AutoElevate permet de convertir rapidement les utilisateurs en privilèges Standard et de garantir l'application de vos politiques de sécurité. Cette opération peut être effectuée par site, par entreprise ou globalement depuis l'écran Paramètres, ainsi que individuellement, ordinateur par ordinateur, depuis l'écran Ordinateurs du portail d'administration. Cette fonctionnalité n'est pas activée par défaut, mais peut être configurée pour l'être depuis les Paramètres.

Comment ça marche ?

Lorsque le paramètre Supprimer les privilèges d'administrateur est activé et que l'agent est en mode actif ou politique, ce paramètre supprime automatiquement l'utilisateur actuellement connecté du groupe Administrateurs local . L'utilisateur doit alors se déconnecter puis se reconnecter pour que ses privilèges d'administrateur soient définitivement supprimés. Si l'utilisateur se connecte pour la première fois depuis l'activation de la fonctionnalité, il devra également se déconnecter puis se reconnecter pour que ses privilèges d'administrateur soient définitivement supprimés.

• Par exemple, si Todd@MyDomain.local fait explicitement partie du groupe de l'administrateur local sur l'ordinateur et que l'option Supprimer les privilèges d'administrateur est définie sur Activé , lorsque l'utilisateur se connecte , le compte ( Todd@MyDomain.local ) sera supprimé du groupe de l'administrateur local .

Cette fonctionnalité n'affecte PAS l'appartenance au groupe de domaine NI ne modifie les groupes de domaine sur la machine locale.

• Par exemple, si l'utilisateur fait partie du groupe « Administrateurs du domaine », ses droits ne seront pas modifiés. De même, si le groupe « Utilisateurs du domaine » fait partie du groupe local « Administrateurs », l'utilisateur du domaine conservera les privilèges d'administrateur. Les groupes et les autorisations du domaine devront être gérés séparément.
  

Avant de commencer

Assurez-vous de définir les comptes qui ne doivent JAMAIS être modifiés.

1. La liste des exceptions peut être définie globalement dans les Paramètres . Depuis ces derniers, sélectionnez « Global » > « Sécurité de l'agent » > « Utilisateurs administrateurs exclus » (pour la fonctionnalité « Supprimer les privilèges d'administrateur ») > « Modifier » (icône en forme de crayon).
   

• Ajouter un élément : ajoutez les comptes locaux que vous ne souhaitez PAS supprimer individuellement du groupe Administrateurs locaux, puis cliquez sur ENREGISTRER
  
• Ou créez un nouveau paramètre de niveau pour remplacer le paramètre global (entreprise entière, emplacement ou ordinateur avec la hiérarchie des ordinateurs prioritaire) à l'aide de l'icône « + » en haut de la grille.
  
  

Remarque : une fois que vous avez défini la liste des comptes qui doivent être exclus de l'application du paramètre « Supprimer les privilèges d'administrateur », vous pouvez activer « Supprimer les privilèges d'administrateur ». 

Activation de la suppression des privilèges d'administrateur

Depuis l'écran Paramètres , sélectionnez Global -> Sécurité de l'agent -> Supprimer les privilèges d'administrateur -> Modifier (icône Crayon) ou créez un nouveau paramètre de niveau (Entreprise entière ou Emplacement) à l'aide de l'icône « + » en haut de la grille.

• Activé : cochez cette case pour activer.
  
• Pour remplacer ce paramètre pour un ordinateur spécifique :
  
  
  1. Accédez à l’écran Ordinateurs .
  2. Sélectionnez le(s) ordinateur(s) en cliquant sur le carré à côté du(des) ordinateur(s). 
  3. Cliquez sur le menu Actions en haut de l'écran.
  4. Sélectionnez le paramètre souhaité dans la section « Supprimer les privilèges d’administrateur » pour le ou les ordinateurs :

• Définir sur Activé : Activé
• Définir sur Désactivé : ne jamais supprimer les privilèges d’administrateur.
• Activé (Remplacer) : utilisez le paramètre par défaut créé dans l'écran « Paramètres ».

Voir l'image ci-dessous :

Une fois activé, lors du prochain enregistrement de l'agent, l'utilisateur connecté sera converti en utilisateur standard si : 

• L'utilisateur connecté est configuré comme administrateur local sur la machine.
  
• L'utilisateur n'est pas répertorié comme l'un des « utilisateurs administrateurs exclus » dans les paramètres globaux ou de l'entreprise.
  
• L'agent est défini sur le mode Live ou Policy.