Les droits d’utilisateurs accordent des privilèges et des droits d’ouverture de session spécifiques à des utilisateurs et des groupes de votre environnement informatique. Les administrateurs peuvent affecter des droits spécifiques à des comptes de groupes ou à des utilisateurs individuels. Ces droits autorisent les utilisateurs à effectuer des actions spécifiques, par exemple ouvrir une session interactive sur un système ou sauvegarder des fichiers et des répertoires.

Pour simplifier la tâche d’administration des comptes d’utilisateurs, vous devez affecter des privilèges principalement aux comptes de groupes, plutôt qu’à des comptes d’utilisateurs individuels. Lorsque vous affectez des privilèges à un compte de groupe, ces privilèges sont affectés automatiquement aux utilisateurs lorsqu’ils deviennent membres de ce groupe. Cette méthode d’administration des privilèges est beaucoup plus simple que celle qui consiste à affecter des privilèges individuels à chaque compte d’utilisateur lors de la création du compte.

Le tableau suivant répertorie et décrit les privilèges pouvant être accordés à un utilisateur.

Privilège Description Paramètre par défaut

Agir en tant que partie du système d’exploitation

Autorise un processus à emprunter l’identité de tout utilisateur sans authentification. Le processus peut par conséquent accéder aux mêmes ressources locales que cet utilisateur.

Les processus qui nécessitent ce privilège doivent utiliser le compte Système local, qui inclut déjà ce privilège, plutôt qu’un compte d’utilisateur distinct auquel ce privilège est affecté spécialement. Il n’est pas nécessaire d’affecter ce privilège aux utilisateurs, à moins que votre organisation n’exécute des serveurs Windows 2000 ou Windows NT 4.0 et n’utilise des applications qui échangent des mots de passe en texte clair.

Système local

Ajouter des stations de travail à un domaine

Détermine les groupes ou utilisateurs qui peuvent ajouter des stations de travail à un domaine.

Ce droit d’utilisateur est valide uniquement sur les contrôleurs de domaine. Par défaut, tout utilisateur authentifié possède ce droit et peut créer jusqu’à 10 comptes d’ordinateurs dans le domaine.

L’ajout d’un compte d’ordinateur au domaine permet à l’ordinateur de reconnaître les comptes et groupes qui existent dans les services de domaine Active Directory.

Contrôleurs de domaine : Utilisateurs authentifiés

Ajuster les quotas de mémoire pour un processus

Détermine qui peut modifier la quantité de mémoire maximale pouvant être consommée par un processus.

Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et serveurs.

Administrateurs

Sauvegarder des fichiers et des répertoires

Détermine les utilisateurs pouvant contourner les autorisations de fichiers et répertoires, les autorisations de Registre et autres autorisations d’objets persistants pour les besoins de la sauvegarde du système.

Administrateurs et Opérateurs de sauvegarde

Contourner la vérification de parcours

Détermine les utilisateurs pouvant parcourir des arborescences même s’ils ne possèdent pas les autorisations sur le répertoire parcouru. Ce privilège n’autorise pas l’utilisateur à dresser une liste du contenu d’un répertoire, mais uniquement à parcourir des répertoires.

Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et serveurs.

Stations de travail et serveurs : Administrateurs, opérateurs de sauvegarde, Utilisateurs avec pouvoir, Utilisateurs et Tout le monde

Contrôleurs de domaine : Administrateurs et Utilisateurs authentifiés

Modifier l’heure système

Détermine les utilisateurs et groupes qui peuvent modifier la date et l’heure de l’horloge interne de l’ordinateur. Les utilisateurs titulaires de ce droit peuvent affecter l’apparence des journaux des événements. En cas de modification de l’heure système, les événements enregistrés reflèteront cette nouvelle heure, et non l’heure réelle à laquelle ils se sont produits.

Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et serveurs.

Stations de travail et serveurs : Administrateurs et Utilisateurs avec pouvoir

Contrôleurs de domaine : Administrateurs et Opérateurs de serveur

Créer un fichier d’échange

Autorise l’utilisateur à créer et modifier la taille d’un fichier d’échange. Pour cela, il doit spécifier une taille de fichier d’échange pour un lecteur donné sous Options de performances, sous l’onglet Avancé des Propriétés système.

Administrateurs

Créer un objet-jeton

Autorise un processus à créer un jeton, qu’il peut ensuite utiliser pour accéder à toute ressource locale lorsqu’il utilise NtCreateToken() ou une autre API de création de jeton.

Les processus qui nécessitent ce privilège doivent utiliser le compte Système local, qui inclut déjà ce privilège, plutôt qu’un compte d’utilisateur distinct auquel ce privilège est affecté spécialement.

Personne

Créer des objets globaux

Déterminer les comptes qui peuvent créer des objets globaux dans une session des services Terminal Server ou des services Bureau à distance.

