Question WIN 10 , TOKEN ADMIN , REMOTE SCRIPTS

Plus d'informations
il y a 6 ans 10 mois #23653 par Dela
J'ai bien compris ça :





Edit: Apparently some people failed to fully understand the implications of the OP's request.

The sole purpose of UAC is to allow users to be members of the Administrators group without running with admin privileges all of the time. On login they receive two security tokens, one (inactive) with admin privileges, and the other (active) with normal user permissions. That way it takes a conscious decision of the user to activate the admin token for a program and have it run with admin privileges.

Now, if you enable a shell (i.e. a program designed to run arbitrary commands) to run with admin privileges all of the time, you remove this protection. From that point on, anything running in the user's context can run arbitrary code with admin privileges. With a configuration like that, any further thought about security would be mere self-delusion, so you can just as well stop bothering.




Mais justement ça me prend la tête !!!! je code en autoIt aussi, J'avais fait des petites GUI avec des runas derriere, suite à une migration Activedirectory, pour permettre à des users de lancer leurs navigateurs dans un autre contexte et accéder grace à la SSO à d'anciennes ressources , sans changer de profil. Tout cela ne fonctionne plus ! La réponse à ma question est peut être que ce n'est plus possible du tout ! Ou comme il le dit, faut désactiver toute la secu ... et cela n'a plus de sens ...


Un autre exemple, sur les sessions admin des postes déployés, on pose des scripts, des .reg, des combobox, comme ça lors de la maintenance, on clique dessus et ça fait le taf... tout cela passerait du coup à la trappe !<br><br>Message édité par: Alexis, à: 17/05/17 14:14

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 6 ans 10 mois #23654 par Dela
J'ai trouvé la solution ... A la noix ;oD

En lisant ça , j'ai compris !!


In modern days Windows operating systems, User Account Control (UAC) is enabled by default. There are some considerations when using PowerShell and running a script in elevated or non-elevated context. This and some of the issues that can occur because of UAC will be addressed in this article.

UAC is configured in Admin Approval Mode by default. In this Mode, when an administrator logs on to a system, two tokens are assigned to the user — a normal full control token and a special filtered access token. This helps prevent an administrator from making an accidental change that might have system wide consequences or prevent the accidental installation of a malicious program. The filtered access token is created during the logon process and is used to start explorer.exe process. Any application that is started from this moment on will by default be launched using this filtered access token.

There are some slight differences to the configuration of Admin Approval Mode on client systems and server systems. The most notable one is that on Windows Server the default administrator account is enabled and is the only account for which Admin Approval Mode is disabled by default. This allows for an easy bypass on Windows Server systems. On Windows Client systems, the administrator account is disabled by default. However, once this administrator account is enabled, Admin Approval Mode is disabled by default on client systems too.

To show how Admin Approval Mode is relevant in PowerShell context, the next demonstration will show what happens when a drive mapping is created in both an elevated and non-elevated PowerShell console. The impact that this has for PowerShell can be demonstrated by opening two consoles, one regular console using the filtered access token and one elevated console, started using Run as Administrator. In both consoles, a drive mapping will be created by typing the following commands:




le seul compte qui n'est pas protégé par l'UAC est le compte administrateur intégré. La seul façon de passer des RUNAS sur windows 10 est d'utiliser ce compte pour les executer si vous souhaitez conserver l'UAC pour éxécuter les appli récentes qui le nécessitent.


Du coup ! Un utilisateur membre du groupe administrateur peut éxécuter en utilisant le TOKEN admin des programmes avec élévation en spécifiant l'élévation à l'éxécution.

L'administrateur local intégré de base, lui peut sans.

Je n'ai plus qu'à réactiver le compte sur toutes les bécanes !

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 6 ans 10 mois #23658 par Laurent Dardenne
Bravo !!!

Tutoriels PowerShell

Connexion ou Créer un compte pour participer à la conversation.

Temps de génération de la page : 0.072 secondes
Propulsé par Kunena