Que fait réellement les utilisateurs avancés du groupe local Windows 7?

Un client veut un nouveau logiciel. En règle générale, ils sont sur le point de signer un contrat avant de le mentionner au service informatique en passant.

Un survol des exigences techniques ne montre rien d'extraordinaire, sauf que tous les utilisateurs du logiciel client / agent ont besoin des droits d'utilisateur avec pouvoir sur leur machine locale. Cela doit être déployé dans un centre d'appels où je ne considérerais pas les utilisateurs comme «fiables» de la même manière que dans d'autres secteurs de l'entreprise.

Par conséquent, j'ai immédiatement reculé devant cela, mais il semble que dans Windows 7, les utilisateurs avancés ne font rien.

Sur XP, cela vous a donné « un tas d'accès » et je ne pense pas savoir où que ce soit jamais utilisé. Je dois admettre que je n'y ai même pas pensé depuis Vista.

En vérifiant secpol.msc sur une machine Win 7, l'attribution des droits utilisateur n'affiche rien associé aux utilisateurs avancés . Cependant, sa description vous ferait croire que «les utilisateurs avec pouvoir sont inclus pour des raisons de compatibilité descendante et possèdent des pouvoirs administratifs limités»

Quelqu'un sait-il réellement ce que sont ces «pouvoirs administratifs limités»?

Microsoft ne semble pas avoir produit de document (je n'en ai pas trouvé de toute façon) qui détaille exactement ce que fait ce groupe, et les seules descriptions techniques détaillées que j'ai pu trouver remontent à 2003 / xp et avant.

Vous avez raison, le groupe Utilisateurs avec pouvoir ne fait rien du tout dans Windows Vista et versions ultérieures.

Depuis http://technet.microsoft.com/en-us/library/cc771990.aspx :

Par défaut, les membres de ce groupe n'ont pas plus de droits ou d'autorisations d'utilisateur qu'un compte d'utilisateur standard. Le groupe Utilisateurs avec pouvoir dans les versions précédentes de Windows a été conçu pour donner aux utilisateurs des droits et des autorisations d'administrateur spécifiques pour effectuer des tâches système courantes. Dans cette version de Windows, les comptes d'utilisateur standard ont intrinsèquement la possibilité d'effectuer les tâches de configuration les plus courantes, telles que la modification des fuseaux horaires. Pour les applications héritées qui nécessitent les mêmes droits et autorisations des utilisateurs avec pouvoir qui étaient présents dans les versions précédentes de Windows, les administrateurs peuvent appliquer un modèle de sécurité qui permet au groupe des utilisateurs avec pouvoir d'assumer les mêmes droits et autorisations qui étaient présents dans les versions précédentes de Windows.

Pas tout à fait vrai - si vous utilisez Office 2016 / O365, toutes les macros sont désactivées jusqu'à ce que vous soyez au moins un utilisateur expérimenté. Vous pouvez activer tout ce que vous voulez et il n'y a pas d'erreur - cela ne fonctionne tout simplement pas. Mais après m'être mis à niveau vers le groupe Utilisateurs avec pouvoir (j'avais déjà activé les bonnes options dans Trust Center), je peux enregistrer, écrire ou exécuter des solutions vba comme je le fais lorsque je me suis connecté avec mon compte administrateur.

Avertissement: cela a été testé dans un environnement Windows 7 avec O365 uniquement pour Outlook, donc je ne peux pas jurer que cela fonctionnera pour les autres applications, mais les autorisations VBA n'ont jamais varié par application auparavant, donc je suppose que ce sera le idem pour les macros Excel, Word et PowerPoint.

Les utilisateurs avec pouvoir permettent également à un compte de créer des partages. Je l'ai testé en créant des partages dans un cluster avec la commande new-smbshare où j'ai seulement ajouté le compte de domaine aux utilisateurs avec pouvoir. Sans être dans les utilisateurs avec pouvoir, le compte de domaine n'a pas pu créer le partage. Utile si vous ne souhaitez pas créer un compte administrateur uniquement pour pouvoir créer des partages.