Discussion :

[Ender75]

Bonjour les gens,

alors par avance désolé si la question a déjà été posée, le forum est bien vaste !
Mon problème est le suivant:
j'ai une appli C++ (Visual Studio 2005) qui accède à des fichiers stockés dans des répertoires systèmes (C:\windows, c:\Program Files.....).
En fait cette appli a été développée pour tourner sous Win XP et avec ce dernier cela ne pose pas de pbm pour accéder à ces répertoires.
Avec Windows 7, si le user a des droits d'admin, l'application tourne toujours. En revanche si le user n'a pas les droits d'admin (chez certains clients la politique est de refuser les droits d'admin à de simple user), cela devient problématique.

Ma question (peut être naïve) est la suivante:
est ce qu'il y a un moyen pour que l'application lancée par un user sans droits d'admin et sans que ce dernier doit l"exécuter en tant qu'administrateur puisse modifier des fichiers du répertoire système ?

Voilà, merci d'avoir lu mon post et merci d'avance pour votre réponse

[koala01]

La réponse est simple: non... Les droits d'accès ont été très bien améliorés sous vista / seven

[Neckara]

Bonjour,

La réponse est simple: non... Les droits d'accès ont été très bien améliorés sous vista / seven

Mais est-ce qu'il n'y a pas un moyen de faire exécuter le programme par un utilisateur ayant des droits d'administrateurs ou de changer l'utilisateur courant lors de l'exécution même du programme ( une sorte d’équivalent à su sous Linux) ?

Ou alors d'accorder au programme des droits d'administration une fois pour toute grâce à l'intervention de l'utilisateur ?

[koala01]

Pour autant que je sache, il est possible, si l'utilisateur a déjà les droits d'administrateur, de faire exécuter des taches en tant qu'utilisateur alors que l'application a été lancée sans ces droits (avec cette fameuse fenêtre "windows a besoin de votre autorisation pour continuer"). Mais:
Si l'utilisateur n'a pas les droits d'administrateur, il faut qu'il s'authentifie de sorte a avoir ces droits avant de pouvoir le faire
Si tu ne connais pas le mot de passe de l'administrateur, tu ne peux pas t'authentifier, et donc obtenir l'autorisation.

On se rapproche ici du fonctionnement de su / sudo sous linux

[JolyLoic]

Pour préciser : Une demande d'obtention de ces droits a lieu uniquement au lancement du programme. Ça se fait au niveau du manifeste de l'exécutable. Ce qui signifie que si tu n'as pas tout le temps besoin de ces droits, il faut que tu isoles la partie en ayant besoin dans un exécutable spécifique.

Je ne sais pas pour quelle raison tu veux modifier des répertoires système, mais il y a généralement 2 cas :
- Tu es un utilitaire ayant besoin d'y faire des modifications, il est légitime que l'on te demande les droits qui vont bien pour le faire
- Tu es un vieux programme qui sauve des données dans ton répertoire de setup, au lieu de les sauver dans le profil de l'utilisateur. Le plus simple dans ce cas est peut-être de modifier ta politique de sauvegarde.

[Ender75]

Bonjour/bonsoir les gens.

Déjà, merci à tous pour vos réponses et participation !
On se sent moins seul face au problème

@JolyLoic:
c'est le deuxième cas. C'est une appli relativement ancienne.
Et effectivement une de nos solutions est d'utiliser d'autres répertoires que ceux du système.

Pour le manifest, il me semble que cela revient à lancer l'exécutable en tant qu'administrateur. Je ne sais pas si les clients autorisent ça.

Enfin encore merci pour vos réponses

[Médinoc]

Si l'application en question ne modifie que des fichiers lui appartenant (par exemple, uniquement des fichiers dans son sous-dossier de Program Files) alors le plus simple est qu'un programme lancé avec les droits d'admin (qui peut avoir été déployé et lancé grâce aux fonctions d'administration de Windows) donne aux utilisateurs non-admin les droits sur le sous-dossier en question. C'est ce que fait Steam lorsqu'on l'installe, par exemple.

Attention: sous aucun prétexte ne faire ça sur le répertoire Program Files complet.
Aussi si possible, éviter de faire ça d'une manière qui permette à l'utilisateur de modifier les exécutables du programme lui-même. Dans la mesure du possible, n'autoriser les modifications que sur les fichiers concernés.

[Ender75]

@Médinoc
Merci pour votre réponse !

Je vais devoir peut être adapter cette solution mais sur un autre répertoire:
ProgramData.

A ce qu'il semble, Microsoft préconise de séparer les fichiers spécifique à l'application et les fichiers data de l'application.
http://www.microsoft.com/en-us/downl...s.aspx?id=3859

Pour l'application, cela devrait partir dans Program Files, pour les fichiers data partagés par des users, cela irait dans ProgramData.

Mais concernant ProgramData, si on lance en tant que user non admin, il semble qu'on a des soucis de virtualisation (VirtualStore).
De plus il semble aussi que par défaut, les sous répertoires déclarés dans ProgramData ne sont pas full access pour les users non admin.
Droits en lecture et création oui mais les droits en suppression sont restreints aux owners, admin...Etc.

Ca vous dit quelque chose ? Est ce que le setup ou le programme qui créée ces fichiers doivent explicitement mettre des droits full access à ces sous répertoire dans ProgramData ?
Qu'en pensez vous ?

D'avance merci !

[Médinoc]

"C:\ProgramData", c'est à la fois l'ancien "All Users" et l'ancien "All Users\Application Data" (du moins, sous Vista).

Normalement, les utilisateurs non-admins ont des droits d'écriture partiels sur son contenu.

Si tu veux un sous-répertoire complètement partagé, tu dois en effet rajouter plus de droits dessus (même si pas forcément Full Control: Change peut suffire). Et ça, c'est typiquement au programme d'installation de le faire, puisque lui il tourne typiquement en Admin.