Lorsque vous cliquez sur Continuer pour l'accès à un dossier dans l'Explorateur Windows, votre compte d'utilisateur est ajouté à la liste ACL du dossier

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 950934
INTRODUCTION
Cet article décrit un scénario dans lequel l'Explorateur Windows vous invite à cliquer sur Continuer pour accéder à un dossier de système de fichiers pour lesquels vous n'avez pas les autorisations de lecture. Il décrit également des solutions de contournement pour éviter certains aspects de ce problème. Ce problème se produit dans Windows Vista et les versions ultérieures de Windows et Windows Server 2008 et les versions ultérieures de Windows Server. Notez que l'Explorateur Windows est appelée Explorateur de fichiers dans Windows 8 et les versions ultérieures.
Plus d'informations
Supposons que contrôle de compte utilisateur (UAC) est activé et que vous utilisez l'Explorateur Windows pour accéder à un dossier pour lequel vous n'avez pas les autorisations en lecture. En outre, le dossier n'est marqué par aucun des attributs système ou caché. Dans ce cas, l'Explorateur Windows affiche une boîte de dialogue qui affiche le texte suivant :

Vous ne disposez pas de l'autorisation d'accéder à ce dossier. Cliquez sur Continuer pour obtenir définitivement l'accès à ce dossier.
Remarque Dans Windows Vista et Windows Server 2008, la deuxième phrase n'inclut pas le mot « définitivement » ; Il indique simplement « cliquez sur Continuer pour accéder à ce dossier. »

Vous avez ensuite la possibilité de cliquer sur Continuer ou Annuler. (Continuer est sélectionnée par défaut). Si vous cliquez sur Continuer, UAC tente d'obtenir des droits d'administration sur votre compte. Selon les paramètres de sécurité UAC qui contrôlent le comportement de l'invite d'élévation UAC, et que vous êtes un membre du groupe Administrateurs, vous pouvez être invité au consentement ou informations d'identification. Ou bien, vous pouvez être invité pas du tout. Si le compte d'utilisateur peut obtenir des droits d'administration, un processus d'arrière-plan modifiera les autorisations sur le dossier et tous ses sous-dossiers et fichiers, accordées à votre compte d'utilisateur l'accès à ces. Dans Windows Vista et Windows Server 2008, le processus d'arrière-plan accorde votre compte d'utilisateur les autorisations de lecture et d'exécution. Dans les versions ultérieures de Windows, ce processus accorde le contrôle total de votre compte d'utilisateur.

Ce comportement est voulu par la conception. Mais étant donné que le modèle classique avec élévation UAC est d'exécuter une instance du programme avec des privilèges élevés avec les droits administratifs, les utilisateurs peuvent s'attendent qu'en cliquant sur Continuer, cela génère une instance élevée de l'Explorateur Windows et pas apporter des modifications permanentes à des autorisations de système de fichiers. Toutefois, cette perspective n'est pas possible, comme la création de l'Explorateur Windows ne gère pas l'exécution de plusieurs instances de processus dans différents contextes de sécurité dans une session d'utilisateur interactive.

Si le contrôle de compte utilisateur est désactivé, l'élévation UAC n'est pas possible. Tous les programmes exécutés par les membres du groupe Administrateurs, y compris l'Explorateur Windows, disposent toujours des droits d'administration. Par conséquent, les administrateurs n'ont pas besoin à utiliser une élévation pour accéder aux ressources qui requièrent des droits d'administration. Par exemple, si un dossier autorise l'accès uniquement au groupe Administrateurs et le compte système, un administrateur peut consulter directement sans avoir à modifier les autorisations du dossier. Si l'utilisateur n'a pas les autorisations de lecture, l'Explorateur Windows affiche la boîte de dialogue qui a été décrit précédemment. Toutefois, si le compte d'utilisateur est désactivé, Windows ne peut pas demander les informations d'identification d'administration pour le compte de l'utilisateur via une invite d'élévation UAC. Par conséquent, Windows ne démarre pas un processus d'arrière-plan avec des autorisations d'administration pour modifier les autorisations du système de fichiers.

