none
Supprimer ou réduire les droits Local Admin pour les population de développeurs RRS feed

  • Question

  • Bonjour,

    Je travaille actuellement sur un projet donc l'objectif est de supprimer ou de diminuer sensiblement le nombre de Local Admin sur des postes Windows XP Workstation.

    Il y a différentes populations dont les principales sont :
    - développeurs
    - testeurs
    - support
    - ...

    Concernant la population des développeurs, qui effectuent beaucoup de paramétrages sur leur machine, la tâche n'est pas simple.

    Ces stations de travail sont intégrées dans un domaine. Actuellement je n'ai pas de visibilité à propos de la version des serveurs, mais apparemment ce serait du Windows 2003. (Donc pas possible d'utiliser les GPP)

    Si vous avez déjà travaillé sur ce sujet :
    - quelles sont les best practice ?
    - quel est votre retour d'expérience ?
    - quels problèmes avez-vous rencontré concernant la population des développeurs ?
    - quelles solutions techniques/process avez-vous étudié ?
    - quelles solutions techniques/process avez-vous mis en place ?
    - quelles sont les bonnes politiques concernant le développement dans ce contexte, qui permettrait de diminuer le nombre de Local Admin ?
    - quels sont les points à surveiller ?
    - dans le cas ou plusieurs solutions techniques seraient à mettre en place, quels sont les points positifs et négatifs ?

    Merci par avance pour vos retours.

    AM
    jeudi 1 juillet 2010 12:14

Réponses

  • Bonjour,

    quelles sont les best practice ?
    Il y en a plusieurs, je ne retrouve plus la documentation que personne lisait (datant de Windows 2000 !) qui explique en détail les bonne pratique pour développer une application Windows en limitant les droits utilisateurs. Cette documentation indiquait par exemple de ne pas faire d'application qui écrit des paramètres dans le répertoire Program Files (*normalement* seul l'administrateur dispose de ces privilèges)... (Si je retrouve ce lien, je n'hésiterai pas à vous en faire part...).
    Une best practice : Eviter si possible de développer une application qui oblige l'administrateur système à donner des droits spécifique à des comptes utilisateurs...

    quel est votre retour d'expérience ?

    Grâce à Vista et au manque de professionalisme de nos concurrents nous avons pu gagner des parts de marché sur notre logiciel... En effet, en respectant "bêtement" les recommandations de Microsoft, notre application était prête à tourner sous Vista sans aucun problème avec l'UAC activé ou non (Contrairement à la concurrence).

    quels problèmes avez-vous rencontré concernant la population des développeurs ?
    Aucune, il faut juste connaitre les bonnes pratique, bien structurer l'application, et avoir des développeurs qui savent respecter des règles sans faire n'importe quoi...

    quelles solutions techniques/process avez-vous étudié ?
    On développait avec Windows XP sans les droits administrateur... Parcontre le moindre paramétrage avancé oblige à se loguer/déloguer en mode administrateur.

    quelles sont les bonnes politiques concernant le développement dans ce contexte, qui permettrait de diminuer le nombre de Local Admin ?
    L'idéal est développer l'application sous Vista/Seven avec l'UAC activé au plus haut niveau. Ainsi, vous êtes sur que si votre application tourne sans nécessiter les droits administrateur.
    Dans le cahier des charges, isolez bien les actions qui requiert les droits administrateurs et celles qui ne les requiert pas. Si vous disposez d'actions qui nécessite des droits admin ou non, il vous faudra créer deux applications. Sinon, une seule application est nécessaire.

    Est-ce que cela répond à vos questions ? Le sujet est très vague... Donc n'hésitez pas à reposer des questions !

    Cordialement


    Gilles TOURREAU - MVP C# - MCTS Windows Forms - Architecte .NET/Consultant/Formateur - http://gilles.tourreau.fr
    • Marqué comme réponse Alex Petrescu mardi 6 juillet 2010 08:35
    jeudi 1 juillet 2010 21:05
    Modérateur