locked
[Résolu] Permettre l'éxécution d'une application nécessitant les droits administrateurs à un utilisateur spécifique RRS feed

  • Question

  • Bonjour,

    Je cherche le moyen de permettre l’exécution d'une application nécessitant les droits administrateurs à un utilisateur spécifique. Je m'explique : Certaines applications nécessite des droits administrateurs pour fonctionner correctement, et pour l'instant, je suis « obligé » de mettre ces utilisateurs administrateurs local de leur machine pour qu'ils puissent faire leurs travail.

    Y aurait-il un moyen de leurs donner les droits administrateurs pour cette application uniquement ? Bref, que cette application s'exécute TOUJOURS avec les droits administrateurs peut importe qui (un utilisateur normale ou un administrateur) lance l'application.

    Merci.


    • Modifié totest lundi 28 janvier 2013 18:45
    lundi 28 janvier 2013 14:30

Réponses

  • Pas mal d'éditeur demande d'avoir des droits administrateurs sur des appli pour se simplifier la vie. En générale il suffit de changer un droit sur une clé de registre ou sur un dossier Windows . Des tools comme procmon permettent souvent de repérer le droit manquant.

    Sinon si l'utilisateur n'est pas admin et que l'on lance un prog en temps qu'admin il lui faut à un moment ou un autre un compte et un mot de passe qui a les droits. On peut le faire par script mais pas génial d'avoir le mot de passe en clair.

    On ne peut dire qu'une application est administrateurs, le rôle administrateur est lié forcément à un compte Windows.


    lundi 28 janvier 2013 15:06
  • Bonjour,

    pour compléter la réponse précédente, il faut étudier un peu le fonctionnement de l'application pour identifier les accès nécessaires à l'utilisateur (faire une recherche sur "Access DEnied" en utilisant l'outil Procmon : http://technet.microsoft.com/en-us/sysinternals/bb896645

    A bientôt


    Freddy ELMALEH - Active IT (Active IT)
    Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
    MVP Windows Server - Directory Services
    MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
    Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
    FaceBook Twitter LinkedIn

    • Marqué comme réponse totest lundi 28 janvier 2013 18:44
    lundi 28 janvier 2013 16:38
  • Le lundi 28/01/2013 15:30:50, totest a écrit dans le message <news:9740b204-18c9-462d-b208-410687186745@communitybridge.codeplex.com> ce qui suit :

    Bonjour,

    Je cherche le moyen de permettre l’exécution d'une application nécessitant les droits administrateurs à un utilisateur spécifique. Je m'explique : Certaines applications nécessite des droits administrateurs pour fonctionner correctement, et pour l'instant, je suis « obligé » de mettre ces utilisateurs administrateurs local de leur machine pour qu'ils puissent faire leurs travail.

    Y aurait-il un moyen de leurs donner les droits administrateurs pour cette application uniquement ? Bref, que cette application s'exécute TOUJOURS avec les droits administrateurs peut importe qui (un utilisateur normale ou un administrateur) lance l'application.

    OUI, cela s'appelle "SUPEREXEC", un logiciel que j'ai intégralement conçu EXACTEMENT pour ça!

    Ce logiciel permet de préparer une exécution, en enregistrant dans un fichier de type XML (extension .XSE) les informations suivantes (intégralement chiffrées) :

    - le nom du compte utilisateur ou groupe d'utilisateurs - local ou global (domaine)
    - l'application concernée (exécutable, script, composant enfichable,...)
    - les paramètres passés à l'application
    - le dossier de travail
    - le nom et le mot de passe d'un compte administrateur
    - des paramètres éventuels supplémentaires :
         une date limite d'exécution de l'application
         un compteur d'exécution

    L'exécution de l'application sera refusée à l'utilisateur :
    - si l'application n'a pas été autorisée à l'utilisateur ni à un groupe auquel il appartient.
    - si une date limite a été définie et si elle est périmée.
    - si un compteur a été défini et s'il est dépassé.
     Par ailleurs, SUPEREXEC fonctionne à distance, et peut gérer de la même façon qu'en local les ordinateurs de n'importe quel groupe de travail ou domaine accessible depuis le réseau.