Administrateurs et Système local

Créer des objets partagés permanents

Autorise un processus à créer un objet d’annuaire dans le gestionnaire d’objets du système d’exploitation. Ce privilège est utile pour les composants en mode noyau qui étendent l’espace de noms d’objets. Les composants qui s’exécutent en mode noyau possèdent ce privilège intrinsèquement ; il est inutile de le leur affecter.

Personne

Déboguer des programmes

Détermine les utilisateurs qui peuvent attacher un débogueur à tout processus ou au noyau. Il est inutile d’affecter ce droit d’utilisateur aux développeurs qui déboguent leurs propres applications. Il est inutile d’affecter ce droit d’utilisateur aux développeurs qui déboguent de nouveaux composants système. Ce droit d’utilisateur procure un accès complet aux composants sensibles et critiques du système d’exploitation.

Administrateurs et Système local

Permet aux comptes d’utilisateurs et d’ordinateurs d’être approuvés pour la délégation.

Détermine les utilisateurs qui peuvent définir le paramètre Approuvé pour la délégation sur un objet utilisateur ou ordinateur.

L’utilisateur ou objet auquel ce privilège est accordé doit avoir un accès en écriture aux indicateurs de contrôle de compte sur l’objet utilisateur ou ordinateur. Un processus serveur exécuté sur un ordinateur (ou sous un contexte utilisateur) qui est approuvé pour la délégation peut accéder aux ressources sur un autre ordinateur en utilisant les informations d’identification déléguées d’un client, à condition que l’indicateur de contrôle de compte Compte ne peut pas être délégué ne soit pas activé pour le compte du client.

Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et serveurs.

Contrôleurs de domaine : Administrateurs

Forcer l’arrêt à partir d’un système distant

Détermine les utilisateurs qui sont autorisés à arrêter un ordinateur à partir d’un emplacement distant sur le réseau. Une utilisation incorrecte de ce droit d’utilisateur peut provoquer un déni de service.

Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et serveurs.

Stations de travail et serveurs : Administrateurs

Contrôleurs de domaine : Administrateurs et Opérateurs de serveur

Générer des audits de sécurité

Détermine les comptes qui peuvent être utilisés par un processus afin d’ajouter des entrées au journal de sécurité. Le journal de sécurité permet d’effectuer le suivi des accès système non autorisés. Une utilisation incorrecte de ce droit d’utilisateur peut entraîner la génération de nombreux événements d’audit, ce qui risque de masquer les signes d’une attaque ou de provoquer un déni de service si le paramètre de stratégie de sécurité Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité est activé. Pour plus d’informations, voir Audit : Arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=136299).

Système local

Emprunter l’identité d’un client après l’authentification

Détermine les comptes qui sont autorisés à emprunter l’identité d’autres comptes.

Administrateurs et Service

Augmenter la priorité de planification

Détermine les comptes qui peuvent utiliser un processus disposant d’un accès en écriture à un autre processus afin d’accroître la priorité d’exécution affectée à l’autre processus. Un utilisateur disposant de ce privilège peut modifier la priorité de planification d’un processus par le biais de l’interface utilisateur du Gestionnaire des tâches.

Administrateurs

Charger et décharger les pilotes de périphériques

Détermine les utilisateurs qui peuvent charger et décharger de manière dynamique des pilotes de périphériques ou autre code en mode noyau. Ce droit d’utilisateur ne s’applique pas aux pilotes de périphériques Plug-and-Play. Les pilotes de périphériques s’exécutant en tant que programmes approuvés (ou à privilèges élevés), vous ne devez pas affecter ce privilège à d’autres utilisateurs. Au lieu de cela, utilisez l’API StartService().

Administrateurs

Verrouiller les pages en mémoire

Détermine les comptes qui peuvent utiliser un processus pour conserver des données dans la mémoire physique, ce qui empêche le système de paginer les données dans la mémoire virtuelle sur disque. L’exercice de ce privilège est susceptible d’affecter sensiblement les performances système en diminuant la quantité de mémoire RAM disponible.

Personne ; certains processus système possèdent ce privilège intrinsèquement.

Gérer le journal d’audit et de sécurité

Détermine les utilisateurs qui peuvent spécifier des options d’audit d’accès aux objets pour des ressources individuelles telles que des fichiers, des objets Active Directory ou des clés de Registre.

Ce paramètre de sécurité n’autorise pas un utilisateur à activer l’audit de l’accès aux objets et fichiers. Pour que cet audit soit activé, le paramètre Auditer l’accès aux objets dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégies d’audit doit être configuré. Pour plus d’informations, voir cet article relatif à l’audit de l’accès aux objets (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=136283).

Vous pouvez afficher les événements audités dans le journal de sécurité de l’Observateur d’événements. Un utilisateur titulaire de ce privilège peut également afficher et effacer le journal de sécurité.

