Lancer une application à partir d’un compte limité
Comment faire fonctionner une application à partir d’un compte d’utilisateur ne possédant pas de privilèges d’administrateur ?
Problèmes sur les comptes d’utilisateurs avec ou sans pouvoirs
Cette page s’appuie sur certains articles de ce Blog : http://blogs.msdn.com/aaron_margosis.
Vous pourrez vous apercevoir que si vous créez un compte ne possédant pas des privilèges d’administrateur certaines fonctionnalités ne sont plus accessibles. De plus, de nombreuses applications ne marcheront pas ou plus de manière satisfaisante.
Il y a principalement deux méthodes vous permettant de donner un certain nombre de droits à des utilisateurs limités.
Voyons deux cas de figure possibles :
A partir d’un compte limité il n’est pas possible de modifier par exemple votre fuseau horaire. Vous aurez ce type d’erreur :
« Vous n’avez pas les droits requis pour modifier l’heure du système »
1.Dans l’éditeur des stratégies de groupe déroulez cette arborescence : Stratégie Ordinateur local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Attribution des droits utilisateur.
2.Ouvrez cette stratégie : Modifier l’heure système.
3.Cliquez sur le bouton Ajouter un utilisateur ou un groupe…
4.Cliquez sur les boutons Avancé… puis Rechercher.
5.Dans la colonne Nom (RDN) sélectionnez le nom d’utilisateur puis cliquez trois fois sur OK.
Si vous disposez de la version HOME de Windows XP utilisez un utilitaire nommé NTRights et tapez cette commande :
ntrights -u Nom_Utilisateur +r SeSystemtimePrivilege
Par ailleurs, il n’est pas possible de changer les options d’alimentation quand vous êtes utilisateur limité. Faites ce test :
1.Ouvrez le Panneau de configuration puis le module Options d’alimentation.
2.Cliquez sur l’onglet Avancé.
3.Décochez par exemple la case Demander un mot de passe lorsque l’ordinateur quitte la mise en veille.
Vous obtiendrez une boîte de dialogue affichant ce message : « Le gestionnaire de stratégie d’alimentation n’a pas pu appliquer cette stratégie – Accès refusé ».
Voici une manière simple de vérifier de quoi il retourne :
Toujours à partir du compte limité, lancez Regmon en l’exécutant en tant qu’administrateur :
1.Avec le bouton droit de la souris cliquez sur le fichier Regmon.exe puis sur le sous-menu Exécuter en tant que…
2.Sélectionnez le nom d’un compte possédant des privilèges d’administrateur puis saisissez son mot de passe.
Notez qu’il est obligatoire que ce compte possède un mot de passe !
Faites le ménage dans les processus qui sont automatiquement chargés en procédant à leur exclusion :
3.Cliquez avec le bouton droit de la souris sur chacun des noms de processus puis sur la commande Exclude Process.
4.Cliquez sur le bouton Filter/Highlight.
5.Cochez les cases Log Opens:, Log Reads:, Log Writes: et Log Errors:.
6.Ouvrez de nouveau le Panneau de configuration puis l’applet Options d’alimentation.
Notez que le processus à analyser est Rundll32.exe.
7.Reproduisez la manipulation qui provoque le même message d’erreur.
Dans la colonne Result vous aurez différentes lignes signalant un problème d’accès refusé (« ACCESS DENIED »).
Ce sont dans l’ordre celles-ci :
◦HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaProperties\PrivateProperties\Joystick\Winmm.
◦HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI.
◦HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg\PowerPolicies.
◦HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg\GlobalPowerPolicy.
Nous avons donc besoin de resserrer les résultats.
8.Cliquez sur Edit/Clear Display.
9.Reproduisez encore la même erreur en cochant la même case que précédemment.
Regmon ne listera cette fois-ci que les clés contenues dans cette arborescence :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg.
10.Connectez-vous maintenant sur le compte possédant des privilèges d’administrateur.
11.Lancez le Registre puis ouvrez l’arborescence que nous avons repérée.
12.Avec le bouton droit de la souris cliquez sur la clé PowerCfg puis sur le sous-menu Autorisations…
13.Cliquez sur les boutons Ajouter…, Avancé… et Rechercher.
Vous pouvez sélectionner le groupe INTERACTIF, un nom d’utilisateur ou un groupe en particulier.
14.Cliquez deux fois sur OK puis cochez la case Contrôle total.
Notez que vous pouvez paramétrer plus finement les autorisations en cliquant sur les boutons Paramètres avancés et Modifier…
15.Cliquez sur les boutons Appliquer et OK.
16.Connectez-vous maintenant sur le comte d’utilisateur limité.
Toutes les commandes fonctionnent maintenant normalement.
