File name: | wsecedit.dll.mui |
Size: | 515584 byte |
MD5: | b299ba6e5c47ba0bc1c702bec15f0d3f |
SHA1: | 2ca015385f9025e83805c4018e3457f637c7fea5 |
SHA256: | 69b76539111b1bf5229dc9db6dc7a2444fd9a042ebb5b570cef912ca0a03342f |
Operating systems: | Windows 10 |
Extension: | MUI |
If an error occurred or the following message in French language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.
id | French | English |
---|---|---|
1 | Classe d’extension WSecEdit | WSecEdit Extension Class |
2 | Nom | Name |
3 | Description | Description |
4 | Stratégie | Policy |
5 | Paramètre de base de données | Database Setting |
6 | Paramètre de l’ordinateur | Computer Setting |
7 | Modèle de sécurité | Security Template |
8 | Modèles | Templates |
9 | Dernière configuration/analyse | Last Configuration/Analysis |
10 | Modèles de sécurité définis pour configurer ou analyser un ordinateur. | Security templates defined to configure or analyze a computer. |
12 | Stratégie de sécurité | Security Policy |
13 | Attribution des droits utilisateur | User Rights Assignment |
14 | Groupes restreints | Restricted Groups |
15 | Services système | System Services |
16 | Registre | Registry |
17 | Système de fichiers | File System |
21 | Paramètres du service système | System service settings |
22 | Paramètres de sécurité du Registre | Registry security settings |
23 | Paramètres de sécurité du système de fichiers | File system security settings |
24 | Modèles de sécurité | Security Templates |
25 | (pas enregistré) | (not saved) |
26 | Paramètres de sécurité | Security Settings |
27 | Classe de configuration de la sécurité WSecEdit | WSecEdit Security Configuration Class |
28 | Classe du gestionnaire de sécurité WSecEdit | WSecEdit Security Manager Class |
29 | Voulez-vous vraiment supprimer %s ? | Are you sure you want to delete %s? |
30 | Voulez-vous supprimer tous les éléments sélectionnés ? | Do you want to delete all selected items? |
31 | &Analyser l’ordinateur maintenant... Compare les paramètres actuels de l’ordinateur avec les paramètres de sécurité dans la base de données |
&Analyze Computer Now... Compares the current computer settings against the security settings in the database |
34 | &Exporter le modèle... Exporte le modèle de base pour l’ordinateur actuel |
&Export Template... Exports the base template for the current computer |
35 | Ajouter des fic&hiers... Ajoute de nouveaux fichiers à ce modèle |
Add Fi&les... Adds new files to this template |
36 | Nouv&eau chemin de recherche de modèle... Ajoute un emplacement de modèle au chemin de recherche des modèles de sécurité (.inf - format INF) |
&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format) |
37 | Nouv&eau modèle... Crée un nouveau modèle |
&New Template... Creates a new template |
38 | &Supprimer le chemin Supprime l’emplacement sélectionné du chemin de recherche |
&Remove Path Removes the selected location from the search path |
39 | A&ctualiser Met à jour cet emplacement pour afficher les modèles récemment ajoutés |
Re&fresh Updates this location to display recently added templates |
40 | &Configurer l’ordinateur maintenant... Configure l’ordinateur en fonction du modèle sélectionné |
Con&figure Computer Now... Configures the computer according to the selected template |
42 | Windows ne peut pas importer le modèle à partir de %s | Windows cannot import the template from %s |
43 | En®istrer sous... Enregistre le modèle sous un nouveau nom |
Save &As... Saves the template with a new name |
44 | &Copier Copie les informations du modèle sélectionné dans le Presse-papiers |
&Copy Copies the selected template information to the Clipboard |
45 | Co&ller Colle les informations du Presse-papiers dans le modèle |
&Paste Pastes Clipboard information into the template |
46 | Objet de stratégie de groupe (GPO) source | Source GPO |
47 | &Actualiser Actualise les données |
&Refresh Refreshes data |
48 | La sécurité est requise pour ajouter cet objet | Security is required to add this object |
49 | Windows ne peut pas importer le modèle de sécurité | Windows cannot import the security template |
50 | Stratégie de mot de passe | Password Policy |
51 | Durée de vie maximale du mot de passe jours |
Maximum password age days |
52 | Durée de vie minimale du mot de passe jours |
Minimum password age days |
53 | Longueur minimale du mot de passe caractère(s) |
Minimum password length characters |
54 | Conserver l’historique des mots de passe mots de passe mémorisés |
Enforce password history passwords remembered |
55 | Le mot de passe doit respecter des exigences de complexité | Password must meet complexity requirements |
56 | L'utilisateur doit ouvrir une session pour modifier le mot de passe | User must log on to change the password |
57 | Stratégie de verrouillage du compte | Account Lockout Policy |
58 | Seuil de verrouillage du compte tentatives d’ouvertures de session non valides |
Account lockout threshold invalid logon attempts |
59 | Réinitialiser le compteur de verrouillages du compte après minutes |
Reset account lockout counter after minutes |
60 | Durée de verrouillage des comptes minutes |
Account lockout duration minutes |
61 | Voulez-vous supprimer ce modèle ? | Do you want to delete this template? |
62 | La base de données n’est pas chargée. | The database is not loaded. |
63 | Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent | Network security: Force logoff when logon hours expire |
65 | Comptes : renommer le compte administrateur | Accounts: Rename administrator account |
67 | Comptes : renommer le compte Invité | Accounts: Rename guest account |
68 | Recharger Recharge les tables de stratégies locales et en vigueur à partir de la base de données de stratégies |
Reload Reloads the local and effective policy tables from the policy database |
69 | Nom du groupe | Group Name |
70 | Journal des événements | Event Log |
71 | Taille maximale du journal système kilo-octets |
Maximum system log size kilobytes |
72 | Méthode de stockage du journal système | Retention method for system log |
73 | Durée de stockage du journal système jours |
Retain system log days |
74 | Taille maximale du journal de sécurité kilo-octets |
Maximum security log size kilobytes |
75 | Méthode de stockage du journal de sécurité | Retention method for security log |
76 | Durée de stockage du journal de sécurité jours |
Retain security log days |
77 | Taille maximale du journal des applications kilo-octets |
Maximum application log size kilobytes |
78 | Méthode de stockage du journal des applications | Retention method for application log |
79 | Durée de stockage du journal des applications jours |
Retain application log days |
80 | Arrêter l’ordinateur lorsque le journal d’audit de sécurité est plein | Shut down the computer when the security audit log is full |
