Description du contrôle de compte d’utilisateur et des restrictions à distance dans Windows Vista

Cet article décrit le contrôle de compte d’utilisateur (UAC) et les restrictions à distance.

S’applique à : Windows Vista
Numéro de la base de connaissances d’origine : 951016

Introduction

Le contrôle de compte d’utilisateur (UAC) est un nouveau composant de sécurité de Windows Vista. UAC permet aux utilisateurs d’effectuer des tâches quotidiennes courantes en tant que non-administrateurs. Ces utilisateurs sont appelés utilisateurs standard dans Windows Vista. Les comptes d’utilisateur membres du groupe Administrateurs local exécutent la plupart des applications en utilisant le principe du privilège minimum. Dans ce scénario, les utilisateurs disposant de privilèges minimum disposent de droits qui ressemblent aux droits d’un compte d’utilisateur standard. Toutefois, lorsqu’un membre du groupe Administrateurs local doit effectuer une tâche qui nécessite des droits d’administrateur, Windows Vista invite automatiquement l’utilisateur à approuver.

Fonctionnement des restrictions à distance UAC

Pour mieux protéger les utilisateurs membres du groupe Administrateurs local, nous implémentons des restrictions UAC sur le réseau. Ce mécanisme permet d’éviter les attaques de bouclage . Ce mécanisme permet également d’empêcher les logiciels malveillants locaux de s’exécuter à distance avec des droits d’administration.

Comptes d’utilisateur locaux (compte d’utilisateur du gestionnaire de compte de sécurité)

Lorsqu’un utilisateur membre du groupe Administrateurs local sur l’ordinateur distant cible établit une connexion d’administration à distance à l’aide de la commande net use *\\remotecomputer\Share$ , par exemple, il ne se connecte pas en tant qu’administrateur complet. L’utilisateur n’a aucun potentiel d’élévation sur l’ordinateur distant et l’utilisateur ne peut pas effectuer de tâches d’administration. Si l’utilisateur souhaite administrer la station de travail avec un compte sam (Security Account Manager), l’utilisateur doit se connecter de manière interactive à l’ordinateur qui doit être administré avec l’Assistance à distance ou le Bureau à distance, si ces services sont disponibles.

Comptes d’utilisateur de domaine (compte d’utilisateur Active Directory)

Un utilisateur disposant d’un compte d’utilisateur de domaine se connecte à distance à un ordinateur Windows Vista. De plus, l’utilisateur de domaine est membre du groupe Administrateurs. Dans ce cas, l’utilisateur du domaine s’exécute avec un jeton d’accès administrateur complet sur l’ordinateur distant, et le contrôle de compte d’utilisateur n’est pas en vigueur.

Comment désactiver les restrictions à distance UAC

Pour désactiver les restrictions à distance UAC, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis appuyez sur ENTRÉE.

2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

3. Si l’entrée de LocalAccountTokenFilterPolicy Registre n’existe pas, procédez comme suit :

   1. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.
   2. Tapez LocalAccountTokenFilterPolicy, puis appuyez sur Entrée.

4. Cliquez avec le bouton droit sur LocalAccountTokenFilterPolicy, puis sélectionnez Modifier.

5. Dans la zone Données de la valeur , tapez 1, puis sélectionnez OK.

6. Fermez l’Éditeur du Registre.

Cela a-t-il résolu le problème ?

Vérifiez si le problème est résolu. Si le problème n’est pas résolu, contactez le support.

Paramètres distants du contrôle de contrôle de compte d’utilisateur

L’entrée de Registre LocalAccountTokenFilterPolicy peut avoir la valeur 0 ou 1. Ces valeurs remplacent le comportement de l’entrée de Registre par celui décrit dans le tableau suivant.