    Dans ce cas, tous les fichiers nécessaires (fichiers .XSE, logiciels, certificat, raccourcis sur le bureau, ...) peuvent être copiés d'un simple clic sur les ordinateurs distants.

    Il a même été prévu le cas d'ordinateurs déconnectés du réseau (cas d'utilisateurs "nomades" par exemple).
    Les fichiers nécessaires sont alors envoyés par messagerie électronique sous la forme de fichier compressé unique mis en pièce-jointe dans un courrier généré automatiquement.
     L'exploration d'un autre groupe de travail ou domaine peut prendre un certain temps. Il est possible de choisir le niveau d'exploration du réseau :
    - exploration manuelle du réseau
    - exploration automatique du réseau (tous les ordinateurs de tous les groupes et domaines) à partir d'une plage donnée d'adresses IP.

    Les applications choisies doivent résider sur l'ordinateur concerné.

    SUPEREXEC est entièrement compatible avec UAC  (User Account Control), à savoir le contrôle des comptes utilisateurs sous Windows Vista, Windows 7 (et au-delà).

    Dans le cas où une application est de type console (ipconfig, nbtstat, netstat, net time, ...), elle sera exécutée à travers un script créé dynamiquement et de telle façon que la fenêtre ne se ferme pas à la fin de l'exécution si on le souhaite.

    En ce qui concerne les ordinateurs distants, SUPEREXEC active à distance :
    - le service d'accès au registre
    - les partages administratifs
     Afin de garantir leur origine, tous les exécutables de SuperExec (SuperExec.exe, RunSE.exe, InstSE.exe) sont certifiés par un certificat auto-signé par l'auteur.

    L'empreinte numérique (SHA1) de ce certificat doit être obligatoirement égale à :
        1494 3A78 05A3 1D30 2AD4 9635 01E0 79D9 826E 3421
     Dernier point :  C'est un FREEWARE!
        http://www.bellamyjc.org/fr/superexec.html


    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY
    http://www.bellamyjc.fr ou http://www.bellamyjc.org

    • Marqué comme réponse totest lundi 28 janvier 2013 18:44
    lundi 28 janvier 2013 17:25

Toutes les réponses

  • Pas mal d'éditeur demande d'avoir des droits administrateurs sur des appli pour se simplifier la vie. En générale il suffit de changer un droit sur une clé de registre ou sur un dossier Windows . Des tools comme procmon permettent souvent de repérer le droit manquant.

    Sinon si l'utilisateur n'est pas admin et que l'on lance un prog en temps qu'admin il lui faut à un moment ou un autre un compte et un mot de passe qui a les droits. On peut le faire par script mais pas génial d'avoir le mot de passe en clair.

    On ne peut dire qu'une application est administrateurs, le rôle administrateur est lié forcément à un compte Windows.


    lundi 28 janvier 2013 15:06
  • Bonjour,

    pour compléter la réponse précédente, il faut étudier un peu le fonctionnement de l'application pour identifier les accès nécessaires à l'utilisateur (faire une recherche sur "Access DEnied" en utilisant l'outil Procmon : http://technet.microsoft.com/en-us/sysinternals/bb896645

    A bientôt


    Freddy ELMALEH - Active IT (Active IT)
    Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
    MVP Windows Server - Directory Services
    MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
    Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
    FaceBook Twitter LinkedIn

    • Marqué comme réponse totest lundi 28 janvier 2013 18:44
    lundi 28 janvier 2013 16:38
  • Le lundi 28/01/2013 15:30:50, totest a écrit dans le message <news:9740b204-18c9-462d-b208-410687186745@communitybridge.codeplex.com> ce qui suit :

    Bonjour,

    Je cherche le moyen de permettre l’exécution d'une application nécessitant les droits administrateurs à un utilisateur spécifique. Je m'explique : Certaines applications nécessite des droits administrateurs pour fonctionner correctement, et pour l'instant, je suis « obligé » de mettre ces utilisateurs administrateurs local de leur machine pour qu'ils puissent faire leurs travail.

    Y aurait-il un moyen de leurs donner les droits administrateurs pour cette application uniquement ? Bref, que cette application s'exécute TOUJOURS avec les droits administrateurs peut importe qui (un utilisateur normale ou un administrateur) lance l'application.

    OUI, cela s'appelle "SUPEREXEC", un logiciel que j'ai intégralement conçu EXACTEMENT pour ça!