81 | Stratégie d’audit | Audit Policy |
82 | Mode d’audit d’événement | Event Auditing Mode |
83 | Auditer les événements système | Audit system events |
84 | Auditer les événements de connexion | Audit logon events |
85 | Auditer l’accès aux objets | Audit object access |
86 | Auditer l’utilisation des privilèges | Audit privilege use |
87 | Auditer les modifications de stratégie | Audit policy change |
88 | Auditer la gestion des comptes | Audit account management |
89 | Auditer le suivi des processus | Audit process tracking |
90 | Options de sécurité | Security Options |
92 | Non défini | Not Defined |
95 | Impossible d’ajouter des membres | Cannot add members |
96 | Impossible d’afficher la sécurité | Cannot display security |
97 | Impossible d’ajouter des utilisateurs | Cannot add users |
98 | Impossible d’ajouter un objet répertoire | Cannot add directory object |
99 | Impossible d’ajouter un dossier | Cannot add a folder |
100 | -- Membres | -- Members |
102 | Ce nom de fichier contient certains caractères qui ne peuvent pas être reconnu par le langage système actuel. Renommez le. | This file name contains some characters that can not be recognized by current system language. Please rename it. |
103 | Autorisation | Permission |
104 | Audit | Audit |
106 | Windows ne peut pas ajouter un fichier. | Windows cannot add a file. |
107 | Le nom de modèle n’est pas valide. | The template name is not valid. |
108 | Une erreur s’est produite lors de l’exportation du modèle stocké. | An error occurred while exporting the stored template. |
109 | Windows ne peut pas ajouter une clé de Registre | Windows cannot add a registry key |
110 | Contrôle total | Full Control |
111 | Modification | Modify |
112 | Lecture et exécution | Read and Execute |
113 | Affichage du contenu du dossier | List Folder Contents |
114 | Lecture | Read |
115 | Écriture | Write |
116 | Parcours du dossier/exécuter le fichier | Traverse Folder/Execute File |
117 | Suppression | Delete |
120 | Aucun | None |
124 | Retrouver la valeur | Query Value |
125 | Définir la valeur | Set Value |
126 | Créer une sous-clé | Create Subkey |
127 | Énumérer les sous-clés | Enumerate Subkeys |
128 | Notifier | Notify |
129 | Créer une liaison | Create Link |
130 | Exécuter | Execute |
131 | Impossible de créer une thread | Cannot create a thread |
132 | Les comptes suivants n’ont pas pu être validés : %1 |
The following accounts could not be validated: %1 |
141 | Nom du fichier journal | Log File Name |
143 | Réaliser l’analyse de la sécurité | Perform Security Analysis |
144 | Paramètres de stratégie de sécurité | Security policy settings |
146 | Configuration et analyse de la sécurité Version 1.0 |
Security Configuration and Analysis v1.0 |
147 | Configuration et analyse de la sécurité est un outil d’administration utilisé pour sécuriser un ordinateur et analyser ses aspects de sécurité. Vous pouvez créer ou modifier un modèle de sécurité, l’appliquer, réaliser des analyses basées sur un modèle et afficher les résultats de l’analyse. | Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results. |
148 | Dernière analyse réalisée sur |
Last analysis was performed on |
149 | Description de la configuration de sécurité de base : |
Base security configuration description: |
150 | L'ordinateur a été configuré par le modèle suivant. L'analyse n’a pas été réalisée. |
The computer was configured by the following template. Analysis was not performed. |
151 | L'ordinateur n’a pas été configuré ou analysé par la Configuration et analyse de la sécurité. | The database has not been configured or analyzed using Security Configuration and Analysis. |
152 | À propos de la Configuration et analyse de la sécurité | About Security Configuration and Analysis |
153 | À propos de la dernière analyse | About Last Analysis |
154 | Ajouter un emplacement de modèles aux modèles de sécurité | Add a Template Location to Security Templates |
165 | Nom de l’objet | Object Name |
166 | Valeurs incohérentes | Inconsistent Values |
168 | Ouvrir le modèle | Open Template |
169 | Modèle de sécurité (.inf)|*.inf|| | Security Template (.inf)|*.inf|| |
170 | inf | inf |
171 | Ouverture du journal des erreurs | Open Error Log File |
172 | log | log |
173 | Fichiers journaux (.log)|*.log|| | Log files (.log)|*.log|| |
193 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations |
194 | Windows ne peut pas ouvrir le fichier modèle. | Windows cannot open template file. |
195 | Windows ne peut pas lire les informations du modèle. | Windows cannot read template information. |
196 | Aucune information d’analyse n’est disponible pour affichage dans la base de données sélectionnée. Utilisez l’option du menu Analyser pour commencer à utiliser cet outil. | There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool. |
197 | 0 | 0 |
198 | Autant que nécessaire | As needed |
199 | Par jours | By days |
200 | Manuelle | Manually |
201 | Activé | Enabled |
202 | Désactivé | Disabled |
203 | Actif | On |
210 | Membres | Members |
211 | Membre de | Member Of |
214 | CLASSES_ROOT | CLASSES_ROOT |
215 | MACHINE | MACHINE |
216 | USERS | USERS |
217 | réussi | Succeeded |
229 | Erreur inconnue | Unknown error |
232 | \Security\Templates | \Security\Templates |
233 | Accéder à cet ordinateur à partir du réseau | Access this computer from the network |
234 | Permettre l’ouverture d’une session locale | Allow log on locally |
235 | Impossible d’enregistrer | Failed to save |
236 | &Enregistrer Enregistre le modèle |
&Save Save the template |
237 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit | Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
238 | Ajouter un dossier | Add Folder |
239 | Ajouter un &dossier... Ajoute un nouveau dossier dans ce modèle |
Add &Folder... Adds a new folder to this template |
240 | Ajo&uter une clé... Ajoute une nouvelle clé dans ce modèle |
Add &Key... Adds a new key to this template |
241 | Ajouter un &groupe... Ajoute un nouveau groupe dans ce modèle |
Add &Group... Adds a new group to this template |
248 | Nom du service | Service Name |
249 | Démarrage | Startup |
250 | Analysé | Analyzed |
251 | Configuré | Configured |
252 | Automatique | Automatic |
253 | Manuel | Manual |
254 | OK | OK |
255 | Enquêter | Investigate |
256 | Sécurité de la base de données pour | Database Security for |
257 | Dernière sécurité analysée pour | Last Analyzed Security for |
258 | Sécurité pour | Security for |
262 | Appartenance au groupe | Group Membership |
263 | Membres de ce groupe | Members of this group |
266 | Stratégies de comptes | Account Policies |
267 | Stratégies de mot de passe et de verrouillage de compte | Password and account lockout policies |
268 | Stratégies locales | Local Policies |
269 | Stratégies des options d’audit, de droits d’utilisateurs et de sécurité | Auditing, user rights and security options policies |