Toutefois, si l'utilisateur clique sur Continuer et accorde à l'utilisateur l'autorisation de lire et modifier les autorisations de l'objet descripteur de sécurité du dossier en cours, Windows démarre le processus d'arrière-plan dans le contexte de sécurité actuel de l'utilisateur et modifier les autorisations du dossier à accorder à l'utilisateur l'accès supérieure, comme décrit précédemment. L'utilisateur peut avoir l'autorisation de lire et de modifier les autorisations de l'objet à partir de la propriété d'un objet ou à partir de la liste de contrôle d'accès (ACL) de l'objet.

Problèmes connus

Cette fonctionnalité peut provoquer un comportement inattendu. Par exemple, supposons que vous appartenez au groupe Administrateurs et que vous utilisez l'Explorateur Windows pour accéder à un dossier qui nécessite un accès administratif. Une fois que les autorisations ont été modifiées, tout programme qui s'exécute par le biais de votre compte d'utilisateur peut avoir le contrôle total du dossier, même si le programme n'est pas élevé, et même une fois que votre compte a été supprimé du groupe Administrateurs. Ces autorisations modifiées peuvent enfreindre les stratégies de sécurité d'une organisation et peuvent être signalées dans un audit de sécurité. En outre, si un programme vérifie les autorisations de système de fichiers, il peut refuser d'exécuter si les autorisations ont été modifiées.

Contournement
Contrôle de compte utilisateur doit rester activé dans tous les cas, sauf dans les circonstances limitées décrites dans l'article suivant de la Base de connaissances Microsoft :

Solution de contournement 1
Pour éviter de modifier les autorisations d'un dossier qui est accessible uniquement aux administrateurs, envisagez d'utiliser un autre programme qui peut s'exécuter avec élévation de privilèges au lieu d'utiliser l'Explorateur Windows. Invite de commande, PowerShell et le composant logiciel enfichable MMC Gestion de l'ordinateur pour la gestion de partage sont des exemples.

Solution de contournement 2
Si vous disposez d'un dossier spécifique à l'application qui est verrouillé pour empêcher les utilisateurs ordinaires d'y accéder, vous pouvez également ajouter des autorisations pour un groupe personnalisé et ensuite ajouter des utilisateurs autorisés à ce groupe. Par exemple, envisagez un scénario dans lequel un dossier spécifique à l'application accorde l'accès uniquement au groupe Administrateurs et le compte système. Dans ce cas, créer un domaine ou un groupe local de AppManagers et ensuite ajouter des utilisateurs autorisés. Ensuite, utilisez un utilitaire tel que icacls.exe, l'onglet sécurité de la boîte de dialogue Propriétés du dossier, ou l'applet de commande PowerShell Set-Acl pour accorder le contrôle total sur le dossier, les autorisations existantes du groupe AppManagers.

Les utilisateurs qui sont membres du AppManagers sera désormais en mesure d'utiliser l'Explorateur Windows pour parcourir le dossier sans avoir à modifier les autorisations du dossier de l'UAC. N'oubliez pas que cette alternative s'applique uniquement à des dossiers spécifiques à l'application. Vous devez jamais modifier les autorisations pour les dossiers qui font partie du système d'exploitation Windows, comme C:\Windows\ServiceProfiles.

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 950934 - Dernière mise à jour : 03/20/2016 08:59:00 - Révision : 5.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation, Windows 8.1 Pro, Windows 8.1, Windows 8.1 Enterprise, Windows 8 Enterprise, Windows 8 Pro, Windows 8, Windows 7 Entreprise, Windows 7 Édition Integrale, Windows 7 Professionnel, Windows 7 Édition Familiale Premium, Windows 7 Édition Familiale Basique, Windows Vista Édition Intégrale, Windows Vista Édition Intégrale 64 bits, Windows Vista Entreprise, Windows Vista Entreprise 64 bits, Windows Vista Professionnel, Windows Vista Professionnel 64 bits, Windows Vista Édition Familiale Premium, Windows Vista Édition Familiale Premium 64 bits, Windows Vista Édition Familiale Basique, Windows Vista Édition Familiale Basique 64 bits

  • kbsecurity kbpubtypekc kbinfo kbhowto kbmt KB950934 KbMtfr
Commentaires