bon j'ai finalement trouvé dans l'aide de windows, tout betement....
Je le copie colle si ça interresse quelqu'un...
si quelqu'un a une suggestion pour mon soucis de gravure je prend !
Paramètres de sécurité par défaut
Il existe trois niveaux de sécurité fondamentaux accordés aux utilisateurs. Ceux-ci sont accordés aux utilisateurs finaux par le biais des groupes d'appartenance Utilisateurs, Utilisateurs avec pouvoir ou Administrateurs.
Administrateurs
L'ajout d'utilisateurs au groupe Utilisateurs est l'option la plus sécurisée, parce que les autorisations par défaut allouées à ce groupe n'autorisent pas les membres à modifier les paramètres du système d'exploitation ou d'autres données utilisateur. Toutefois, les autorisations de niveau utilisateur ne permettent pas toujours aux utilisateurs d'exécuter correctement des applications héritées Les membres du groupe Utilisateurs sont uniquement assurés de pouvoir exécuter des programmes certifiés Windows. Pour plus d'informations sur le Programme certifié pour Windows, consultez le Microsoft Web site.(http://msdn.microsoft.com) Par conséquent, seules des personnes dignes de confiance dans l'entreprise doivent être membres de ce groupe.
Idéalement, l'accès administratif ne doit être utilisé que pour :
• Installer le système d'exploitation et ses composants (comme les pilotes de matériel, les périphériques du système et ainsi de suite).
• Installer Service Packs et Windows Packs.
• Mettre à niveau le système d'exploitation.
• Réparer le système d'exploitation.
• Configurer des paramètres critiques du système d'exploitation (tels que la stratégie de mot de passe, le contrôle d'accès, la stratégie d'audit, la configuration du pilote en mode noyau et ainsi de suite).
• S’approprier des fichiers devenus inaccessibles.
• Gérer les journaux d'audit et de sécurité.
• Sauvegarder et restaurer le système.
En pratique, les comptes Administrateur doivent souvent être utilisés pour installer et exécuter des programmes écrits pour des versions de Windows antérieures à Windows 2000.
Utilisateurs avec pouvoir
Le groupe Utilisateurs avec pouvoir fournit principalement une compatibilité ascendante pour l'exécution d'applications non certifiées. Les autorisations par défaut allouées à ce groupe permettent à ses membres de modifier les paramètres d'ordinateur. Si des applications non certifiées doivent être prises en charge, les utilisateurs finaux doivent faire partie du groupe Utilisateurs avec pouvoir.
Les membres du groupe Utilisateurs avec pouvoir possèdent plus d'autorisations que ceux du groupe Utilisateurs et moins que ceux du groupe Administrateurs. Les utilisateurs avec pouvoir peuvent exécuter toutes les tâches du système d'exploitation sauf celles réservées au groupe Administrateurs. Les paramètres de sécurité par défaut de Windows 2000 et de Windows XP Professionnel pour les Utilisateurs avec pouvoir sont très semblables aux paramètres de sécurité par défaut pour les Utilisateurs de Windows NT 4.0. Tous les programmes qu'un utilisateur peut exécuter dans Windows NT 4.0, un Utilisateur avec pouvoir peut les exécuter dans Windows 2000 ou dans Windows XP Professionnel.
Les Utilisateurs avec pouvoir peuvent :
• exécuter des applications héritées, en plus des applications certifiées Windows 2000 ou Windows XP Professionnel ;
• installer des programmes qui ne modifient pas les fichier du système d'exploitation ou installer des services système ;
• personnaliser des ressources système, telles que les imprimantes, l'heure, la date, les options d'énergie et d'autres ressources du Panneau de configuration ;
• créer et gérer des comptes d'utilisateur et des groupes locaux ;
• arrêter et démarrer les services système qui ne sont pas démarrés par défaut.
Les Utilisateurs avec pouvoir n'ont pas l'autorisation de s'ajouter eux-mêmes au groupe Administrateurs. Les Utilisateurs avec pouvoir n'ont pas accès aux données des autres utilisateurs sur un volume NTFS, sauf lorsque ces utilisateurs leur accordent l'autorisation.