271 | Paramètres du journal d’événements et Observateur d’événements | Event Log settings and Event Viewer |
272 | Auditer l’accès au service d’annuaire | Audit directory service access |
273 | Auditer les événements de connexion aux comptes | Audit account logon events |
275 | Empêcher le groupe d’invités locaux d’accéder au journal système | Prevent local guests group from accessing system log |
276 | Empêcher le groupe d’invités locaux d’accéder au journal de sécurité | Prevent local guests group from accessing security log |
277 | Interdire au groupe local Invité l’accès au journal des applications | Prevent local guests group from accessing application log |
278 | Toujours | Always |
281 | Ignorer | Ignore |
284 | Remplacer | Replace |
286 | Ouvrir une session en tant que tâche | Log on as a batch job |
287 | Ouvrir une session en tant que service | Log on as a service |
288 | Objets Active Directory | Active Directory Objects |
289 | Gestion de la sécurité des objets Active Directory | Security management of Active Directory objects |
290 | Ajouter un &objet Active Directory Ajoute un objet Active Directory dans ce modèle |
Add Directory &Object Adds an Active Directory object to this template |
293 | Liste du dossier/lecture de données | List folder / Read data |
294 | Attributs de lecture | Read attributes |
295 | Lecture des attributs étendus | Read extended attributes |
296 | Création de fichier/écriture de données | Create files / Write data |
297 | Création de dossier/ajout de données | Create folders / Append data |
298 | Attributs d’écriture | Write attributes |
299 | Écriture d’attributs étendus | Write extended attributes |
300 | Suppression de sous-dossier et fichier | Delete subfolders and files |
301 | Supprimer | Delete |
302 | Autorisations de lecture | Read permissions |
303 | Modifier les autorisations | Change permissions |
304 | Appropriation | Take ownership |
305 | Synchroniser | Synchronize |
306 | Lecture, écriture et exécution | Read, Write and Execute |
308 | Parcourir / Exécuter | Traverse / Execute |
309 | Ce dossier seulement | This folder only |
310 | Ce dossier, les sous-dossiers et les fichiers | This folder, subfolders and files |
311 | Ce dossier et les sous-dossiers | This folder and subfolders |
312 | Ce dossier et les fichiers | This folder and files |
313 | Les sous-dossiers et les fichiers seulement | Subfolders and files only |
314 | Les sous-dossiers seulement | Subfolders only |
315 | Fichiers seulement | Files only |
316 | Cette clé seulement | This key only |
317 | Cette clé et les sous-clés | This key and subkeys |
318 | Les sous-clés seulement | Subkeys only |
321 | Démarrage, arrêt et pause | Start, stop and pause |
322 | Modèle de requête | Query template |
323 | Modifier le modèle | Change template |
324 | État de la requête | Query status |
325 | Énumération des éléments dépendants | Enumerate dependents |
326 | Démarrer | Start |
327 | Arrêter | Stop |
328 | Pause et reprise | Pause and continue |
329 | Interrogation | Interrogate |
330 | Contrôle défini par l’utilisateur | User-defined control |
332 | Lire | Read |
333 | Écrire | Write |
335 | Créer des enfants | Create children |
336 | Supprimer des enfants | Delete children |
337 | Lister le contenu | List contents |
338 | Ajout/Suppression automatique | Add/remove self |
339 | Propriétés de lecture | Read properties |
340 | Propriétés d’écriture | Write properties |
341 | Ce conteneur seulement | This container only |
342 | Ce conteneur et les sous-conteneurs | This container and subcontainers |
343 | Les sous-conteneurs seulement | Subcontainers only |
344 | [[ Configuration de la stratégie de l’ordinateur local ]] | [[Local Computer Policy Configuration ]] |
345 | Le compte ne sera pas verrouillé. | Account will not lock out. |
346 | Le mot de passe peut être modifié immédiatement. | Password can be changed immediately. |
347 | Aucun mot de passe n’est nécessaire. | No password required. |
348 | Ne pas tenir d’historique des mots de passe. | Do not keep password history. |
349 | Le mot de passe expirera dans : | Password will expire in: |
350 | Le mot de passe peut être modifié après : | Password can be changed after: |
351 | Le mot de passe doit faire au minimum : | Password must be at least: |
352 | Conserver l’historique du mot de passe pendant : | Keep password history for: |
353 | Le compte sera verrouillé après : | Account will lock out after: |
354 | Le compte est verrouillé pour : | Account is locked out for: |
355 | Remplacer les événements datant de plus de : | Overwrite events older than: |
356 | Le mot de passe n’expire jamais. | Password will not expire. |
357 | Le compte est verrouillé jusqu’à ce que l’administrateur le déverrouille. | Account is locked out until administrator unlocks it. |
359 | Enregistrer les mots de passe en utilisant un chiffrement réversible | Store passwords using reversible encryption |
360 | Stratégie Kerberos | Kerberos Policy |
361 | Appliquer les restrictions pour l’ouverture de session | Enforce user logon restrictions |
362 | Tolérance maximale pour la synchronisation de l’horloge de l’ordinateur minutes |
Maximum tolerance for computer clock synchronization minutes |
363 | Durée de vie maximale du ticket de service minutes |
Maximum lifetime for service ticket minutes |
364 | Durée de vie maximale du ticket utilisateur minutes |
Maximum lifetime for user ticket hours |
365 | Durée de vie maximale pour le renouvellement du ticket utilisateur minutes |
Maximum lifetime for user ticket renewal days |
366 | Ajouter un membre | Add Member |
368 | Mémoire insuffisante pour afficher cette section | There is not enough memory to display this section |
369 | Aucune information concernant la dernière analyse n’est disponible | No information is available about the last analysis |
370 | Windows ne peut pas enregistrer les modèles modifiés. | Windows cannot save changed templates. |
372 | Configuration et analyse de la sécurité | Security Configuration and Analysis |
374 | I&mporter un modèle... Importe un modèle dans cette base de données |
&Import Template... Import a template into this database |
376 | Windows ne peut pas créer ou d’ouvrir %s | Windows cannot create or open %s |
377 | Trouver le fichier journal d’erreurs | Locate error log file |
378 | sdb | sdb |
379 | Fichiers base de données de sécurité (*.sdb)|*.sdb|Tous les fichiers (*.*)|*.*|| | Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*|| |
380 | Appliquer le modèle à l’ordinateur | Apply Template to Computer |
381 | Chemin d’accès au fichier journal d’erreurs pour enregistrer la progression de la configuration de l’ordinateur | Error log file path to record the progress of configuring the computer |
382 | Sécu&rité... | &Security... |
