Auto-élévation
Dans cette section :
- À propos de l'auto-élévation
- Configuration de l'auto-élévation
- Options Auto-élévation
- Associations de fichiers pour l'auto-élévation
- Paramètres de message Auto-élévation
À propos de l'auto-élévation
L'option Auto-élévation s'applique aux signatures, fichiers et dossiers qui nécessitent habituellement des privilèges Administrateur pour leur exécution et leur fonctionnement. L'auto-élévation ajoute une option dans le menu contextuel de l'Explorateur Windows, qui permet d'exécuter un élément avec des droits élevés. Lorsqu'un utilisateur tente d'élever un élément spécifique, une invite apparaît pour lui demander d'indiquer la raison de l'élévation avant l'opération.
La fonction Auto-élévation est soumise à audit, si bien que vous pouvez surveiller les types d'application pour lesquels les utilisateurs utilisent généralement l'auto-élévation. Vous pouvez ajouter ces éléments au nœud Privilèges utilisateur approprié dans une configuration pour que les utilisateurs puissent y accéder sans émettre de demande.
Dans les environnements où le contrôle de compte d'utilisateur (UAC) est désactivé, vous pouvez autoriser l'auto-élévation des propriétés de fichier et de dossier dans l'Explorateur Windows, à l'aide du paramètre personnalisé SelfElevatePropertiesEnabled. Dans ce cas, vous pouvez personnaliser le texte de l'option du menu contextuel correspondant dans l'Explorateur Windows, à l'aide du paramètre personnalisé SelfElevatePropertiesMenuText.
Configuration de l'auto-élévation
- Sélectionnez le nœud Privilèges utilisateur du groupe approprié, par exemple, le groupe Tout le monde.
- Cliquez sur l'onglet Auto-élévation.
- Sélectionnez Activer l'auto-élévation et appliquez le paramétrage requis :
- Appliquer Auto-élévation uniquement aux éléments de la liste ci-dessous
Appliquer Auto-élévation à tous les éléments sauf ceux de la liste ci-dessous
- Dans le ruban Gérer, sélectionnez Ajouter un élément > Auto-élévation, puis entrez ou sélectionnez un fichier, un dossier, une signature ou un groupe.
Tous les types de fichier peuvent être auto-élevés s'ils figurent dans la liste Association de fichiers Auto-élévation.
-
Pour ajouter une validation, cliquez sur l'onglet Métadonnées et entrez les détails de description, fournisseur et numéro de version du fichier et du produit.
Laissez les champs vides pour autoriser l'auto-élévation de tous les fichiers. Lorsque des métadonnées sont appliquées, les éléments doivent correspondre aux métadonnées à auto-élever.
- Enregistrez la configuration.
Options Auto-élévation
Configurez les options Auto-élévation des éléments de règle en spécifiant la manière dont l'application s'exécute après l'auto-élévation. Vous pouvez également définir comment l'élévation doit affecter les processus enfant ou les boîtes de dialogue communes.
Dans le ruban Gestion des privilèges, sélectionnez Options Auto-élévation et configurez les paramètres requis :
- Marquer les éléments Autorisé - Marque les éléments de règle comme autorisés et écrase les éléments autorisés associés.
- Autoriser les éléments à s'exécuter même s'ils n'appartiennent pas à un propriétaire de confiance - Cette option est disponible si vous avez sélectionné Marquer les éléments Autorisé. Lorsque cette option est sélectionné, tous les éléments de règle répertoriés sont exécutés, quel que soit leur propriétaire.
- Appliquer aux processus enfant - Par défaut, la stratégie d'auto-élévation appliquée aux éléments de règle n'est pas héritée par les processus enfant. Sélectionnez cette option pour appliquer la stratégie aux enfants directs du processus parent.
- Appliquer aux boîtes de dialogue communes - Élève les droits d'accès aux options de menu Ouvrir le fichier et Enregistrer le fichier lorsqu'un fichier ou un dossier a été élevé.
- Installer en tant que propriétaire de confiance - Désigne l'administrateur local comme propriétaire de tous les fichiers créés par l'application spécifiée. Cette option n'est pas appliquée aux applications standard, uniquement aux paquets Programme d'installation.
- Masquer l'option Windows 'Exécuter en tant qu'administrateur' pour les éléments avec auto-élévation - Masque l'option Exécuter en tant qu'administrateur dans le menu contextuel Windows.
- Afficher une zone de message demandant à l'utilisateur la raison de l'auto-élévation - Invite les utilisateurs à indiquer la raison de l'auto-élévation.Définissez le contenu et les dimensions du message sous Paramètres de message Auto-élévation.
Lorsque vous explorez les fichiers OneDrive, l'option Exécuter en tant qu'administrateur n'est pas disponible dans le menu contextuel tant que les fichiers n'ont pas été synchronisés et mis à disposition en local.
Associations de fichiers pour l'auto-élévation
Configurez la liste des types de fichier et applications associées que les utilisateurs peuvent ouvrir avec des privilèges élevés ou d'administration. Lorsqu'un utilisateur clique sur un fichier avec le bouton droit, Application Control (Contrôle des applications) effectue les vérifications suivantes pour déterminer si cet utilisateur peut élever les droits pour l'application associée à ce fichier :
- Le type du fichier figure-t-il dans la liste des associations de fichiers ?
- Non - Impossible d'auto-élever le fichier.
- Oui - Vérifier l'application associée.
- Existe-t-il une application associée ?
- Non - Le fichier est auto-élevé avec l'application associée sur le poste client de l'utilisateur.
- Oui - Le fichier ne peut être auto-élevé que s'il est ouvert dans l'application spécifiée dans la liste des associations de fichiers.
Si l'application peut être auto-élevée, l'option correspondante est disponible dans le menu contextuel et l'utilisateur accède à cette application avec des privilèges élevés. Si l'utilisateur remplace un programme par défaut par un autre qui n'est pas l'application associée définie dans la configuration, l'option Auto-élévation n'est plus disponible dans le menu contextuel.
Mise à jour des associations de fichiers
- Dans le ruban Gérer, cliquez sur Paramètres avancés et sélectionnez l'onglet Associations de fichiers Auto-élévation.
- Mettez à jour la liste des extensions et des applications associées, à l'aide des boutons Ajouter et Supprimer. Vous pouvez ajouter toutes les extensions de votre choix.
Les extensions suivantes sont incluses par défaut :
| Extension de fichier | Application associée |
|---|---|
| EXE | |
| BAT | |
| CMD | |
| VBS | wscript.exe |
| WSF | wscript.exe |
| VBE | wscript.exe |
| MSI | msiexec.exe |
| MSP | msiexec.exe |
| PS1 | powershell.exe |
| MSC | mmc.exe |
| REG | regedit.exe |
Paramètres de message Auto-élévation
Configurez le contenu et les dimensions du message affiché lorsqu'un utilisateur demande une auto-élévation.
Les messages apparaissent si l'option Afficher une zone de message demandant à l'utilisateur la raison de l'auto-élévation est sélectionnée sous Options Auto-élévation.
- Dans le ruban Paramètres globaux, sélectionnez Paramètres de message.
- Cliquez sur l'onglet Auto-élévation.
-
Dans le champ Nom, entrez le texte à afficher pour l'option de menu contextuel Auto-élévation.
L'option de menu apparaît lorsqu'un utilisateur clique avec le bouton droit sur un fichier portant une extension présente dans la liste Associations de fichiers Auto-élévation.
- Configurez la légende, le contenu et les dimensions du message affiché lorsqu'un utilisateur demande une auto-élévation.
- Cliquez sur OK.