Lorsque vous sélectionnez Continuer pour l’accès aux dossiers dans Windows Explorer, votre compte d’utilisateur est ajouté à la ACL du dossier.

Cet article fournit une solution à un problème lorsque vous sélectionnez Continuer à accéder à un dossier du système de fichiers pour lequel vous ne disposez pas d’autorisations de lecture.

S’applique à :   Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la ko d’origine :   950934

Introduction

Cet article décrit un scénario dans lequel l’Explorateur Windows vous invite à sélectionner Continuer à accéder à un dossier de système de fichiers pour lequel vous n’avez pas d’autorisations lecture. Il décrit également les solutions de contournement pour éviter des aspects particuliers de ce comportement. This issue occurs in Windows Vista and later versions of Windows and in Windows Server 2008 and later versions of Windows Server. Windows L’Explorateur de fichiers est appelé Explorateur de Windows 8 versions ultérieures.

Plus d’informations

Supposons que le contrôle de compte d’utilisateur (UAC) est activé et que vous utilisez Windows Explorer pour accéder à un dossier pour lequel vous n’avez pas d’autorisations de lecture. En outre, le dossier n’est pas marqué par les attributs Hidden et System. Dans ce cas, Windows’Explorateur affiche une boîte de dialogue qui vous invite à envoyer le message suivant :

Vous n’êtes actuellement pas autorisé à accéder à ce dossier. Cliquez sur Continuer pour accéder définitivement à ce dossier.

Notes

Dans Windows Vista et Windows Server 2008, la deuxième phrase n’inclut pas le mot définitivement . Il suffit de cliquer sur Continuer pour accéder à ce dossier.

Vous pouvez ensuite sélectionner Continuer ou Annuler. (Continue est sélectionné par défaut.) Si vous sélectionnez Continuer, UAC tente d’obtenir des droits d’administration en votre nom. Selon les paramètres de sécurité UAC qui contrôlent le comportement de l’invite d’élévation UAC et selon que vous êtes membre du groupe Administrateurs, vous pouvez être invité à donner votre consentement ou à obtenir des informations d’identification. Sinon, vous n’êtes peut-être pas invité à le faire. Si l’UAC peut obtenir des droits d’administration, un processus en arrière-plan modifie les autorisations sur le dossier et sur tous ses sous-dossiers et fichiers, pour accorder à votre compte d’utilisateur l’accès à ces derniers. Dans Windows Vista et Windows Server 2008, le processus en arrière-plan accorde à votre compte d’utilisateur des autorisations de lecture et d’exécution. Dans les versions ultérieures Windows, ce processus accorde à votre compte d’utilisateur un contrôle total.

Ce comportement est inhérent au produit. Toutefois, étant donné que le modèle classique avec l’élévation de contrôle d’accès au client est d’exécuter une instance du programme élevé avec des droits d’administration, les utilisateurs peuvent s’attendre à ce qu’en sélectionnant Continuer, qui génère une instance élevée de l’Explorateur Windows, et ne modifie pas définitivement les autorisations du système de fichiers. Toutefois, cette attente n’est pas possible, car la conception de Windows Explorer ne prend pas en charge l’exécution de plusieurs instances de processus dans différents contextes de sécurité dans une session utilisateur interactive.

Si le UAC est désactivé, l’élévation du UAC n’est pas possible. Tous les programmes exécutés par les membres du groupe Administrateurs, y compris Windows Explorer, ont toujours des droits d’administration. Ainsi, les administrateurs n’ont pas besoin d’utiliser l’élévation pour accéder aux ressources nécessitant des droits d’administration. Par exemple, si un dossier accorde l’accès uniquement au groupe Administrateurs et au compte système, un administrateur peut le parcourir directement sans être invité à modifier les autorisations du dossier. Si l’utilisateur n’a pas d’autorisations lecture, Windows Explorer affiche la boîte de dialogue décrite précédemment. Toutefois, si le contrôle de compte d’utilisateur est désactivé, Windows ne peut pas demander d’informations d’identification administratives pour l’utilisateur via une invite d’élévation UAC. Par Windows ne démarrez pas un processus en arrière-plan avec des autorisations administratives pour modifier les autorisations du système de fichiers.

Toutefois, si l’utilisateur sélectionne Continuer et que le descripteur de sécurité actuel du dossier accorde à l’utilisateur l’autorisation de lire et de modifier les autorisations de l’objet, Windows démarre le processus en arrière-plan dans le contexte de sécurité actuel de l’utilisateur et modifie les autorisations du dossier pour accorder à l’utilisateur un accès plus important, comme décrit précédemment. L’utilisateur peut avoir l’autorisation de lire et de modifier les autorisations de l’objet de la propriété de l’objet ou de la liste de contrôle d’accès (ACL) de l’objet.

Problèmes connus

Cette fonctionnalité peut entraîner un comportement inattendu. Par exemple, supposons que vous appartenez au groupe Administrateurs et que vous utilisez Windows Explorer pour accéder à un dossier nécessitant un accès administratif. Une fois les autorisations modifiées, tout programme en cours d’exécution via votre compte d’utilisateur peut avoir un contrôle total sur le dossier, même si le programme n’est pas élevé et même après la suppression de votre compte du groupe Administrateurs. Ces autorisations modifiées peuvent enfreindre les stratégies de sécurité d’une organisation et être signalées dans un audit de sécurité. En outre, si un programme vérifie les autorisations du système de fichiers, il peut refuser de s’exécuter si les autorisations ont été modifiées.

Le contrôle de compte d’utilisateur doit rester activé dans tous les cas sauf dans les circonstances contraintes décrites dans la description de la désactivation du contrôle de compte d’utilisateur (UAC) sur Windows Server.

Solution de contournement 1

Pour éviter de modifier les autorisations dans un dossier accessible uniquement aux administrateurs, envisagez d’utiliser un autre programme qui peut s’exécuter avec élévation de Windows Explorer. Exemples : invite de commandes, PowerShell et le logiciel en snap-in MMC Gestion de l’ordinateur pour la gestion des partages.

Solution de contournement 2

Si vous avez un dossier spécifique à l’application verrouillé pour empêcher les utilisateurs ordinaires d’y accéder, vous pouvez également ajouter des autorisations pour un groupe personnalisé, puis ajouter des utilisateurs autorisés à ce groupe. Par exemple, envisagez un scénario dans lequel un dossier spécifique à l’application accorde l’accès uniquement au groupe Administrateurs et au compte système. Dans ce cas, créez un domaine ou un groupe AppManagers local, puis ajoutez-y des utilisateurs autorisés. Ensuite, utilisez un utilitaire tel que icacls.exe, l’onglet sécurité de la boîte de dialogue Propriétés du dossier ou l’cmdlet PowerShell Set-Acl pour accorder au groupe AppManagers le contrôle total du dossier, en plus des autorisations existantes.

Les utilisateurs membres d’AppManagers peuvent utiliser Windows Explorer pour parcourir le dossier sans qu’UAC n’a à modifier les autorisations du dossier. Cette alternative s’applique uniquement aux dossiers propres à l’application. Vous ne devez jamais apporter de modifications d’autorisation aux dossiers qui font partie du Windows d’exploitation, par C:\Windows\ServiceProfiles exemple.