383 | Modifier la sécurité pour cet élément | Edit security for this item |
384 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration |
385 | Sécu&rité... Modifier la sécurité pour cet élément |
&Security... Edit security for this item |
386 | EnvironmentVariables | EnvironmentVariables |
387 | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| |
388 | Ouvrir une &base de données... Ouvre une base de données existante ou nouvelle |
O&pen Database... Open an existing or new database |
389 | &Nouvelle base de données... Crée et ouvre une nouvelle base de données |
&New Database... Create and open a new database |
390 | Définir la descri&ption... Permet de créer une description pour les modèles dans ce répertoire |
Set Descri&ption... Create a description for the templates in this directory |
392 | \help\sce.chm | \help\sce.chm |
395 | Tous les fichiers (*.*)|*.*|| | All files (*.*)|*.*|| |
396 | Base de données : %s | Database: %s |
397 | Une erreur inconnue s’est produite lors de la tentative d’ouverture de la base de données. | An unknown error occurred when attempting to open the database. |
398 | Avant de pouvoir utiliser la base de données, vous devez l’analyser. Dans le menu Base de données, sélectionnez l’option de lancement de l’analyse. | Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis. |
399 | La base de données que vous essayez d’ouvrir n’existe pas. Cliquez sur Importer un modèle dans le menu Base de données. | The database you are attempting to open does not exist. On the Database menu, click Import Template. |
400 | La base de données est endommagée. Consultez l’aide en ligne pour obtenir des informations sur la réparation de la base de données. | The database is corrupt. For information about fixing the database, see online Help. |
401 | Mémoire insuffisante pour charger la base de données. Fermez certaines applications et recommencez. | There is not enough memory available to load the database. Close some programs and then try again. |
402 | L'accès à la base de données est refusé. Si les autorisations sur la base de données n’ont pas changé, vous devez avoir des droits d’administrateur pour l’utiliser. | Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it. |
403 | \Security\Database | \Security\Database |
404 | Voulez-vous enregistrer les modifications sous %s ? | Do you want to save changes to %s? |
405 | Un modèle importé existant est en attente. Pour l’enregistrer, cliquez sur Annuler puis lancez une analyse ou un modèle avant d’importer un autre modèle. Pour ignorer le précédent modèle importé, cliquez sur OK. |
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK. |
406 | Tous les fichiers sélectionnés | All Selected Files |
407 | Interdire l’ouverture d’une session locale | Deny log on locally |
408 | Interdire l’accès à cet ordinateur à partir du réseau | Deny access to this computer from the network |
409 | Interdire l’ouverture de session en tant que service | Deny log on as a service |
410 | Interdire l’ouverture de session en tant que tâche | Deny log on as a batch job |
411 | Ajouter un groupe | Add Group |
412 | &Groupe : | &Group: |
413 | Non analysé | Not Analyzed |
414 | Erreur lors de l’analyse | Error Analyzing |
416 | Paramètres suggérés | Suggested Setting |
417 | Stratégie locale... Crée un fichier modèle à partir des paramètres de la stratégie locale |
Local Policy ... Create template file from the local policy settings |
418 | Stratégie en cours... Crée un fichier modèle à partir des paramètres de la stratégie en cours |
Effective Policy ... Create template file from the effective policy settings |
419 | Configuration et analyse de la sécurité Pour ouvrir une base de donnée existante Cliquez avec le bouton droit de la souris sur l’élément étendu de Configuration et analyse de la sécurité. Cliquez sur Ouvrir la base de donnéesSélectionnez une base de données et cliquez sur Ouvrir Pour créer une nouvelle base de données Cliquez avec le bouton droit sur l’élément d’étendue Configuration et analyse de la sécurité.Cliquez sur Ouvrir la base de données Entrez un nouveau nom de base de données et cliquez sur Ouvrir.Sélectionnez un fichier de configuration de sécurité à importer puis cliquez sur Ouvrir. | Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open |
420 | ||
422 | La base de données que vous essayez d’ouvrir n’existe pas. | The database you are attempting to open does not exist. |
423 | Vous pouvez créer une nouvelle base de données de stratégie locale en choisissant Importer la stratégie dans le menu de commande des paramètres de sécurité. | You can create a new local policy database by choosing Import Policy from the Security Settings menu commands. |
424 | L'accès à la base de données a été refusé. | Access to database has been denied. |
425 | &Vioir le fichier journal Bascule l’affichage du fichier journal ou de l’arborescence des dossiers lorsque le nœud Configuration et analyse de la sécurité est sélectionné |
View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected |
426 | Vous pouvez maintenant configurer et analyser votre ordinateur en utilisant les paramètres de sécurité définis dans cette base de données. Pour configurer votre ordinateurCliquez avec le bouton droit de la souris sur l’élément d’étendue Configuration et analyse de la sécurité.Cliquez sur Configurer l’ordinateur maintenantdans la boîte de dialogue, entrez le nom du journal à afficher puis cliquez sur OK.Remarque : une fois la configuration terminée, effectuez une analyse pour afficher les informations de votre base de données.Pour analyser les paramètres de sécurité de votre ordinateur Cliquez avec le bouton droit de la souris sur l’élément d’étendue Configuration et analyse de la sécurité.Sélectionnez Analyser l’ordinateur maintenantDans la boîte de dialogue, entrez le chemin du journal et cliquez sur OK.Remarque : pour afficher le fichier créé lors d’une configuration ou une analyse, sélectionnez Afficher le journal dans le menu contextuel de Configuration et analyse de la sécurité. | You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu. |
427 | Erreur lors de la lecture de l’emplacement | Error Reading Location |
429 | Paramètres de stratégie | Policy Setting |
430 | Assistant &Sécurisation... Assistant Rôle du serveur sécurisé |
Secure &Wizard... Secure Server Role Wizard |
431 | Windows ne peut pas importer un modèle non valide %s | Windows cannot import invalid template %s |
432 | Comptes : statut du compte Administrateur | Accounts: Administrator account status |
433 | Comptes : statut du compte Invité | Accounts: Guest account status |
434 | Propriétés | Properties |
435 | Le nom d’utilisateur n’est pas valide. Il est vide ou ne peut contenir aucun des caractères suivants : %1 |
The username is not valid. It is empty or it may not contain any of the following characters: %1 |
