Bonjour,
 
Pouvez-vous me donner des retours sur les difficultés que vous rencontrés sur un parc de machines avec l'UAC activé ?
Je souhaite activer la fonctionnalité mais je veux bien avoir des avis dans d'autres infra que la mienne
 
Merci bien à vous  

UAC pose beaucoup moins de problème maintenant.
Il reste des éditeurs qui obligent le désactiver pour faire fonctionner leur logiciel.
Mais sinon il n'y a pas de raison de le désactiver.

en theorie sur un parc machine les users n'ont pas les droits admin donc le besoin de l'UAC est limité.

ok merci à vous deux, d'autres avis ?

il n'a ya aucun problème avec l'uac, cela fait bien longtemps que cet feature existe, et les éditeurs s'y sont fait.

Clair, le problème n'est pas l'UAC mais les éditeurs.

Cela pose parfois des problèmes avec certains softs Microsoft  

Alors là... exemple...

Certaines version de Dynamics

et au niveau de la configuration UAC, vous avez laissé les paramètres par défaut ?
Il y'en a plusieurs : https://technet.microsoft.com/fr-fr [...] 10%29.aspx
 
Je me pose surtout la question par rapport aux "prompt" pour les utilisateurs. Je ne sais pas si le mieux c'est de laisser activer les prompt ou pas....
 
edit : je parle de ces 2 la :
ConsentPromptBehaviorUser : https://msdn.microsoft.com/en-us/library/cc232762.aspx
PromptOnSecureDesktop : https://msdn.microsoft.com/en-us/library/cc232766.aspx

Ce qui inquiete dans ta démarche c'est que si tu te poses ce genre de questions, c'est que tu dois avoir filé les droits admin à tes utilisateurs.
Je ne vois pas d'autres raisons à se poser la question de laisser du fail par défaut pour l'utilisateur plutot qu' avoir un popup d’élévation de privilèges.

 
Non nos users n'ont pas les droits d'admin.
Ca n'empêche pas d'avoir de l'UAC avec des prompts.
 
Exemple, ils ont une appli qui demande une élévation de privlièges. Comment gère t-on le cas ?
- soit on configure le permit ou deny simple (ce qui marchera pas vu qu'ils ont pas les droits d'admin)
- soit on configure une demande de crédentials (du coup, ils doivent contacter le service informatique pour qu'on ouvre les droits)
- soit on dit qu'ils aillent se faire voir. (refus systématique car c'est du non géré, donc pas notre problème)
 
vois-tu mieux ma problématique ?

Tu fais en sorte que l'application ne demande pas de droits si ce sont des users lambda.

 
En effet, mais du coup, pourquoi tu te poses la question maintenant ?
 
Généralement on se pose ce genre de question quand les utilisateurs étaient en admin sans UAC (donc tout qui passe sans le moindre popup) et qu'on implémente l'UAC avec perte de droits.
 
Si tu avais vraiment l'UAC désactivé avec les users non admin, alors tu étais en deny en permanence, les utilisateurs se faisaient refouler sans raison. Limite sans message explicatif.
 
Donc j'ai du mal à voir pourquoi ça te pose un cas de conscience maintenant puisque tu es en mode "allez vous faire voir" depuis des années.

Oui effectivement actuellement on est en uac désactivé en users non admin.
Vos réflexions sont tellement pertinentes et logiques que j'avais même pas été jusque la
Je me posais surout la question sur des applications hyper pourries que l'on a sur le parc mais c'est vrai que même celles-ci, on devrait pas avoir de soucis quand on va activer l'UAC vu que l'on a configuré proprement les droits d'accès.
 
Du coup, je vais faire un pilote sur plusieurs machines du parc et activer l'UAC et voir ce que ça donne. (je suis quand même hyper frileux prudent héhé)
 
Merci bien  
 

Sinon je sais pas si vous avez remarqué mais quand on utilise l'UI et le curseur UAC, il met ConsentPromptBehaviorAdmin à 2 alors que la valeur par défaut selon Microsoft est 5.
C'est assez étonnant comme truc...
Car effectivement, en 2, j'ai du prompt et pas en 5 (sauf exception regedit.exe)...
 
https://msdn.microsoft.com/en-us/library/cc232761.aspx
0x00000005
 
This option is the default. This option SHOULD be used to prompt the administrator in Admin Approval Mode to select either "Permit" or "Deny" an operation that requires elevation of privilege for any non-Windows binaries. If the Consent Admin selects Permit, the operation will continue with the highest available privilege. This operation will happen on the secure desktop. Windows binaries will be allowed to perform an operation that requires elevation without consent or credentials.
 
edit, bon je suis vraiment un boulet...
2 = le curseur tout en haut
5 = le curseur un cran en dessous = par défaut

2 = sécurité maximale, correspond au niveau de sécurité de l'UAC sous Vista