Aller au contenu principal

Windows : Élever les droits pour un utilisateur régulier pis une appli spécifique

  • Le fait : On a une application qui a besoin, pour bien fonctionner, de droits d’administrateur.
  • Le problème : On veut pas donner des droits d’admin à tout l’monde qui se connecte.
  • Hypothèse : Est-ce qu’on peut donner des droits d’administrateur temporaires (avec une session chronométrée?) juste pour une appli spécifique? Si on utilise MakeMeAdmin : https://github.com/pseymour/MakeMeAdmin/wiki pis les politiques de groupe, ça devrait marcher... à peu près.

MakeMeAdmin

  • D’abord, téléchargeons l’installateur (j’fais ça avec un compte admin) : Téléchargement Git

  • Ensuite, faut qu’on figure combien de temps l’utilisateur va avoir besoin des droits élevés. Dans ce scénario-là, ça va être un maximum de 4 heures.

    • Comme l’wiki l’dit, on peut changer le délai des droits d’admin... faque mettons-le à 4 heures = 240 (minutes) Délai admin

  • Faut créer une clé de registre avec toutes les valeurs mentionnées dans l’wiki : Clé de registre

    HKLM\Software\Sinclair Community College\Make Me Admin

    ** Note : J’ai changé certaines valeurs par défaut pour représenter c’que j’veux ou c’que j’aimerais. Mais pour un test : j’ai mis la valeur du délai des droits d’admin à 5 minutes, pas montré sur l’image**

    • Faut aussi spécifier quel groupe va pouvoir utiliser l’appli : Dans c’te format-là DOMAINE\Nom Liste d’utilisateurs

Ensuite, faut bloquer les droits d’admin pour d’autres applis importantes. Pour ça, j’vais essayer une politique de groupe.

(Ça pourrait aussi être fait avec une GPO)

    gpedit.msc

Ensuite

    Configuration utilisateur > Modèles d’administration > Système

Activer :

  • Empêcher l’accès à l’invite de commandes
  • Ne pas exécuter les applications Windows spécifiées : cmd.exe, powershell.exe, mmc.exe, pwsh.exe, msiexec.exe, taskmgr.exe. Ajouter = powershell_ise.exe. ** Note : cmd.exe pis mmc.exe vont bloquer l’accès à gpedit.msc après coup, faque... fais attention. Si ça arrive, voici où ça s’trouve dans registry.msc :** 
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
    DisallowRun

Redémarre pis connecte-toi avec un utilisateur régulier.

Problème : On dirait que même si ça bloque presque tout, l’Terminal depuis le menu démarrer clic droit est pas bloqué

Désactiver le clic droit sur le bouton Démarrer

Après avoir pas mal lu là-dessus, ça serait plus simple de créer une GPO qui cache ces options-là

  • Ces options sont divisées par groupes (1, 2, 3)

    groups

    • Elles sont situées ici :

         C:\users\default\AppData\Local\Microsoft\Windows\WinX\

    • Faque j’ai créé une nouvelle GPO pis, dans l’édition, j’suis allé dans Config utilisateur ­­­­­­- Préférences - Dossiers pis j’ai ajouté ça pour le groupe que j’veux cacher (Groupe 3).

      GPO

    Note : Pour que ça marche, faut créer 2 mises à jour. Une pour le défaut pis une pour les utilisateurs

        C:\users\default\AppData\Local\Microsoft\Windows\WinX\Group3
        C:\users\%username%\AppData\Local\Microsoft\Windows\WinX\Group3

Un p’tit gpupdate /force pis voilà, plus d’options dans le troisième groupe :

Rightclick