Je ne sais pas si vous partagez votre ordinateur avec d’autres personnes, ou si vous gérez un parc, mais il est fort probable que pour des raisons de sécurité, vous ayez accordé uniquement des droits restreints aux autres utilisateurs. En effet, pour éviter tout problème, il vaut mieux qu’ils ne soient pas admins sur la machine.
Mais il arrive parfois que certaines applications indispensables à certaines personnes exigent des droits admin. Et là, on ne peut malheureusement pas faire grand-chose, à moins de leur communiquer un mot de passe admin ou carrément d’upgrader leur compte pour qu’ils soient eux aussi administrateurs du PC.
Mais heureusement il existe une solution pour contourner ce problème. C’est un petit soft Windows baptisé RunAsTool qui permet une fois lancé (et déverrouillée avec le mot de passe admin), de définir une liste d’applications autorisées à être lancé avec les droits admin.
Ensuite, dès que cette liste est prête, votre utilisateur n’a plus qu’à lancer RunAs Tool dans sa version « Limitée » pour lancer les applications dont il a besoin.
Ainsi, vous pourrez garder un contrôle total sur ces utilisateurs sans les brider si certaines applications ont besoin d’un peu plus de droits.
Pratique non ?
Bonjour Korben,
soft qui à lair genial, en apparence mais qui comme tous les soft du genre cache une grosse faille de sécurité (à vérifier dans les dèrniere version)
ses produit utilisent en general une api windows a qui on passe en clair le compte et le mot de passe administrateur
manque de bol il existe un utilitaire capable de l’intercepter : api monitor
plus d’info :
apparemment des logiciel pro proposé par beyond secure soft passerais à travers mais à verifier
Tout à fait daccord sur les avertissements liés à la sécurité du pass quand on utilise ce genre d’applications.
Je préfère encore utiliser Microsoft Application Compatibility Toolkit (ACT). Cette solution officielle permettant de faire ce genre de choses, pourquoi dès lors passer par des applications tierces ?
Pour faire ca avec ACT, il faut lancer ce programme avec le compte administrateur, créer une base de données, y ajouter un fix “RunAsInvoker” pour le programme ciblé puis File -> Installer la base de données. Rien de bien compliqué !
Et puis on peut aussi utiliser Set-Acl pour faire ce genre de choses, ou en complément, particulièrement par exemple si le programme ciblé lance des services normalement protégés par UAC… Y’a peut-être moyen de faire ça aussi avec ACT, mais je ne suis pas un “pro” de ce soft.
J’ai récemment utilisé ce combo pour pouvoir lancer wampmanager sur ma session non admin tout en bypassant la fenêtre UAC, et ça marche niquel en utilisant directement le .exe du programme cible, même pas besoin d’utiliser un “launcher” ou un raccourci spécial.
Et aussi, sans avoir à installer une application supplémentaire, il y a le bon vieux raccourci sur une commande “runas /savecred” qui fait le job.
Rustique mais efficace.
CF Option 2 ici
Bien entendu, comme la commande cible s’exécute avec les droits admin, attention à tout possible acces au système en tant qu’admin rendu possible via cette dernière (par exemple une simple boite de dialogue “fichier” -> “ouvrir”). D’ou la remarque sur le potentiel “security hole”.