies dans l'environnement affectent les invites et boîtes de dialogue affichées pour les utilisateurs
standard, les administrateurs ou les deux. Vous pouvez désactiver le contrôle de compte d'utilisateur (CCU) en
désactivant l'option Contrôle de comptes utilisateur : comportement de l'invite d'élévation pour les administrateurs en
mode d'approbation Administrateur, puis en redémarrant le système.
Si un progiciel DUP est exécuté en mode interface utilisateur graphique (GUI), le système d'exploitation Windows Server 2008 a
besoin que l'utilisateur autorise l'opération. Par contre, si le progiciel DUP est exécuté en mode automatique, l'utilisateur peut ignorer
la fenêtre pop-up de demande d'autorisation en effectuant l'une des opérations suivantes :
• Modifiez la règle de sécurité de groupe « User Account Control: Behavior of the elevation prompt for administrators in Admin
Approval Mode », en la définissant sur Aucune invite afin de désactiver la fenêtre pop-up ou d'utiliser des privilèges plus élevés
sans invite au groupe Administrateurs.
• Désactiver le CCU.
38