    Ce logiciel permet de préparer une exécution, en enregistrant dans un fichier de type XML (extension .XSE) les informations suivantes (intégralement chiffrées) :

    - le nom du compte utilisateur ou groupe d'utilisateurs - local ou global (domaine)
    - l'application concernée (exécutable, script, composant enfichable,...)
    - les paramètres passés à l'application
    - le dossier de travail
    - le nom et le mot de passe d'un compte administrateur
    - des paramètres éventuels supplémentaires :
         une date limite d'exécution de l'application
         un compteur d'exécution

    L'exécution de l'application sera refusée à l'utilisateur :
    - si l'application n'a pas été autorisée à l'utilisateur ni à un groupe auquel il appartient.
    - si une date limite a été définie et si elle est périmée.
    - si un compteur a été défini et s'il est dépassé.
     Par ailleurs, SUPEREXEC fonctionne à distance, et peut gérer de la même façon qu'en local les ordinateurs de n'importe quel groupe de travail ou domaine accessible depuis le réseau.

    Dans ce cas, tous les fichiers nécessaires (fichiers .XSE, logiciels, certificat, raccourcis sur le bureau, ...) peuvent être copiés d'un simple clic sur les ordinateurs distants.

    Il a même été prévu le cas d'ordinateurs déconnectés du réseau (cas d'utilisateurs "nomades" par exemple).
    Les fichiers nécessaires sont alors envoyés par messagerie électronique sous la forme de fichier compressé unique mis en pièce-jointe dans un courrier généré automatiquement.
     L'exploration d'un autre groupe de travail ou domaine peut prendre un certain temps. Il est possible de choisir le niveau d'exploration du réseau :
    - exploration manuelle du réseau
    - exploration automatique du réseau (tous les ordinateurs de tous les groupes et domaines) à partir d'une plage donnée d'adresses IP.

    Les applications choisies doivent résider sur l'ordinateur concerné.

    SUPEREXEC est entièrement compatible avec UAC  (User Account Control), à savoir le contrôle des comptes utilisateurs sous Windows Vista, Windows 7 (et au-delà).

    Dans le cas où une application est de type console (ipconfig, nbtstat, netstat, net time, ...), elle sera exécutée à travers un script créé dynamiquement et de telle façon que la fenêtre ne se ferme pas à la fin de l'exécution si on le souhaite.

    En ce qui concerne les ordinateurs distants, SUPEREXEC active à distance :
    - le service d'accès au registre
    - les partages administratifs
     Afin de garantir leur origine, tous les exécutables de SuperExec (SuperExec.exe, RunSE.exe, InstSE.exe) sont certifiés par un certificat auto-signé par l'auteur.

    L'empreinte numérique (SHA1) de ce certificat doit être obligatoirement égale à :
        1494 3A78 05A3 1D30 2AD4 9635 01E0 79D9 826E 3421
     Dernier point :  C'est un FREEWARE!
        http://www.bellamyjc.org/fr/superexec.html


    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY
    http://www.bellamyjc.fr ou http://www.bellamyjc.org

    • Marqué comme réponse totest lundi 28 janvier 2013 18:44
    lundi 28 janvier 2013 17:25
  • Le lundi 28/01/2013 16:06:52, P barth a écrit dans le message <news:2dd4e5d3-07ef-49ea-9708-f4a54bb0c922@communitybridge.codeplex.com> ce qui suit :

    Pas mal d'éditeur demande d'avoir des droits administrateurs sur des appli pour se simplifier la vie. En générale il suffit de changer un droit sur une clé de registre ou sur un dossier Windows . Des tools

    Tu ne peux pas dire "outils" ?
    Pas assez snob, mon fils ? ;-)

    comme procmon permettent souvent de repérer le droit manquant.

    Oui mais on peut dire que toutes les tâches d'administration, par essence même, exigent des privilèges administrateur!

    OR il peut arriver que l'on veuille autoriser un ou plusieurs comptes ou groupe d'utilisateurs à exécuter une tâche requérant les privilèges admin.

    Sinon si l'utilisateur n'est pas admin et que l'on lance un prog en temps qu'admin il lui faut à un momeent ou un autre un compte et un mot de passe qui a les droits, donc c'est pas très beau lorsque l'on utilise un script pour le lancer en temps qu'admin si le password est en clair dans le script.