436 | Pas de minimum | No minimum |
437 | Les noms de groupe et d’utilisateur ne peuvent contenir aucun des caractères suivants : %1 |
User and group names may not contain any of the following characters: %1 |
438 | Le système ne trouve pas le chemin d’accès spécifié : %1 |
The system can not find the path specified: %1 |
439 | Le nom de fichier ne peut contenir aucun des caractères suivants : %1 |
File name may not contain any of the following characters: %1 |
440 | Un mode de démarrage doit être sélectionné. | A startup mode must be selected. |
441 | L'objet "%1" ne peut pas être supprimé car une fenêtre ouverte affiche ses propriétés. Pour supprimer cet objet, fermez cette fenêtre et sélectionnez de nouveau "Supprimer". |
Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again. |
442 | Configurer l’appartenance pour %.17s... | Configure Membership for %.17s... |
443 | Réinitialiser le compteur de verrouillages du compte après | Reset account lockout counter after |
445 | La description ne peut contenir aucun des caractères suivants : %1 |
Description may not contain any of the following characters: %1 |
446 | Paramètre du modèle | Template Setting |
449 | Assurez-vous de disposer des autorisations correctes pour cet objet. | Make sure that you have the right permissions to this object. |
450 | Assurez-vous que cet objet existe. | Make sure that this object exists. |
451 | Le dossier %1 ne peut pas être utilisé. Choisissez un autre dossier. | The folder %1 cannot be used. Choose another folder. |
452 | Poste de travail | My Computer |
453 | Le nom du fichier est trop long. | The file name is too long. |
552 | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm |
697 | Le nom de fichier ne peut pas contenir uniquement l’un de ces caractères : %1 |
File name may not only contain any of the following characters: %1 |
698 | %1 Ce nom de fichier est un nom de périphérique réservé. Veuillez utiliser un nom de fichier différent. |
%1 This file name is a reserved device name. Choose another name. |
699 | Le type de fichier est incorrect. | The file type is not correct. |
700 | Vous devez être membre du groupe Administrateurs pour effectuer l’opération demandée. | You must be a member of the Administrators group to perform the requested operation. |
701 | Le nom de fichier %1 n’est pas valide. Entrez de nouveau le nom de fichier dans un format correct, tel que c:\emplacement\fichier.%2. |
The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2. |
702 | Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué | No mapping between account names and security IDs was done |
709 | Pour affecter les comptes de domaine, ce paramètre doit être défini dans la stratégie de domaine par défaut. | To affect domain accounts, this setting must be defined in default domain policy. |
718 | Stratégie de sécurité locale | Local Security Policy |
740 | %1%2 | %1%2 |
741 | %1%2 %3 |
%1%2 %3 |
745 | Spécial | Special |
753 | Paramètres de sécurité pour l’accès à distance à SAM | Security Settings for Remote Access to SAM |
754 | Accès à distance | Remote Access |
762 | Stratégie d’accès centralisée | Central Access Policy |
763 | Stratégies d’accès centralisées appliquées au système de fichiers | Central Access Policies applied to the file system |
764 | !!Stratégie inconnue!! : | !!Unknown policy!!: |
765 | %1 %2 | %1 %2 |
1900 | Appliquer l’historique des mots de passe
Ce paramètre de sécurité détermine le nombre de nouveaux mots de passe uniques devant être associés à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. La valeur doit être comprise entre 0 et 24 mots de passe. Cette stratégie permet aux administrateurs d’améliorer la sécurité en garantissant que d’anciens mots de passe ne sont pas réutilisés continuellement. Valeur par défaut : 24 sur les contrôleurs de domaine. 0 sur les serveurs autonomes. Remarque : par défaut, les ordinateurs membres suivent la configuration de leur contrôleur de domaine. Pour maintenir l’efficacité de l’historique des mots de passe, ne permettez pas que les mots de passe soient changés immédiatement après avoir été changés en activant également le paramètre de stratégie de sécurité Durée de vie minimale du mot de passe. Pour plus d’informations sur le paramètre de stratégie de sécurité de durée de vie minimale du mot de passe, voir Durée de vie minimale du mot de passe. |
Enforce password history
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age. |
1901 | Durée de vie maximale du mot de passe
Ce paramètre de sécurité détermine la période (en jours) pendant laquelle un mot de passe peut être utilisé avant que le système oblige l’utilisateur à le changer. Vous pouvez prévoir que les mots de passe expirent après une période comprise entre 1 et 999 jours, ou vous pouvez spécifier que les mots de passe n’expirent jamais en choisissant la valeur 0. Si la durée de vie maximale du mot de passe est comprise entre 1 et 999 jours, la durée de vie minimale du mot de passe doit être inférieure à la durée de vie maximale. Si la durée de vie maximale du mot de passe a la valeur 0, la durée de vie minimale peut être comprise entre 0 et 998 jours. Remarque : la meilleure pratique consiste à choisir un délai d’expiration compris entre 30 et 90 jours, selon votre environnement. De cette manière, un attaquant dispose d’une période limitée pour trouver le mot de passe d’un utilisateur et avoir accès aux ressources de votre réseau. Valeur par défaut : 42. |
Maximum password age
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42. |
1902 | Durée de vie minimale du mot de passe
Ce paramètre de sécurité détermine la période minimale (en jours) d’utilisation d’un mot de passe avant que l’utilisateur puisse le changer. Vous choisissez une valeur comprise entre 1 et 998 jours, ou vous pouvez permettre des changements immédiats en spécifiant la valeur 0. La durée de vie minimale du mot de passe doit être inférieure à la durée de vie maximale, sauf si la durée de vie maximale du mot de passe est définie à 0, indiquant que les mots de passe n’expirent jamais. Si la durée de vie maximale du mot de passe est de 0, la durée de vie minimale peut être réglée à une valeur comprise entre 0 et 998. Configurez la durée de vie minimale du mot de passe à une valeur supérieure à 0 pour garantir l’efficacité du paramètre Appliquer l’historique des mots de passe. Sans une durée de vie minimale du mot de passe, les utilisateurs peuvent effectuer des tentatives répétées d’entrée de mot de passe jusqu’à ce qu’ils obtiennent un ancien mot de passe favori. Le réglage par défaut ne respecte pas cette recommandation, afin qu’un administrateur puisse spécifier un mot de passe pour un utilisateur et obliger ce dernier à changer le mot de passe défini par l’administrateur lorsque l’utilisateur se connecte. Si l’historique du mot de passe est défini à 0, l’utilisateur n’a pas besoin de choisir un nouveau mot de passe. Pour cette raison, le paramètre Appliquer l’historique des mots de passe est défini à 1 par défaut. Valeur par défaut : 1 sur les contrôleurs de domaine. 0 sur les serveurs autonomes. Remarque : par défaut, les ordinateurs membres adoptent la configuration de leur contrôleur de domaine. |
