Pourquoi dois-je exécuter des commandes en tant qu'administrateur si mon compte est membre d'un groupe d'administrateurs?

Si mon compte est déjà membre du groupe administrateur, pourquoi certaines fonctions sur Windows 7 nécessitent-elles que je les exécute en tant qu'administrateur? Je sorte de pensée qui était implicite?

Lorsque vous vous connectez avec succès à une machine Windows, un jeton d'accès est généré qui représente cette session de connexion. Entre autres choses, ce jeton contient votre nom d'utilisateur et les groupes dont vous êtes membre.

Tous les programmes que vous lancez au cours de cette session ont une référence à ce jeton. Lorsqu'un programme veut faire quelque chose, il présente le jeton d'accès à Windows et Windows l'utilise pour vérifier que l'utilisateur est autorisé à effectuer cette action.

Le problème est que lorsque vous vous connectez en tant qu'administrateur, chaque programme que vous lancez s'exécute en tant qu'administrateur . C'est pratique, mais cela signifie également que les lecteurs de courrier, les éditeurs de texte et tous les programmes aléatoires que vous téléchargez et exécutez ont la possibilité d'arroser votre système s'ils le souhaitent.

C'est le problème que le contrôle de compte d'utilisateur est conçu pour résoudre

Depuis Windows Vista, lorsque les administrateurs se connectent, deux jetons d'accès distincts leur sont attribués:

• Un jeton standard contenant toutes les appartenances aux groupes, à l'exception des «administrateurs».
• Un jeton élevé contenant toutes les appartenances aux groupes, y compris les «administrateurs».

Lors d'une utilisation normale, le jeton d'accès standard est utilisé. Lorsqu'un programme est lancé à l'aide de ce jeton, il dispose des mêmes droits qu'un utilisateur standard. S'il essaie de faire quelque chose auquel seuls les administrateurs ont accès, Windows refusera l'accès car le jeton standard ne contient pas d'appartenance aux administrateurs.

Si vous lancez le programme "En tant qu'administrateur", Windows donne au programme le jeton élevé au lieu du jeton standard. Désormais, chaque fois que l'application tente d'accéder à quelque chose limité aux administrateurs, le jeton contiendra cette appartenance et l'opération réussira.

L'UAC a pour but d'informer l'utilisateur lorsqu'un programme profite de ses privilèges administratifs . Les éditeurs de texte et les lecteurs de courrier ne devraient normalement pas avoir besoin d'être exécutés en tant qu'administrateur, donc voir la boîte de dialogue UAC apparaître pour ces programmes devrait être une source d'alarme, ou du moins un examen minutieux.

L' explication de Microsoft sur l'UAC et certaines étapes pour y faire face sont également disponibles.

L'idée est de fournir le moins de privilèges .

Le principe du moindre privilège est largement reconnu comme une considération de conception importante pour améliorer la protection des données et des fonctionnalités contre les pannes (tolérance aux pannes) et les comportements malveillants (sécurité informatique).

Plus les programmes sont exécutés avec des informations d'identification administratives, plus vous êtes vulnérable aux logiciels défectueux ou malveillants. Le compromis qui vous permet de faire des choses qui nécessitent un accès administratif sans effectuer toutes les actions avec ce niveau d'accès est d'inviter explicitement au cas par cas - simplement parce que vous êtes dans le groupe administratif ne signifie pas que vous voulez fournir tous les programmes que vous utilisation avec pleins pouvoirs administratifs.