Attention
• Si vous exécutez des programmes hérités sous Windows 2000 ou Windows XP Professionnel, cela vous oblige souvent à modifier l'accès à certains paramètres système. Les mêmes autorisations par défaut qui permettent aux Utilisateurs avec pouvoir d'exécuter des programmes hérités donnent également à un Utilisateur avec pouvoir la possibilité d'acquérir des privilèges supplémentaires sur le système, voire d'exercer un contrôle administratif complet. Il est donc important de déployer des programmes certifiés Windows 2000 ou Windows XP Professionnel pour optimiser la sécurité sans renoncer aux fonctionnalités des programmes. Les programmes certifiés peuvent s'exécuter dans la configuration Sécurisé offerte par le groupe Utilisateurs. Pour plus d'informations, consultez la page Security sur le Microsoft Web site(http://www.microsoft.com).
• Étant donné que les Utilisateurs avec pouvoir peuvent installer ou modifier des programmes, l'exécution en tant qu'Utilisateur avec pouvoir dans le cadre d'une connexion à Internet peut rendre le système vulnérable face aux programmes de type cheval de Troie et aux autres risques relatifs à la sécurité.
Utilisateurs
Le groupe Utilisateurs est le plus sécurisé, parce que les autorisations par défaut allouées à ce groupe n'autorisent pas les membres à modifier les paramètres du système d'exploitation ou d'autres données utilisateur.
Le groupe Utilisateurs fournit l'environnement le plus sûr dans lequel exécuter des applications. Sur un volume au format NTFS, les paramètres de sécurité par défaut sur un système nouvellement installé (et non mis à niveau) sont conçus pour que les membres de ce groupe ne puissent par compromettre l’intégrité du système d’exploitation et des applications installées. Les utilisateurs ne peuvent pas modifier les paramètres de registre système, les fichiers du système d'exploitation ou les fichiers de programme. Ils peuvent fermer des postes de travail, mais pas des serveurs. Ils ont la possibilité de créer des groupes locaux, mais ne peuvent gérer que les groupes locaux qu'ils ont créés. Ils peuvent exécuter des programmes certifiés Windows 2000 ou Windows XP Professionnel qui ont été installés ou déployés par des administrateurs. Les Utilisateurs bénéficient d'un contrôle complet sur la totalité de leurs propres fichiers de données (%userprofile%) et sur la partie du registre les concernant (HKEY_CURRENT_USER).
Toutefois, les autorisations de niveau utilisateur ne permettent pas toujours aux utilisateurs d'exécuter correctement des applications héritées. Seuls les membres du groupe Utilisateurs ont l'assurance de pouvoir exécuter des applications certifiées pour Windows. Pour plus d'informations, consultez le Programme certifié pour Windows sur le Microsoft Web site. (http://msdn.microsoft.com)
Pour sécuriser un système Windows 2000 ou Windows XP Professionnel, un administrateur doit :
• s'assurer que les utilisateurs finaux sont membres uniquement du groupe Utilisateurs ;
• déployer des programmes que les membres du groupe Utilisateurs pourront exécuter correctement, tels que les programmes certifiés Windows 2000 ou Windows XP Professionnel.
Les utilisateurs ne pourront pas exécuter la plupart des programmes écrits pour les versions de Windows antérieures à Windows 2000, car ces dernières ne prennent pas en charge le système de fichiers et la sécurité du Registre (Windows 95 et Windows 98) ou les programmes livrés avec des paramètres de sécurité par défaut Si vous avez des problèmes pour exécuter des applications héritées sur un système NTFS récemment installé, exécutez une des procédures suivantes :
1. Installez les nouvelles versions des applications qui sont certifiées pour Windows 2000 ou Windows XP Professionnel.
2. Faites passer les utilisateurs du groupe Utilisateurs au groupe Utilisateurs avec pouvoir.
3. Réduisez les autorisations de sécurité par défaut pour le groupe Utilisateurs. Pour ce faire, vous pouvez utiliser le modèle de sécurité Compatible.
Opérateurs de sauvegarde
Les membres du groupe Opérateurs de sauvegarde peuvent sauvegarder et restaurer des fichiers sur l'ordinateur, indépendamment des autorisations protégeant ces fichiers. Ils peuvent également ouvrir une session sur l'ordinateur et arrêter celui-ci, mais ils n'ont pas la possibilité de modifier les paramètres de sécurité.