Minimum password age
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1903 | Longueur minimale du mot de passe
Ce paramètre de sécurité détermine le nombre minimal de caractères que doit contenir le mot de passe d’un compte d’utilisateur. Vous pouvez choisir une valeur comprise entre 1 et 14 caractères, ou vous pouvez établir qu’aucun mot de passe n’est requis en choisissant la valeur 0. Valeur par défaut : 7 sur les contrôleurs de domaine. 0 sur les serveurs autonomes. Remarque : par défaut, les ordinateurs membres adoptent la configuration de leur contrôleur de domaine. |
Minimum password length
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1904 | Le mot de passe doit respecter des exigences de complexité
Ce paramètre de sécurité détermine si les mots de passe doivent respecter des exigences de complexité. Si cette stratégie est activée, les mots de passe doivent respecter les exigences minimales suivantes : Ne pas contenir le nom de compte de l’utilisateur ou des parties du nom complet de l’utilisateur comptant plus de deux caractères successifs Comporter au moins six caractères Contenir des caractères provenant de trois des quatre catégories suivantes : Caractères majuscules anglais (A à Z) Caractères minuscules anglais (a à z) Chiffres en base 10 (0 à 9) Caractères non alphabétiques (par exemple, !, $, #, %) Les exigences de complexité sont appliquées lors du changement ou de la création de mots de passe. Valeur par défaut : Activé sur les contrôleurs de domaine. Désactivé sur les serveurs automnes. Remarque : par défaut, les ordinateurs membres adoptent la configuration de leur contrôleur de domaine. |
Password must meet complexity requirements
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1905 | Stocker les mots de passe en utilisant un chiffrement réversible
Ce paramètre de sécurité détermine si le système d’exploitation stocke les mots de passe en utilisant un chiffrement réversible. Cette stratégie est destinée aux applications qui utilisent des protocoles nécessitant la connaissance du mot de passe de l’utilisateur à des fins d’authentification. Le stockage des mots de passe avec un chiffrement réversible est fondamentalement identique au stockage des versions des mots de passe en texte clair. Pour cette raison, cette stratégie ne doit être activée que si les impératifs de l’application prévalent sur la nécessité de protéger les informations des mots de passe. Cette stratégie est requise lors de l’utilisation de l’authentification CHAP (Challenge-Handshake Authentication Protocol) par accès distant ou IAS (Internet Authentication Services). Elle est aussi requise lors de l’utilisation de l’authentification Digest dans IIS (Internet Information Services). Valeur par défaut : Désactivé. |
Store passwords using reversible encryption
This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled. |
1906 | Durée de verrouillage des comptes
Ce paramètre de sécurité détermine le nombre de minutes pendant lesquelles un compte verrouillé reste verrouillé avant d’être automatiquement déverrouillé. Les valeurs disponibles sont comprises entre 0 et 99 999 minutes. Si vous réglez la durée de verrouillage des comptes à 0, le compte est verrouillé jusqu’à ce qu’un administrateur le déverrouille explicitement. Si un seuil de verrouillage de comptes est défini, la durée de verrouillage des comptes doit être supérieure ou égale au délai de réinitialisation. Valeur par défaut : aucune, car ce paramètre de stratégie n’a un sens que si un seuil de verrouillage de comptes est spécifié. |
Account lockout duration
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1907 | Seuil de verrouillage de comptes
Ce paramètre de sécurité détermine le nombre d’échecs d’ouverture de session entraînant le blocage d’un compte d’utilisateur. Un compte verrouillé ne peut pas être utilisé tant qu’il n’a pas été réinitialisé par un administrateur ou jusqu’à l’expiration de la durée de verrouillage du compte. Vous pouvez choisir une valeur comprise entre 0 et 999 échecs d’ouverture de session. Si vous choisissez la valeur 0, le compte ne se sera jamais verrouillé. Les échecs d’entrée de mot de passe sur des stations de travail ou des serveurs membres ayant été verrouillés par Ctrl+Alt+Suppr ou par un écran de veille protégé par mot de passe sont comptés comme des échecs d’ouverture de session. Valeur par défaut : 0. |
Account lockout threshold
This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0. |
1908 | Réinitialiser le compteur de verrouillages du compte après
Ce paramètre de stratégie détermine le nombre de minutes devant s’écouler après un échec d’ouverture de session avant que le compteur d’échecs d’ouverture de session ne soit remis à 0. Les valeurs disponibles sont comprises entre 1 minute et 99 999 minutes. Si un seuil de verrouillage de comptes est défini, ce délai de réinitialisation doit être inférieur ou égal à la Durée de verrouillage du compte. Valeur par défaut : aucun, car ce paramètre de stratégie n’est significatif que lorsqu’un seuil de verrouillage de comptes est spécifié. |
Reset account lockout counter after
This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1909 | Appliquer les restrictions pour l’ouverture de session
Ce paramètre de stratégie détermine si le centre de distribution de clés (KDC) Kerberos V5 valide chaque demande de ticket de session en fonction de la stratégie des droits de l’utilisateur du compte d’utilisateur. La validation de chaque demande de ticket de session est facultative, car l’opération supplémentaire prend du temps et risque de ralentir l’accès réseau aux services. Valeur par défaut : Activé. |
Enforce user logon restrictions
This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled. |
1910 | Durée de vie maximale du ticket de service
Ce paramètre de sécurité détermine la période maximale (en minutes) pendant laquelle un ticket peut être utilisé pour accéder à un service particulier. La valeur doit être supérieure à 10 minutes et inférieure ou égale à celle de Durée de vie maximale du ticket utilisateur. Si un client présente un ticket de session expiré lorsqu’il demande une connexion à un serveur, le serveur renvoie un message d’erreur. Le client doit demander un nouveau ticket de session au centre de distribution de clés (KDC) Kerberos V5. Une fois qu’une connexion est authentifiée, le ticket de session ne doit pas nécessairement rester valide. Les tickets de session servent uniquement à authentifier de nouvelles connexions aux serveurs. Les opérations sortantes ne sont pas interrompues si le ticket de session qui est utilisé pour authentifier la connexion expire pendant celle-ci. Valeur par défaut : 600 minutes (10 heures). |