Autre exemple : si, à partir d’un compte limité, vous utilisez la commande Shutdown pour éteindre votre ordinateur vous aurez ce type d’erreur : « Le client ne dispose pas d’un privilège nécessaire ».
Là encore nous allons utiliser NTRights et lancer cette commande :
ntrights -u interactif +r SeRemoteShutdownPrivilege
Vous pouvez aussi ajouter le groupe Interactif à cette stratégie : Forcer l’arrêt à partir d’un système distant.
Notez que par défaut la stratégie Forcer l’arrêt du système est correctement paramétrée.
Nous allons maintenant passer à la vitesse supérieure et nous servir d’un outil nommé LUA Buglight.
Vous pouvez télécharger l’archive ZIP à partir de cette adresse : http://blogs.msdn.com/aaron_margosis/archive/2006/08/07/LuaBuglight.aspx.
1.Cliquez simplement sur ce lien : LuaBuglight.SelfExtracting.exe.v1.0.10.zip.
2.Décompressez l’archive ZIP en créant un répertoire qui sera accessible au compte d’utilisateur limité.
Notez que cet outil ne se lance pas à partir d’un compte possédant des droits d’administrateur !
3.Double-cliquez sur un fichier nommé LuaBuglight.exe.
4.Dans la zone de texte Local Administrator name: saisissez : administrateur
5.Juste en dessous tapez le mot de passe attaché au compte.
6.Dans la zone de texte Password for non-admin account, tapez le mot de passe attaché au compte que vous testez.
7.Cliquez sur l’onglet Target App puis sur le bouton Browse.
8.Sélectionnez le ficher exécutable de l’application que vous allez tracée.
9.Cliquez sur l’onglet Output Options puis sur le bouton Browse.
10.Sélectionnez un nom de dossier accessible à partir du compte d’utilisateur limité.
11.Dans la zone de texte Nom du fichier: tapez un nom de fichier puis cliquez sur le bouton Enregistrer.
Notez que c’est un fichier XML qui sera généré.
12.Cliquez sur l’onglet Run… puis sur le bouton START APP.
Une fois le processus de traçage fini cliquez sur le bouton Stop Logging si vous souhaitez vérifier le fonctionnement d’une autre application.
13.Fermez cette fenêtre en cliquant sur le bouton Close puis double-cliquez sur le fichier LuaBuglightReporter.exe.
14.Cliquez sur le bouton Open Report File puis ouvrez le dossier contenant le fichier journal portant l’extension .xml.
15.Avec le bouton droit de la souris cliquez sur ce fichier puis sur la commande Modifier.
Vérifiez qu’il n’y a pas d’accent dans les noms d’utilisateurs répertoriés.
Le problème se pose sur ce nom de groupe : Utilisateurs avec privilèges.
Auquel cas remplacez toutes les occurrences de la lettre accentuée par son équivalent non accentué (e pour é par exemple).
16.Enregistrez les modifications puis ouvrez le fichier.
J’ai procédé à un test en essayant de lancer Regmon à partir d’un compte limité.
Le rapport indique ceci :
File 1: C:\WINDOWS\system32\Drivers\REGSYS701.SYS
Operation(s): CreateFileW
Access: GenericWrite
Registry 1: HKLM\SYSTEM\CurrentControlSet\Services\REGMON701
Access required = 0×10000
Delete
APIs
RegDeleteKeyA
Privilege2: SeDebugPrivilege
Operation(s): AdjustTokenPrivileges
Privilege2: SeLoadDriverPrivilege
Operation(s): AdjustTokenPrivileges
Nous avons donc trois types de restrictions :
•Problème d’accès au Registre;
•Problème d’accès à l’Explorateur Windows;
•Problèmes de privilèges.
Il suffit donc :
•D’accorder les autorisations nécessaires sur cette arborescence du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
•D’appliquer la même procédure sur ce répertoire de l’Explorateur Windows : \WINDOWS\system32\Drivers.
•De modifier les deux privilèges manquants :
1.Cliquez sur Démarrer/Exécuter puis tapez : gpedit.msc.
2.Ouvrez cette arborescence : Stratégie Ordinateur local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Attribution des droits utilisateur.
3.Ouvrez cette stratégie : Charger et décharger des pilotes de périphériques.
4.Cliquez sur le bouton Ajouter un utilisateur ou un groupe…
5.Cliquez sur les boutons Avancé… puis Rechercher.
6.Dans la colonne Nom (RDN) sélectionnez le nom d’utilisateur puis cliquez trois fois sur OK.
7.Refaites la même opération pour cette stratégie : Déboguer des programmes.
8.Fermez cette session puis ouvrez une session sur le compte limité.
9.Lancez Regmon.
Il n’y a plus aucun problème !
