Règles de privilège utilisateur

Pour toutes les règles figurant dans le nœud Privilèges utilisateur, vous pouvez choisir les stratégies de privilèges utilisateur à appliquer aux fichiers, dossiers, signatures, groupes et composants Windows lorsque les conditions de la règle sont remplies. Vous pouvez configurer l'auto-élévation afin d'autoriser un utilisateur à exécuter un élément avec des privilèges utilisateur plus élevés. Vous pouvez aussi utiliser des contrôles système pour limiter les droits des utilisateurs concernant la désinstallation ou la modification des applications sélectionnées, la gestion des services indiqués et l'effacement des journaux d'événements.

Sélectionnez le nœud Privilèges utilisateur de la règle à configurer. La zone de travail inclut quatre onglets : Applications, Composants, Auto-élévation et Contrôles système.

Dans cette section :

Applications

Pour ajouter un fichier, un dossier, une signature ou un groupe à l'onglet Applications, cliquez sur Ajouter un élément dans le ruban Gestion des privilèges. L'élément est répertorié dans l'onglet dans les colonnes Élément, Stratégie et Description. Pour changer la stratégie appliquée au fichier, au dossier ou à la signature, double-cliquez sur l'élément pour accéder à la boîte de dialogue de modification. Sélectionnez (dans la liste déroulante Stratégie) la stratégie à appliquer.

Pour en savoir plus sur l'ajout d'éléments, reportez-vous à « Éléments de règle ».

Composants

Comme les modules complémentaires Console de gestion et les applets du Panneau de configuration ne sont pas des exécutables, ils ne peuvent pas être élevés avec un seul exécutable. Vous devez les élever via la mise en correspondance de lignes de commande. Cependant, la section Composants contient des raccourcis pour configurer ces éléments. Chaque raccourci est équivalent à une stratégie UPM Ajouter un fichier avec les arguments spécifiés.

Les arguments de ligne de commande et les mécanismes de génération dynamique varient en fonction du système d'exploitation qu'emploie chaque utilisateur.

Les composants du Panneau de configuration et les fonctions de carte réseau sont généralement contrôlés par explorer.exe. L'élévation d'explorer.exe pour qu'il s'exécute dans le contexte d'un administrateur local est déconseillée, car cela peut provoquer des problèmes de sécurité. Certains composants Windows peuvent être élevés ou restreints sans changer les droits associés à explorer.exe.

Utilisez le filtre de la boîte de dialogue Sélectionner des composants pour filtrer les composants pris en charge par système d'exploitation.

  1. Développez la règle de groupe applicable dans le volet de navigation et sélectionnez le nœud Privilèges utilisateur.
  2. Sélectionnez l'onglet Composants dans la zone de travail.

  3. Dans le ruban Gestion des privilèges, sélectionnez Ajouter un élément > Ajouter un composant.

    La boîte de dialogue Sélectionner des composants s'affiche.

  4. Sélectionnez les composants que l'utilisateur doit pouvoir exécuter en tant qu'administrateur, par exemple, Ajouter et supprimer des programmes/Programmes et fonctionnalités.

  5. Cliquez sur OK.

    Le composant figure désormais dans la liste de l'onglet Composants.

  6. Effectuez l'une des opérations suivantes :
    • Pour élever les privilèges pour le composant sélectionné, cliquez sur Élévation intégrée dans la liste déroulante de la colonne Stratégie de droits utilisateur.
    • Pour restreindre les privilèges pour le composant sélectionné, cliquez sur Restriction intégrée dans la liste déroulante de la colonne Stratégie de droits utilisateur.
  7. Enregistrez la configuration.

Remplacement UAC

La fonction Remplacement UAC est une nouveauté d'Application Control (Contrôle des applications) version 2020.2 et elle complète la fonction Auto-élévation existante dans Application Control (Contrôle des applications). Elle détecte les applications qui vont afficher une invite UAC et, si tel est le cas, elle permet aux administrateurs de déterminer l'accès autorisé.
Pour en savoir plus, reportez-vous à « Remplacement UAC ».

Auto-élévation

L'option Auto-élévation s'applique aux signatures, fichiers et dossiers qui nécessitent habituellement des privilèges Administrateur pour leur exécution et leur fonctionnement. L'auto-élévation ajoute une option dans le menu contextuel de l'Explorateur Windows, qui permet d'exécuter un élément avec des droits élevés. Lorsqu'un utilisateur tente d'élever un élément spécifique, il est possible de configurer une invite pour lui demander d'indiquer la raison de l'élévation avant l'opération.

Pour en savoir plus, reportez-vous à « Auto-élévation ».

Contrôles système

Les contrôles système servent à autoriser ou à interdire l'arrêt de services spécifiques, l'effacement de journaux d'événements, et la désinstallation ou la modification d'applications spécifiques.

Pour en savoir plus, reportez-vous à « Contrôles système ».

Rubriques connexes

Gestion des privilèges utilisateur

Types de règle

Éléments de règle

Éléments autorisés

Éléments refusés

Fournisseurs de confiance

Contrôle du navigateur (Browser Control)