Users Guide
10
Contrôle de comptes d'utilisateur Microsoft
Windows Server 2008
Sous Microsoft Windows Server 2008 et versions antérieures, les comptes d'utilisateurs étaient souvent membres du
groupe Administrateurs local et avaient accès à des privilèges d'administrateur. Les membres du groupe
Administrateurs local pouvaient installer, mettre à jour et exécuter le logiciel, puisqu'un compte Administrateur possède
un accès à l'ensemble du système. Lorsqu'un utilisateur était ajouté au groupe Administrateurs local, il recevait
automatiquement des privilèges Windows qui lui donnaient accès à toutes les ressources du système d'exploitation.
Ainsi, les comptes d'utilisateur avec privilèges d'administrateur représentaient un risque pur la sécurité, puisqu'ils
donnaient accès à des ressources de système d'exploitation pouvant être exploitées par un logiciel malveillant
(malware).
La fonction de sécurité Contrôle de compte d'utilisateur (CCU) est une nouveauté du système d'exploitation Windows
Server 2008. Lorsque vous l'activez, le CCU restreint l'accès aux ressources système critiques pour tous les utilisateurs,
à l'exception de l'utilisateur Administrateur local intégré.
Les trois types de compte utilisateur dans le système d'exploitation Windows Server 2008 sont les suivants :
• le compte Administrateur de domaine, qui est un compte utilisateur disposant de droits d'administrateur ;
• le compte Utilisateur standard, qui permet à l'utilisateur d'installer les logiciels et de modifier les paramètres
système qui n'affectent pas les autres utilisateurs ou la sécurité de l'ordinateur ;
• le compte Administrateur local, qui est le super utilisateur par défaut du système d'exploitation.
L'expérience d'un utilisateur possédant un compte Administrateur de domaine diffère de celle d'un utilisateur
Administrateur local si le contrôle de compte d'utilisateur (CCU) est activé. Lorsqu'un compte Administrateur de
domaine demande l'accès à des ressources système critiques, le système d'exploitation Windows Server 2008 invite
l'utilisateur à saisir l'une des informations suivantes avant de lancer un programme ou une tâche qui nécessite un plein
accès administrateur :
• l'autorisation d'élever les privilèges (dans le cas d'un utilisateur du groupe Administrateurs de domaine) ;
• les références de l'administrateur de domaine pour élever les privilèges (dans le cas des utilisateurs standard).
Le CCU invite les utilisateurs du groupe Administrateurs de domaine (à l'exception du compte Administrateur) à cliquer
sur Continuer pour obtenir des privilèges de niveau supérieur ou sur Annuler lorsqu'ils réalisent des fonctions
présentant un risque de sécurité. Avec le CCU, les utilisateurs doivent demander une mise à niveau de leur compte vers
le rôle Administrateur avant d'exécuter des progiciels DUP.
REMARQUE : Comme l'expérience de l'utilisateur peut être configurée à l'aide de l'utilitaire enfichable Security
Policy Manager (secpol.msc) et d'une stratégie de groupe, vous pouvez mettre en place différentes configurations.
Les options de configuration choisies dans l'environnement affectent les invites et boîtes de dialogue affichées
pour les utilisateurs standard, les administrateurs ou les deux. Vous pouvez désactiver le contrôle de compte
d'utilisateur (CCU) en désactivant l'option Contrôle de comptes utilisateur : comportement de l'invite d'élévation
pour les administrateurs en mode d'approbation Administrateur, puis en redémarrant le système.
Si un progiciel DUP est exécuté en mode interface utilisateur graphique (GUI), le système d'exploitation Windows
Server 2008 a besoin que l'utilisateur autorise l'opération. Par contre, si le progiciel DUP est exécuté en mode
automatique, l'utilisateur peut ignorer la fenêtre pop-up de demande d'autorisation en effectuant l'une des opérations
suivantes :
57