    On voit que tu ne connais pas SUPEREXEC !!!!
         ****************************************
        http://www.bellamyjc.org/fr/superexec.html
        ****************************************

    Mais on ne peut dire qu'une application est administrateurs,
    le rôle administrateur est lié forcément à un compte Windows.

    Ne sois pas puriste comme ça! ;-)
    Tu as TRÈS BIEN compris que c'est un raccourci de langage!
    Ce que l'on veut dire ici, c'est que telle application requiert des PRIVILÈGES administrateur!
     D'ailleurs, la preuve que c'est LIÉ à l'application, c'est qu'on lui associe un fichier xxxxxxxx.manifest, qui précise explicitement le niveau de privilèges requis !
     Exemple tout frais, que je viens de concevoir à l'instant pour une de mes applis exigeant des privilèges admin (cette appli sert à définir le type de réseau sous Vista, Win7 et Win8)

    ------------- couper ici -------------
    <?xml version="1.0" encoding="utf-8" ?>
    <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
    <assemblyIdentity version="1.0.0.0" processorArchitecture="X86" name="Project3" type="win32" />
    <description>Privilèges admin obligatoires</description>
    <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
    <requestedPrivileges>
    <requestedExecutionLevel level="requireAdministrator" />
    </requestedPrivileges>
    </security>
    </trustInfo>
    </assembly>
    ------------- couper ici -------------


    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY
    http://www.bellamyjc.fr ou http://www.bellamyjc.org

    lundi 28 janvier 2013 17:41
  • Okay, parfais, merci à vous.
    lundi 28 janvier 2013 18:45
  • Jean-Claude BELLAMY :

    Tu ne peux pas dire "outils" ?
    Pas assez snob, mon fils ? ;-)

    Désolé mais je n'ai pas fait attention au moment de la réponse. La plus part du temps je réponds en vitesse avec des fautes et des anglicisme, sans le moindre snobisme, je ne pensais pas que cela puisse choquer. Pardon .


    On voit que tu ne connais pas SUPEREXEC !!!!

    J'ai déja vu votre site et cette page (site qui contient plein d'info intéressante), mais crypté ou pas le mot de passe est dans un fichier.

    Peut-être un peu lourd lorsque l'on a des comptes qui expirent? Bon l'idée est intéressante et je n'ai aucune intention de le dénigrer.

    Mais pour ma part j'ai pu régler pas mal de problème en mettant les bonnes permissions aux bons endroits. Et les éditeurs on tendance à pas mal se simplifier la vie à coup d'administrateur.

    Donc le jour ou je ne trouverai plus de solution je vous promets je ferai un test avec superexec, en attendant j'ai pas vu tant d'appli que cela qui ont réellement besoin d'être administrateur.

    OR il peut arriver que l'on veuille autoriser un ou plusieurs comptes ou groupe d'utilisateurs à exécuter une tâche requérant les privilèges admin.

    Certains veulent, d'autre le font par ce qu'ils n'ont pas trouvé d'autres solutions, pour ma part je recherche les bonnes autorisations et je ne le fais pas par défaut.En fait je ne le fait même pas du tout. A noter que je ne suis pas administrateur de mon poste  et que j'ai exactement les mêmes droits que tout utilisateur de mon entreprise (même quota sur les fichiers, les mails). Questions de point de vue et de motivation.



    lundi 28 janvier 2013 19:23
  • Par contre P Barth, tu as complété ta première réponse en y faisant une référence à procmon, rassure-moi ?

    Parce qu'autrement, je n'aurai pas posté ce que j'ai indiqué sur cet outil ou alors j'ai un gros problème de mémoire ...


    Freddy ELMALEH - Active IT (Active IT)
    Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
    MVP Windows Server - Directory Services
    MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
    Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
    FaceBook Twitter LinkedIn

    lundi 28 janvier 2013 21:53
  • Par contre P Barth, tu as complété ta première réponse en y faisant une référence à procmon, rassure-moi ?

    J'avoue que je n'ai pas compris.

    Je parle effectivement d'utiliser procmon pour vérifier les accessdenied, comme vous l'avez précisé.


    mardi 29 janvier 2013 08:23