none
Windows 10 Pro - Avoir la possibilité d'installer des applications sans être membre du groupe Administrateurs RRS feed

  • Question

  • Bonjour,

    Il s'agit de l'ordinateur de mes enfants installé avec Windows 10 Pro.

    Je précise qu'il s'agit d'une machine qui ne sera pas connectée à un domaine Windows.

    Actuellement, ils ont un compte standard, mais je dois intervenir dés qu'ils veulent installer un truc sur l'ordinateur .. je trouve le fonctionnement très lourd. En même temps, je ne souhaite pas qu'ils aient un compte admin.

    Je souhaite permettre l'ajout de logiciels, et toutes les petites opérations du quotidiens que des gamins peuvent vouloir faire sur un ordi.

    Par contre, je souhaite verrouiller l'accès à certaines fonctionnalités comme les paramètres réseaux en priorité.

    J'ai essayé de les mettre dans le groupe "Utilisateurs avec pouvoir", mais ça ne change rien, et il semble que ce groupe serve en fait à gérer des pb de compatibilité avec les versions antérieurs de Windows.

    J'ai regardé GPEdit.msc, c'est sans doute une piste, mais j'avoue ne pas savoir par quel bout prendre le problème. 

    D'avance merci pour votre aide

    Damien


    mercredi 3 janvier 2018 11:13

Réponses

  • Bonjour,

    Avant tout, il faut comprendre pourquoi un membre du groupe Administrateurs peut installer un programme alors que les autres utilisateurs ne le peuvent pas toujours.

    Il existe 3 mécanismes qui bloquent les non-administrateurs :

    • Certaines stratégies Windows via gpedit.msc : elles sont modifiables.
    • Autorisations d'écriture NTFS sur certains dossiers réservées aux membres du groupe Administrateurs : elles sont modifiables.
    • Autorisations d'écriture Base de registre sur certaines clefs réservées aux membres du groupe Administrateurs : elles sont modifiables.

    Techniquement, il est donc possible de changer les autorisations qui vous interdisent par exemple d'écrire dans C:\Programmes si vous n'êtes pas membre du groupe Administrateurs. Idem pour la Base de registre, bien que cela soit un peu moins simple.

    Le problème est qu'en faisant ces modifications, vous réduisez à néant la sécurité de Windows. C'est la raison pour laquelle, il est complètement déconseillé de procéder à ces modifications.

    D'autant plus, qu'au final, vous risquez de faire plus de "mal" que si vous aviez autorisé un compte à être membre du groupe Administrateurs.

    Si d'aventures, vous trouvez raisonnable de leur accorder l'administration de Windows, faites une sauvegarde système auparavant : Panneau de configuration puis Sauvegarder et restaurer (Windows 7) : sic > Créer une image système puis ensuite Créer un disque de réparation système.


    Claude Couderc Consultant IIS, SharePoint, Exchange, Windows http://coudr.com


    • Modifié Claude Couderc mercredi 3 janvier 2018 11:53
    • Marqué comme réponse Damzz mercredi 3 janvier 2018 18:48
    mercredi 3 janvier 2018 11:53

Toutes les réponses

  • Bonjour,

    Avant tout, il faut comprendre pourquoi un membre du groupe Administrateurs peut installer un programme alors que les autres utilisateurs ne le peuvent pas toujours.

    Il existe 3 mécanismes qui bloquent les non-administrateurs :

    • Certaines stratégies Windows via gpedit.msc : elles sont modifiables.
    • Autorisations d'écriture NTFS sur certains dossiers réservées aux membres du groupe Administrateurs : elles sont modifiables.
    • Autorisations d'écriture Base de registre sur certaines clefs réservées aux membres du groupe Administrateurs : elles sont modifiables.

    Techniquement, il est donc possible de changer les autorisations qui vous interdisent par exemple d'écrire dans C:\Programmes si vous n'êtes pas membre du groupe Administrateurs. Idem pour la Base de registre, bien que cela soit un peu moins simple.

    Le problème est qu'en faisant ces modifications, vous réduisez à néant la sécurité de Windows. C'est la raison pour laquelle, il est complètement déconseillé de procéder à ces modifications.

    D'autant plus, qu'au final, vous risquez de faire plus de "mal" que si vous aviez autorisé un compte à être membre du groupe Administrateurs.

    Si d'aventures, vous trouvez raisonnable de leur accorder l'administration de Windows, faites une sauvegarde système auparavant : Panneau de configuration puis Sauvegarder et restaurer (Windows 7) : sic > Créer une image système puis ensuite Créer un disque de réparation système.


    Claude Couderc Consultant IIS, SharePoint, Exchange, Windows http://coudr.com


    • Modifié Claude Couderc mercredi 3 janvier 2018 11:53
    • Marqué comme réponse Damzz mercredi 3 janvier 2018 18:48
    mercredi 3 janvier 2018 11:53
  • Merci pour votre réponse.

    C'est une mauvaise nouvelle qd même ... je pensais qu'il y avait un mode de fonctionnement plus souple que ça.

    Au final, je souhaite juste verrouiller les DNS ce qui me permettra de mettre en place un contrôle parental.

    A la limite, je peux donner les droits "Administrateurs", et empêcher d'aller modifier ces DNS en paramétrant l'option "Interdire la configuration avancée de TCP/IP" via gpedit depuis les comptes en questions.

    J'ai encore un peu de marge avant la bidouille via gpedit de leur ordinateur ;-)

    Possible ça ?


    mercredi 3 janvier 2018 13:25