Discussion :

[bvsud]

Bonjour à tous, et meilleurs voeux (il est encore temps)

Quelle est la technique permettant à un programme de détecter s'il est appelé ou non en mode administrateur ?

Exemple :



Là, c'est sans doute écrit en C. Mais on doit pouvoir faire la même chose avec Delphi.

Merci

[retwas]

Dans l'API Windows il existe IsUserAnAdmin.

Il y a aussi la solution de tester quelque chose que seul un admin peux faire, par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
uses
  WinSvc;
 
function IsAdmin(Host : string = '') : Boolean;
var
  H: SC_HANDLE;
begin
  if Win32Platform <> VER_PLATFORM_WIN32_NT then
    Result := True
  else begin
    H := OpenSCManager(PChar(Host), nil, SC_MANAGER_ALL_ACCESS);
    Result := H <> 0;
    if Result then
      CloseServiceHandle(H);
  end;
end;

Sinon dans mes anciennes version de Delphi il existait un manifest pour exécuter en tant qu'admin, sur ma starter je ne l'ai pas

[bvsud]

Merci, Retwas :hello:

Je vais tester ça te je donne le retour

Une API !! Je n'avais même pas pensé à ça...

Résultats.
J'ai activé le compte invité. Je lui ai fait exécuter l'EXE.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
  if IsUserAnAdmin then MessageDlg('UTILISATEUR : ADMINISTRATEUR', mtWarning, [mbOK], 0)
  Else MessageDlg('UTILISATEUR : NON ADMIN !', mtWarning, [mbOK], 0)

Dans les USES : Winapi.ShlObj;

Exécuté depuis mon profil, le prog me répond que je suis bien administrateur. Depuis le profil invité, il dit que non. Logique.

MAIS... J'appelle le même prog avec clic droit "Exécuter en tant qu'administrateur, et voilà ce que ça donne :






Qu'est-ce qui me dit que le prog lui-même sait qu'il est exécuté en mode administrateur ?

[SergioMaster]

Bonjour,

le résultat semble normal car c'est l'utilisateur qui est testé et non le rôle.
en c# il y a isinrole voir ceci
en suivant cette piste je suis tombé, sans trop de dégâts , sur ceci

[Andnotor]

Exécuté depuis mon profil, le prog me répond que je suis bien administrateur.

Il ne devrait pas sans élévation à moins que tu aies désactivé l'UAC.

MAIS... J'appelle le même prog avec clic droit "Exécuter en tant qu'administrateur, et voilà ce que ça donne...

La fonction échoue alors. Lorsque tu demandes l'élévation, l'app tourne dans le contexte de ce nouvel utilisateur (l'administrateur) et non plus dans celui de l'invité.

[bvsud]

Bonsoir.

Dans mon profil, j'ai effectivement désactivé l'UAC. Lorsque j'appelle RepWin, sans clic droit "Excécuter en tant que...', j'ai effecitvement ceci :



Donc, si j'ai bien suivi, un processus ne peut savoir qu'il s'exécute en mode administrateur qu'à travers la détection du niveau de privilège de l'utilisateur l'ayant lancé ? S'il est admin, alors le prog déduit qu'il s'exécute en mode administrateur ?

Ce n'est pas plus compliqué que ça ? Ah...

[Andnotor]

Ce n'est pas (beaucoup) plus compliqué que cela mais un peu différent

C'est le processus qui a des privilèges particuliers mais il les "hérite" de ceux alloués à l'utilisateur à son lancement. C'est le jeton (token) du processus qui est testé pour déterminer s'il en détient certains. IsUserAnAdmin n'est qu'une encapsulation de CheckTokenMembership et contrôle l'appartenance à un groupe en particulier : le groupe administrateurs. Le terme IsUserAnAdmin n'est peut-être pas très heureux, HasAdminPrivileges aurait sans doute été plus proche de ce que fait effectivement la fonction.

Avec l'UAC activé, être déclaré administrateur n'est pas suffisant. L'OS impose une confirmation manuelle (quittancer la boîte de dialogue) pour effectivement activer ces privilèges. Sans cela il n'est qu'utilisateur standard. Une fois l'élévation acceptée, le processus est lancé dans le contexte de l'utilisateur authentifié qui s'avère être le même que l'utilisateur courant. C'est donc transparent.

Lorsque la même demande est faite depuis un compte limité ou invité, c'est un autre utilisateur (un administrateur en général) qui demande l'élévation. Le processus est démarré dans le contexte de cet utilisateur-là (mais toujours dans la même session). Ce processus n'a aucune notion de qui est l'utilisateur original, GetUserName renvoie le nom du nouvel utilisateur.

En complément (là ça devient plus compliqué), un administrateur a beaucoup de privilèges mais bon nombre sont désactivés, même après élévation. C'est à l'application de les activer en cas de besoin. RAM-0000 apporte quelques lumières sur le sujet.