Lorsque vous sélectionnez Continuer pour l’accès aux dossiers dans Windows Explorer, votre compte d’utilisateur est ajouté à la liste de contrôle d’accès pour le dossier
Cet article fournit une solution à un problème lorsque vous sélectionnez Continuer pour accéder à un dossier de système de fichiers pour lequel vous ne disposez pas des autorisations de lecture.
Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 950934
Introduction
Cet article décrit un scénario dans lequel Windows Explorer vous invite à sélectionner Continuer pour accéder à un dossier de système de fichiers pour lequel vous ne disposez pas des autorisations de lecture. Il décrit également des solutions de contournement pour éviter des aspects particuliers de ce comportement. Ce problème se produit dans Windows Vista et les versions ultérieures de Windows et dans Windows Server 2008 et versions ultérieures de Windows Server. Windows Explorer est appelé Explorateur de fichiers dans Windows 8 et versions ultérieures.
Plus d’informations
Supposons que le contrôle de compte d’utilisateur (UAC) soit activé et que vous utilisez Windows Explorer pour accéder à un dossier pour lequel vous ne disposez pas des autorisations de lecture. En outre, le dossier n’est pas marqué par les attributs Hidden et System. Dans ce cas, Windows Explorer affiche une boîte de dialogue qui vous invite à entrer le message suivant :
Vous n’êtes actuellement pas autorisé à accéder à ce dossier. Cliquez sur Continuer pour accéder définitivement à ce dossier.
Remarque
Dans Windows Vista et Windows Server 2008, la deuxième phrase n’inclut pas le mot définitivement ; Il indique simplement Cliquez sur Continuer pour accéder à ce dossier.
Vous pouvez ensuite sélectionner Continuer ou Annuler. (Continuer est sélectionné par défaut.) Si vous sélectionnez Continuer, UAC tente d’obtenir des droits d’administration en votre nom. Selon les paramètres de sécurité UAC qui contrôlent le comportement de l’invite d’élévation de contrôle de compte d’utilisateur et selon que vous êtes membre du groupe Administrateurs, vous pouvez être invité à donner votre consentement ou à entrer des informations d’identification. Ou, vous ne serez peut-être pas du tout invité. Si UAC peut obtenir des droits d’administration, un processus en arrière-plan modifie les autorisations sur le dossier, ainsi que sur tous ses sous-dossiers et fichiers, pour accorder à votre compte d’utilisateur l’accès à ceux-ci. Dans Windows Vista et Windows Server 2008, le processus en arrière-plan accorde à votre compte d’utilisateur les autorisations Lecture et Exécution. Dans les versions ultérieures de Windows, ce processus accorde le contrôle total à votre compte d’utilisateur.
Ce comportement est inhérent au produit. Toutefois, étant donné que le modèle classique avec élévation de contrôle de compte d’utilisateur consiste à exécuter une instance du programme avec élévation de privilèges avec des droits d’administration, les utilisateurs peuvent s’attendre à ce qu’en sélectionnant Continuer, ce qui génère une instance élevée de Windows Explorer et n’apporte pas de modifications permanentes aux autorisations du système de fichiers. Toutefois, cette attente n’est pas possible, car la conception de Windows Explorer ne prend pas en charge l’exécution de plusieurs instances de processus dans différents contextes de sécurité dans une session utilisateur interactive.
Si la UAC est désactivée, l’élévation de la UAC n’est pas possible. Tous les programmes exécutés par les membres du groupe Administrateurs, y compris Windows Explorer, disposent toujours de droits d’administration. Par conséquent, les administrateurs n’ont pas besoin d’utiliser l’élévation pour accéder aux ressources qui nécessitent des droits d’administration. Par exemple, si un dossier accorde l’accès uniquement au groupe Administrateurs et au compte système, un administrateur peut le parcourir directement sans être invité à modifier les autorisations du dossier. Si l’utilisateur ne dispose pas des autorisations de lecture, Windows Explorer affiche la boîte de dialogue décrite précédemment. Toutefois, si le contrôle de compte d’utilisateur est désactivé, Windows ne peut pas demander d’informations d’identification d’administration pour l’utilisateur via une invite d’élévation de contrôle de compte d’utilisateur. Par conséquent, Windows ne démarre pas un processus en arrière-plan avec des autorisations administratives pour modifier les autorisations du système de fichiers.
Toutefois, si l’utilisateur sélectionne Continuer et que le descripteur de sécurité actuel du dossier accorde à l’utilisateur l’autorisation de lire et de modifier les autorisations de l’objet, Windows démarre le processus en arrière-plan dans le contexte de sécurité actuel de l’utilisateur et modifie les autorisations du dossier pour accorder à l’utilisateur un accès plus important, comme décrit précédemment. L’utilisateur peut avoir l’autorisation de lire et de modifier les autorisations de l’objet à partir de la propriété de l’objet ou de la liste de contrôle d’accès (ACL) de l’objet.
Problèmes connus
Cette fonctionnalité peut entraîner un comportement inattendu. Par exemple, supposons que vous appartenez au groupe Administrateurs et que vous utilisez Windows Explorer pour accéder à un dossier qui nécessite un accès administratif. Une fois les autorisations modifiées, tout programme exécuté via votre compte d’utilisateur peut avoir le contrôle total du dossier, même si le programme n’est pas élevé et même après la suppression de votre compte du groupe Administrateurs. Ces autorisations modifiées peuvent violer les stratégies de sécurité d’un organization et peuvent être signalées dans un audit de sécurité. En outre, si un programme vérifie les autorisations du système de fichiers, il peut refuser de s’exécuter si les autorisations ont été modifiées.
Le contrôle de compte d’utilisateur doit rester activé dans tous les cas, sauf dans les circonstances contraintes décrites dans Comment désactiver le contrôle de compte d’utilisateur (UAC) sur Windows Server.
Solution de contournement 1
Pour éviter de modifier les autorisations dans un dossier accessible uniquement aux administrateurs, envisagez d’utiliser un autre programme qui peut s’exécuter avec élévation de privilèges au lieu d’utiliser Windows Explorer. Les exemples incluent l’invite de commandes, PowerShell et le composant logiciel enfichable Gestion de l’ordinateur MMC pour la gestion des partages.
Solution de contournement 2
Si vous avez un dossier spécifique à l’application qui est verrouillé pour empêcher les utilisateurs ordinaires d’y accéder, vous pouvez également ajouter des autorisations pour un groupe personnalisé, puis ajouter des utilisateurs autorisés à ce groupe. Par exemple, imaginez un scénario dans lequel un dossier spécifique à l’application accorde uniquement l’accès au groupe Administrateurs et au compte système. Dans ce cas, créez un domaine ou un groupe AppManagers local, puis ajoutez-y des utilisateurs autorisés. Ensuite, utilisez un utilitaire tel que icacls.exe, l’onglet Sécurité de la boîte de dialogue Propriétés du dossier ou l’applet de commande PowerShell Set-Acl pour accorder au groupe AppManagers le contrôle total du dossier, en plus des autorisations existantes.
Les utilisateurs qui sont membres d’AppManagers peuvent utiliser Windows Explorer pour parcourir le dossier sans avoir à modifier les autorisations du dossier. Cette alternative s’applique uniquement aux dossiers spécifiques à l’application. Vous ne devez jamais apporter de modifications d’autorisation aux dossiers qui font partie du système d’exploitation Windows, tels que C:\Windows\ServiceProfiles.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour