http://support.microsoft.com/en-us/kb/950934 décrit la manière dont, lorsqu’un membre du groupe Administrateurs utilise l’Explorateur pour naviguer vers un dossier sur lequel le groupe Administrateurs a la permission, l’utilisateur sera invité à “Cliquer sur Continuer pour obtenir un accès permanent à ce dossier”.
Lorsqu’il le fait, l’Explorateur modifie l’ACL du dossier pour accorder à cet utilisateur spécifique le Contrôle total sur le dossier. Le lien MS décrit exactement la contrainte de conception qui nécessite ce comportement.
Cependant, cela ruine l’ensemble des permissions pour ce dossier et rend la gestion centralisée des permissions effectivement impossible. Par exemple, si l’utilisateur nommé est ultérieurement retiré du groupe Administrateurs, cette entrée ACL existe toujours pour lui permettre l’accès à ce dossier.
Je ne cherche pas à désactiver l’UAC (j’aime en fait la distinction entre élevé et non élevé), et je suis disposé à utiliser des outils alternatifs pour naviguer et voir les fichiers de manière élevée.
L’objectif final est d’exécuter l’un des contournements décrits dans le lien MS (soit utiliser un navigateur de fichiers séparé qui peut s’exécuter de manière élevée, soit définir un groupe séparé pour contrôler l’accès aux dossiers en liste blanche) mais, tant que l’Explorateur continue d’écraser les ACL du dossier à volonté, il est impossible d’identifier où ces contournements doivent être appliqués (à moins d’auditer régulièrement chaque dossier pour les changements d’ACL).
Je préférerais simplement avoir le message standard “accès refusé” si je tente d’accéder à un dossier restreint en mode non élevé dans l’Explorateur.
Existe-t-il un paramètre (ponctuel sur chaque machine, ou via GPO) qui supprime cette invite “obtenir un accès permanent”, tout en conservant les autres fonctionnalités de l’UAC ?
NB : Je comprends parfaitement pourquoi cette invite existe, ce qu’elle signifie et pourquoi le comportement est tel (bien que je ne sois pas nécessairement d’accord avec la décision de conception). Cependant, je tiens à préciser que je ne cherche pas à discuter de contournements liés aux pratiques de travail de mes utilisateurs, ni des mérites/pièges de l’UAC ou de l’appartenance au groupe Administrateurs.
Source : [Server Fault](Continue dialog box for folder access in Windows Explorer when user only has access with elevated token - Windows Server | Microsoft Learn](Continue dialog box for folder access in Windows Explorer when user only has access with elevated token - Windows Server | Microsoft Learn)