Attention
• Pour sauvegarder et restaurer des fichiers de données et des fichiers système, il faut disposer des autorisations de lecture et d'écriture sur ces fichiers. Les mêmes autorisations par défaut accordées aux Opérateurs de sauvegarde et qui permettent à ces derniers de sauvegarder et de restaurer des fichiers leur donnent également la possibilité d'utiliser les autorisations des groupes à d'autres fins, par exemple pour lire les fichiers d'un autre utilisateur ou pour installer des programmes de type cheval de Troie. Les paramètres de Stratégie de groupe peuvent servir à créer un environnement dans lequel les Opérateurs de sauvegarde sont les seuls à pouvoir exécuter un programme de sauvegarde. Pour plus d'informations, consultez la page Security de Microsoft sur le Microsoft Web site(http://www.microsoft.com).
Groupes spéciaux
Plusieurs groupes supplémentaires sont automatiquement créés par Windows 2000 et Windows XP Professionnel.
Lorsqu'un système Windows 2000 est mis à niveau vers Windows XP Professionnel, les ressources disposant d'entrées d'autorisation pour le groupe Tout le monde (et non explicitement pour le groupe Ouverture de session anonyme) ne seront plus disponibles pour les Utilisateurs anonymes après la mise à niveau. Dans la plupart des cas, c'est une restriction appropriée pour l'accès anonyme. Il peut être nécessaire d'autoriser l'accès anonyme afin de prendre en charge les applications préexistantes qui en ont besoin. Si vous devez accorder un accès au groupe Ouverture de session anonyme, vous devez ajouter explicitement le groupe de sécurité Ouverture de session anonyme et ses autorisations.
Toutefois, dans les cas où il peut s'avérer difficile de déterminer et de modifier les entrées d'autorisation sur les ressources hébergées sur les ordinateurs Windows XP Professionnel, vous pouvez changer le paramètres de sécurité Accès réseau : Permettre aux autorisations Tout le monde de s'appliquer aux utilisateurs anonymes.
- Interactif. Ce groupe contient l’utilisateur ayant actuellement ouvert une session sur l’ordinateur. Au cours d'une mise à niveau vers Windows 2000 ou Windows XP Professionnel, les membres du groupe Interfactif seront aussi ajoutés au groupe Utilisateurs avec pouvoir, de sorte que les applications héritées continuent à fonctionner comme avant la mise à niveau.
- Réseau. Ce groupe contient tous les utilisateurs qui accèdent actuellement au système par le réseau.
- Utilisateur de Terminal Server. Quand les serveurs Terminal Server sont installés en mode serveur d’applications, ce groupe contient tous les utilisateurs ayant actuellement ouvert une session sur le système à l’aide de Terminal Server. Tout programme pouvant être exécuté par un utilisateur de Windows NT 4.0 pourra être exécuté pour un Utilisateur de Terminal Server dans Windows 2000 ou Windows XP Professionnel. Les autorisations par défaut attribuées au groupe ont été choisies pour autoriser un Utilisateur de Termin al Server à exécuter la plupart des programmes hérités.
Attention
• L'exécution de programmes hérités dans Windows 2000 ou Windows XP Professionnel nécessite l' autorisation de modifier certains paramètres système. Les mêmes autorisations par défaut qui permettent à un utilisateur de Terminal Server d'exécuter des programmes hérités donnent également à un utilisateur de Terminal Server la possibilité d'acquérir des privilèges supplémentaires sur le système, voire d'exercer un contrôle administratif complet. Les applications certifiées pour Windows 2000 ou Windows XP Professionnel peuvent également s'exécuter correctement sous la configuration sécurisée fournie par le groupe Utilisateurs. Pour plus d'informations, consultez la page Security de Microsoft sur le Microsoft Web site(http://www.microsoft.com).
• Les comptes locaux créés sur l'ordinateur local sont créés sans mots de passe et ajoutés au groupe Administrateurs par défaut. Si ceci représente un problème, le Gestionnaire de configuration de sécurité vous permet de contrôler l'appartenance au groupe Administrateurs (ou à tout autre groupe), grâce à la stratégie Groupes restreints. Pour plus d'informations, consultez Groupes restreints.
Quand Terminal Server est installé en mode d’administration à distance, les utilisateurs ayant ouvert une session à l'aide de Terminal Server ne sont pas membres de ce groupe.
Message édité par xanack le 23-10-2008 à 13:01:02