Maximum lifetime for service ticket
This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours). |
1911 | Durée de vie maximale du ticket utilisateur
Ce paramètre de sécurité détermine la période maximale (en heures) pendant laquelle un ticket TGT (ticket-granting ticket) peut être utilisé. Valeur par défaut : 10 heures. |
Maximum lifetime for user ticket
This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours. |
1912 | Durée de vie maximale pour le renouvellement du ticket utilisateur
Ce paramètre de sécurité détermine la période (en jours) pendant laquelle le ticket TGT (ticket-granting ticket) d’un utilisateur peut être renouvelé. Valeur par défaut : 7 jours. |
Maximum lifetime for user ticket renewal
This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days. |
1913 | Tolérance maximale pour la synchronisation de l’horloge de l’ordinateur
Ce paramètre de sécurité détermine la différence d’heure maximale (en minutes) que Kerberos V5 tolère entre l’heure sur l’horloge du client et l’heure sur le contrôleur de domaine exécutant Windows Server 2003 qui fournit l’authentification Kerberos. Pour empêcher les « attaques par relecture », Kerberos V5 utilise des horodatages dans sa définition de protocole. Pour permettre le bon fonctionnement des horodatages, les horloges du client et du contrôleur de domaine doivent être aussi synchronisées que possible. En d’autres termes, les deux ordinateurs doivent être réglés aux mêmes date et heure. Comme les horloges des deux ordinateurs sont souvent désynchronisées, les administrateurs peuvent utiliser cette stratégie pour établir la différence maximale acceptable pour Kerberos V5 entre l’horloge d’un client et celle d’un contrôleur de domaine. Si la différence entre l’horloge d’un client et celle du contrôleur de domaine est inférieure à la différence d’heure maximale spécifiée dans cette stratégie, tous les horodatages utilisés dans une session entre les deux ordinateurs sont considérés authentiques. Important Ce paramètre n’est pas persistant sur les plateformes antérieures à Vista. Si vous configurez ce paramètre, puis redémarrez l’ordinateur, la valeur par défaut est rétablie. Valeur par défaut : 5 minutes. |
Maximum tolerance for computer clock synchronization
This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes. |
1914 | Auditer les événements de connexion aux comptes
Ce paramètre de sécurité détermine si le système d’exploitation effectue un audit chaque fois que cet ordinateur valide les informations d’identification d’un compte. Des événements de connexion aux comptes sont générés lorsqu’un ordinateur valide les informations d’identification d’un compte pour lequel il fait autorité. Les membres du domaine et les ordinateurs non joints au domaine font autorité sur leurs comptes locaux ; les contrôleurs de domaine font tous autorité pour les comptes du domaine. La validation des informations d’identification peut être utilisée pour la prise en charge d’une connexion locale ou, dans le cas d’un compte de domaine Active Directory sur un contrôleur de domaine, pour la prise en charge de la connexion à un autre ordinateur. La validation des informations d’identification est sans état : il n’y a donc aucun événement de déconnexion correspondant pour les événements de connexion aux comptes. Si ce paramètre de stratégie est défini, l’administrateur peut spécifier s’il convient d’auditer uniquement les réussites, uniquement les échecs, les réussites et les échecs, ou de n’auditer aucun de ces événements (c’est-à-dire ni les réussites ni les échecs). Valeurs par défaut sur les éditions clientes : Validation des informations d’identification : Pas d’audit Opérations de ticket du service Kerberos : Pas d’audit Autres événements d’ouverture de session : Pas d’audit Service d’authentification Kerberos : Pas d’audit Valeurs par défaut sur les éditions serveur : Validation des informations d’identification : Réussite Opérations de ticket du service Kerberos : Réussite Autres événements d’ouverture de session : Pas d’audit Service d’authentification Kerberos : Réussite Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account logon events
This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1915 | Auditer la gestion des comptes
Ce paramètre de sécurité détermine s’il convient d’auditer chaque événement de gestion des comptes sur un ordinateur. Exemples d’événements de gestion des comptes : Un compte ou un groupe d’utilisateurs est créé, modifié ou supprimé. Un compte d’utilisateur est renommé, désactivé ou activé. Un mot de passe est défini ou changé. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s’il convient d’auditer les réussites, les échecs, ou de ne pas du tout auditer le type d’événement. Les audits de réussite génèrent une entrée d’audit lorsqu’un événement de gestion de compte réussit. Les audits d’échec génèrent une entrée d’audit lorsqu’un événement de gestion de compte échoue. Pour définir cette valeur à Pas d’audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Valeur par défaut sur les éditions clientes : Gestion des comptes d’utilisateur : Réussite Gestion des comptes d’ordinateur : Pas d’audit Gestion des groupes de sécurité : Réussite Gestion des groupes de distribution : Pas d’audit Gestion des groupes d’applications : Pas d’audit Autres événements de gestion des comptes : Pas d’audit Valeurs par défaut sur les éditions serveur : Gestion des comptes d’utilisateur : Réussite Gestion des comptes d’ordinateur : Réussite Gestion des groupes de sécurité : Réussite Gestion des groupes de distribution : Pas d’audit Gestion des groupes d’applications : Pas d’audit Autres événements de gestion des comptes : Pas d’audit Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account management
This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1916 | Auditer l’accès au service d’annuaire
