Bonjour,
 
 
Je cherche à réduire les accès des utilisateurs locaux sous Windows 10 afin qu'il n'ait pas les mêmes droit que l'administrateur et notamment l'incapacité d'installer/désinstaller un logiciel.
 
 
J'ai créé un utilisateur que j'ai ajouté au groupe "Utilisateurs" permettant de lui octroyer que les droits nécessaires pour un utilisateur lambda. Sauf que malgré cela, j'arrive à installer/désinstaller des logiciels.
 
 
A l'époque, sous Windows 7, le groupe "Utilisateurs" défini dans Windows ne permettait pas à l'utilisateur d'installer/désinstaller. Il semble donc que Microsoft ait revu ses groupes sauf que j'ai cherché un peu partout, notamment dans les stratégies de groupe et je ne trouve pas comment restreindre les droits utilisateurs.
 
 
J'ai même essayé d'ajouter l'utilisateur au groupe "Invité, qui est le groupe ayant le moins de droit mais j'arrive tout de même à installer/désinstaller un logiciel.
 
 
Sauriez-vous comment procéder afin de limiter les privilèges utilisateur ?
 
 
En vous remerciant par avance pour votre aide.

Normalement tu fais ce qu'il y a a faire.

Apres il y a deux ou trois exceptions,
C'est quel type d'applications qui s'installent ?

Sur windows 10, un utilisateur simple peut installer des applis du store, parceque c'est dans son profil et c'est sandboxé donc niveau sécurité on s'en fout
Un utilisateur peut aussi installer des 'saloperies' comme chrome, parceque qu'il s'installe dans le dossier utilisateur.
Je dis saloperie, parceque dans les faits c'est pas different du comportement des malwares, et effectivement c'est chiant a gerer, il faut passer par du controle applicatif, la limitation des droits ne suffit plus pour ce genre de softs .

J'ai testé avec des applications qui viennent s'installer directement sur Program Files, c'est ça qui m'étonne le plus.
 
La seule restriction que j'ai pu remarquer pour le groupe "Utilisateurs", c'est que je ne peux pas modifier manuellement l'horloge du système (je peux seulement activer/désactiver la synchronisation automatique).
 
Sinon pour le reste, ça se comporte comme si j'étais en admin. J'ai par exemple lancé une invite de commande en tant qu'administrateur. J'ai l'UAC qui s'est lancé pour me confirmer que c'est moi qui ai bien lancé le programme mais c'est tout. Il ne m' pas demandé le mot de passe administrateur du poste, ce que j'attendais.
 
C'est la première fois que je me penche sur cet aspect sous Windows 10 mais sur le Windows 7, quand on passait un utilisateur dans le groupe "Utilisateur", il y avait de vraies restrictions.
 
Et je ne trouve rien sur le net qui va en ce sens.

Si tu as pu installer dans program files, tu as effectivement un problème.
 
Par contre là ou j'ai envie de tiquer c'est toute la partie où tu dis que tu as ajouté l'utilisateur à un groupe. Il n'y a absolument rien à faire par défaut. Un utilisateur est par défaut créé en tant qu'utilisateur, period. Si tu as fais des truc en plus derriere, ça vient probablement de là.

C'est ce que j'ai fait au départ, j'ai juste créé un utilisateur standard dans les menus simplifiés de Windows mais j'avais le même problème.
 
C'est pour ça que je suis passé par les menus avancés mais malgré cela, j'ai toujours des droits avancés en tant que simple utilisateur.
 
Je ne comprends pas, on dirait que Microsoft a complètement viré cette gestion des droits utilisateur.

Je te confirme que non. Tu n'es pas en train d'utiliser une feature inconnue que personne n'utilise.

Il y a forcement un pb dans ton setup/config.

Ok, merci pour ton retour donc ça sera un problème au niveau de ma config. Tu as bien une restriction sur l'installation/désinstallation des logiciels en tant que user ?

Bon, j'ai fait une install toute fraîche et effectivement j'ai bien un restriction de mes droits en tant qu'utilisateur standard (impossible d'installer/désinstaller un logiciel ou de lancer un programme en tant qu'admin sans avoir le mot de passe admin).
 
En fait, sur mon autre config c'était un PC qui était sortie d'un domaine AD dans lequel les users avaient les droits d'admin. Le PC avait dû gardé cette politique malgré la sortie de domaine.
 
Comme quoi, il est parfois bon de repartir sur une install propre.
 
Merci beaucoup de ton aide flash_gordon en tout cas, tu m'as grandement aidé

 
   
 
A ben quand même.
Sinon c'est normal sortir un pc d'un domaine n'efface pas les gpo / gpp appliquées.

 
alors là chapeau la sécurité!!! c'est de l'inconscience surtout dans un domaine AD, donc en entreprise ou institution.