none
UAC demande le login et mot de passe pour tout compte Domain Admin RRS feed

  • Discussion générale

  • Bonjour,

    Je test actuellement les nouveautes du DFL et FFL en 2012 en labo.

    Lorsque je copies le compte Administrateur et que je me logues sur un pc du domain, je peux faire ce que je veux avec l'approbation du UAC.

    Je crées un compte appartenant au même groupes que le précédant compte, et ce compte la doit entrer à chaque opération son login et mot de passe à nouveau.

    Ce qui m'échappe c'est de savoir pourquoi appartenant au même groupes AD (l"AD est clean donc il y a encore aucune GPO de mis en place) le comportement de l'UAC difères uniquemetn sur les postes

    Merci de votre aide

    samedi 25 mai 2013 20:06

Toutes les réponses

  • Hello,

    Je suis aussi confronté (dans un environnement Windows 8 & Windows Server 2012) à des soucis UAC, lorsqu'on le désactive, impossible de lancer des applications Metro... Le soucis fait débat sur les forums US et à ce jour je n'ai pas trouvé de solution...

    Peux-tu préciser dans le détail ton soucis ?!


    -- Cédric GEORGEOT [MVP] Virtual Machine http://www.e-novatic.fr -- Auteur du livre "Bonnes pratiques, planification et dimensionnement des infrastructures de stockage et de serveur en environnement virtuel" -- N'oubliez pas de marquer comme réponse ;-)

    dimanche 26 mai 2013 08:52
    Modérateur
  • Bonsoir,

    la raison est très simple, la GPO concernant UAC contient une exception particulière pour le compte appelé "Administrateur". Celui-ci n'est donc pas du tout touché par les validations permanentes demandées aux autres administrateurs qui sont pourtant membres des mêmes domaines.

    Si l'on ne veut pas valider en permanence, il faudra désactiver UAC, ce qui n'est pas recommandé par Microsoft mais reste souvent nécessaire pour rendre exploitable certaines délégations d'administration par exemple de serveurs de fichiers.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (77 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    dimanche 26 mai 2013 20:55
  • Merci Thierry de ta réponse.

    Est'il possible de rajouter certains utilisateurs la GPO et si oui comment faire ?

    Le but étant que tout le monde à la confirmation de l'UAC mais ne doit pas entrer à nouveau son login et mot de passe.

    En règle je retires un maximum de droits au compte Administrateur, j'actives énormement de logs sur ce compte et j'utilises deux comptes Admin du domain et un en réserve.

    Gontie.


    • Modifié Gontie lundi 27 mai 2013 07:39
    lundi 27 mai 2013 07:37
  • Si c’est inscrit dans la GPO que seule l’Administrateur est une exception de l’UAC, comment se fait ’il alors que si on copie ce compte Administrateur, il est aussi plus sujet à UAC.

    Si je crée un compte ayant les même droits que ces deux comptes (Administrateur originale et sa copie), lui parcontre est sujet partout à l’UAC.

    J’ai comparé les deux comptes via Adsi edit et tout semble similaire.

    Merci.
    vendredi 31 mai 2013 08:36
  • Bonjour,

    L'exception ne fonctionne QUE si le compte s'appelle "Administrateur" (ou "administrator"), c'est à dire le compte qui a le SID terminant en -500. Dès que le compte est copié, il ne profite plus de l'exception.

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (77 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    dimanche 2 juin 2013 10:48
  • Merci Thierry pour té réponse.<o:p></o:p>

    Le problème est que dans mon Lab c'est pas le cas.<o:p></o:p>

    Si je copies le compte Administrateur et je l'apelles admintest, je me loggues sur une machine test (windows 7/8 faisant parti du domaine) je peux faire ce que je veux.<o:p></o:p>

    Je crée maintenant un compte Admin test 2 et je rajoutes exactement les même groupes AD, si je me loggues sur la même machine du domaine, je dois entrer pour chaque étape (regedit, compmgmt.msc, services.msc) mon login et mot de passe à nouveau.<o:p></o:p>

    Cela ne semble pas du tout être cohérent avec tes explications.

    Merci encore de ton aide.


    lundi 3 juin 2013 08:09