Discussion :

[droliprane]

Bonjour à tous,

j'ai une appli de gpao déployée à 99,99% sur des clients Windows 7, et là dernièrement sur 2 postes Windows 10.

Les profils utilisateurs sont admins locaux de leur machine, l'uac désactivée

Pourtant, quand je déploie mon appli, je retrouve sur mon agent de mise à jour (updater.exe) un bouclier signifiant qu'il lui faut des privilèges plus élevés pour s'exécuter, tandis que sur mon exécutable principal (gpao.exe) il n'y a aucun bouclier.

Le problème est que le mécanisme de mise à jour est tel que mon appli gpao.exe appelle automatiquement updater.exe en arrière-plan pour faire la mise à jour, et par conséquent l'update échoue car le LanceAppli doit échouer lui aussi. A noter que mon appli est installée dans un dossier C:\monAppli donc aucune écriture dans les répertoire sensibles tels Windows ou ProgramFiles.
Je précise aussi que lorsque je lance updater.exe à la main, la mise à jour se déroule sans soucis (j'ai au moins cette solution de secours pour l'instant).

Je suis en train de me monter une machine de test sous Windows 10 mais j'aimerais déjà recueillir quelques idées de votre part.

J'ai lu que Windows utilise une heuristique de détection des applis nécessitant des privilèges élevés, basée sur les noms de fichiers comme setup.exe, update.exe, etc... est-ce que ce serait la cause ? J'ai pourtant désactivé l'UAC et mes users sont admins donc ça ne devrait pas bloquer.

Merci à tous pour vos éléments de solution.

droliprane

[R&B]

Bonjour

Je pense que ladite heuristique n'est pas basée uniquement sur les noms de fichiers, mais aussi et surtout sur le comportement :
Création de fichier exécutable, création de clés dans la base de registre (sous SOFTWARE du local_machine ou current_user...) etc...

Je pense qu'il faut octroyer les privilèges administrateurs aux outils qui agissent sur le système, et laisser les autres faire leur travail.
C'est sans doute la raison pour laquelle, les installations (réalisées sous privilège) ajoutent des services (alors déclarés aussi avec privilège) en charge de cette surveillance des mises à jour...
C'est une piste.

En tout cas vous illustrez le problème de la responsabilité des composants dans le processus de mise à jour.
L'UAC et ses privilèges, implique que seuls ceux qui ont le droit effectuent les opération... et ne permet donc de remonter le courant de responsabilité : ce n'est, semble-t il, pas à l'exécutable de décider de lancer la mise à jour... car il n'a pas les privilèges suffisant.
note : vous pouvez aussi nécessiter des privilèges plus élevés dans votre exécutable, mais on ne fait alors que déplacer le problème.