Administrateurs

Modifier les valeurs de l’environnement du microprogramme

Détermine qui peut modifier les valeurs de l’environnement du microprogramme. Les variables d’environnement du microprogramme sont des paramètres stockés dans la mémoire RAM non volatile des ordinateurs non-x86. L’effet de ce paramètre dépend du processeur.

  • Sur les ordinateurs x-86, la seule valeur d’environnement du microprogramme qui peut être modifiée en affectant ce droit d’utilisateur est le paramètre Dernière configuration valide connue, qui ne doit être modifiée que par le système.

  • Sur les ordinateurs Itanium, les informations de démarrage sont stockées dans la mémoire RAM non volatile. Les utilisateurs doivent posséder ce droit pour pouvoir exécuter Bootcfg.exe et modifier le paramètre Système d’exploitation par défaut sous Démarrage et récupération, dans Propriétés système.

  • Sur tous les ordinateurs, ce droit d’utilisateur est obligatoire pour installer ou mettre à niveau Windows.

Administrateurs et Système local

Processus unique du profil

Détermine les utilisateurs qui peuvent utiliser des outils d’analyse des performances pour contrôler les performances des processus non-système.

Administrateurs, Utilisateurs avec pouvoir et Système local

Performance système du profil

Détermine les utilisateurs qui peuvent utiliser des outils d’analyse des performances pour contrôler les performances des processus système.

Administrateurs et Système local

Retirer l’ordinateur de la station d’accueil

Détermine si un utilisateur peut retirer un ordinateur portable de sa station d’accueil sans ouvrir de session.

Si cette stratégie est activée, l’utilisateur doit ouvrir une session pour pouvoir retirer l’ordinateur portable de sa station d’accueil. Si cette stratégie est désactivée, l’utilisateur peut retirer l’ordinateur portable de sa station d’accueil sans ouvrir de session.

Désactivée

Remplacer un jeton de niveau processus

Détermine les comptes d’utilisateurs qui peuvent initier un processus visant à remplacer le jeton par défaut associé à un sous-processus démarré.

Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et serveurs.

Service local et Service réseau

Restaurer des fichiers et des répertoires

Détermine les utilisateurs qui peuvent contourner les autorisations de fichiers, de répertoires, de Registre et autres autorisations d’objets persistants lors de la restauration de fichiers et de répertoires sauvegardés, et détermine les utilisateurs qui peuvent définir toute entité de sécurité valide comme propriétaire d’un objet.

Spécifiquement, ce droit d’utilisateur équivaut à accorder les autorisations suivantes à un utilisateur ou groupe sur tous les fichiers et dossiers sur le système :

  • Parcours du dossier/exécuter le fichier

  • Écriture

Stations de travail et serveurs : Administrateurs et Opérateurs de sauvegarde

Contrôleurs de domaine : Administrateurs, Opérateurs de sauvegarde et Opérateurs de serveur

Arrêter le système

Détermine, parmi les utilisateurs connectés localement à l’ordinateur, lesquels peuvent arrêter le système d’exploitation à l’aide de la commande Arrêter. Une utilisation incorrecte de ce droit d’utilisateur peut provoquer un déni de service.

Stations de travail : Administrateurs, Opérateurs de sauvegarde, Utilisateurs avec pouvoir et Utilisateurs

Serveurs : Administrateurs, Opérateurs de sauvegarde et Utilisateurs avec pouvoir

Contrôleurs de domaine : Opérateurs de compte, Administrateurs, Opérateurs de sauvegarde, Opérateurs de serveur et Opérateurs d’impression

Synchroniser les données du service d’annuaire

Détermine les utilisateurs et groupes qui ont l’autorité nécessaire pour synchroniser toutes les données du service d’annuaire. On emploie également le terme de synchronisation Active Directory.

Aucun

Prendre possession de fichiers ou d’autres objets

Détermine les utilisateurs qui peuvent prendre possession de tout objet sécurisable dans le système, y compris des objets Active Directory, des fichiers et dossiers, des imprimantes, des clés de Registre, des processus et des threads.

Administrateurs

Certains privilèges peuvent remplacer les autorisations définies sur un objet. Par exemple, un utilisateur connecté à un compte de domaine en tant que membre du groupe Opérateurs de sauvegarde a le droit d’effectuer des opérations de sauvegarde pour tous les serveurs du domaine. Toutefois, cela requiert la capacité à lire tous les fichiers sur ces serveurs, même ceux sur lesquels les propriétaires ont défini des autorisations qui refusent de manière explicite l’accès à tous les utilisateurs, y compris les membres du groupe Opérateurs de sauvegarde. Un droit d’utilisateur (dans le cas présent le droit d’effectuer une sauvegarde) est prioritaire sur toutes les autorisations de fichiers et de répertoires. Pour plus d’informations, voir cet article relatif à la sauvegarde et à la récupération (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkID=131606).

Remarques

À l’invite de commandes, vous pouvez taper whoami /priv pour afficher vos privilèges.

Table des matières