Ce paramètre de sécurité détermine si le système d’exploitation audite les tentatives d’accès aux objets Active Directory par l’utilisateur. L’audit est généré uniquement pour les objets pour lesquels des listes de contrôle d’accès système (SACL) sont spécifiées, et uniquement si le type d’accès demandé (tel qu’Écriture, Lecture ou Modification) et le compte effectuant la demande correspondent aux paramètres dans la liste SACL. L’administrateur peut spécifier s’il convient d’auditer uniquement les réussites, uniquement les échecs, les réussites et les échecs, ou de n’auditer aucun de ces événements (c’est-à-dire ni les réussites ni les échecs). Si un audit des réussites est activé, une entrée d’audit est générée chaque fois qu’un compte accède à un objet Active Directory pour lequel une liste SACL correspondante est spécifiée. Si un audit des échecs est activé, une entrée d’audit est générée chaque fois qu’un utilisateur tente en vain d’accéder à un objet Active Directory pour lequel une liste SACL correspondante est spécifiée. Valeur par défaut sur les éditions clientes : Accès au service d’annuaire : Pas d’audit Modification du service d’annuaire : Pas d’audit Réplication du service d’annuaire : Pas d’audit Réplication du service d’annuaire détaillé : Pas d’audit Valeurs par défaut sur les éditions serveur : Accès au service d’annuaire : Réussite Modification du service d’annuaire : Pas d’audit Réplication du service d’annuaire : Pas d’audit Réplication du service d’annuaire détaillé : Pas d’audit Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit directory service access
This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1917 | Auditer les événements de connexion
Ce paramètre de sécurité détermine si le système d’exploitation audite chaque instance d’une tentative de connexion ou de déconnexion à cet ordinateur par un utilisateur. Des événements de déconnexion sont générés lorsqu’une session de connexion d’un compte d’utilisateur connecté se termine. Si ce paramètre de stratégie est défini, l’administrateur peut spécifier s’il convient d’auditer uniquement les réussites, uniquement les échecs, les réussites et les échecs, ou de n’auditer aucun de ces événements (c’est-à-dire ni les réussites ni les échecs). Valeurs par défaut sur les éditions clientes : Ouverture de session : Réussite Fermeture de session : Réussite Verrouillage de compte : Réussite Mode principal IPsec : Pas d’audit Mode rapide IPsec : Pas d’audit Mode étendu IPsec : Pas d’audit Ouverture de session spéciale : Réussite Autres événements d’ouverture/fermeture de session : Pas d’audit Serveur NPS (Network Policy Server) : Réussite, échec Valeurs par défaut sur les éditions serveur : Ouverture de session : Réussite, échec Fermeture de session : Réussite Verrouillage de compte : Réussite Mode principal IPsec : Pas d’audit Mode rapide IPsec : Pas d’audit Mode étendu IPsec : Pas d’audit Ouverture de session spéciale : Réussite Autres événements d’ouverture/fermeture de session : Pas d’audit Serveur NPS (Network Policy Server) : Réussite, échec Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit logon events
This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1918 | Auditer l’accès aux objets
Ce paramètre de sécurité détermine si le système d’exploitation audite les tentatives d’accès à des objets non-Active Directory par l’utilisateur. L’audit est généré uniquement pour les objets pour lesquels des listes de contrôle d’accès système (SACL) sont spécifiées, et uniquement si le type d’accès demandé (tel qu’Écriture, Lecture ou Modification) et le compte effectuant la demande correspondent aux paramètres dans la liste SACL. L’administrateur peut spécifier s’il convient d’auditer uniquement les réussites, uniquement les échecs, les réussites et les échecs, ou de n’auditer aucun de ces événements (c’est-à-dire ni les réussites ni les échecs). Si un audit des réussites est activé, une entrée d’audit est générée chaque fois qu’un compte accède à un objet non-Active Directory pour lequel une liste SACL correspondante est spécifiée. Si un audit des échecs est activé, une entrée d’audit est générée chaque fois qu’un utilisateur tente en vain d’accéder à un objet non-Active Directory pour lequel une liste SACL correspondante est spécifiée. Notez que vous pouvez définir une liste SACL sur un objet de système de fichiers en utilisant l’onglet Sécurité dans la boîte de dialogue Propriétés de cet objet. Valeur par défaut : Pas d’audit. Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit object access
This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1919 | Auditer les modifications de stratégie
Ce paramètre de sécurité détermine si le système d’exploitation audite chaque instance des tentatives de modification de la stratégie d’affectation des droits d’utilisateur, de la stratégie d’audit, de la stratégie de compte ou de la stratégie d’approbation. L’administrateur peut spécifier s’il convient d’auditer uniquement les réussites, uniquement les échecs, les réussites et les échecs, ou de n’auditer aucun de ces événements (c’est-à-dire ni les réussites ni les échecs). Si un audit des réussites est activé, une entrée d’audit est générée lorsqu’une tentative de modification de la stratégie d’affectation des droits d’utilisateur, de la stratégie d’audit ou de la stratégie d’approbation aboutit. Si un audit des échecs est activé, une entrée d’audit est générée lorsqu’une tentative de modification de la stratégie d’affectation des droits d’utilisateur, de la stratégie d’audit ou de la stratégie d’approbation est effectuée par un compte qui n’est pas autorisé à effectuer la modification de stratégie demandée. Valeur par défaut : Auditer les modifications de stratégie Réussite Modification de la stratégie d’authentification : Réussite Modification de la stratégie d’autorisation : Pas d’audit Modification de la stratégie de niveau règle MPSSVC : Pas d’audit Modification de la stratégie de plateforme de filtrage : Pas d’audit Autres événements de modification de stratégie : Pas d’audit Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit policy change
This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1920 | Auditer l’utilisation des privilèges
Ce paramètre de sécurité détermine s’il convient d’auditer chaque instance d’un utilisateur exerçant un droit de l’utilisateur. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s’il convient d’auditer les réussites, d’auditer les échecs, ou de ne pas du tout auditer le type d’événement. Les audits de réussite génèrent une entrée d’audit lorsque l’exercice d’un droit de l’utilisateur réussit. Les audits d’échec génèrent une entrée d’audit lorsque l’exercice d’un droit de l’utilisateur échoue. Pour définir cette valeur à Pas d’audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Valeur par défaut : Pas d’audit. Des audits ne sont pas générés pour l’utilisation des droits de l’utilisateur suivants, même si des audits de réussite ou des audits d’échec sont spécifiés pour Auditer l’utilisation des privilèges. L’activation de l’audit de ces droits de l’utilisateur tend à générer de nombreux événements dans le journal de sécurité, ce qui peut compromettre les performances de votre ordinateur. Pour auditer les droits de l’utilisateur suivants, activez la clé de Registre FullPrivilegeAuditing. Contourner la vérification de parcours Déboguer les programmes Créer un objet-jeton Remplacer un jeton de niveau processus Générer des audits de sécurité Sauvegarder les fichiers et les répertoires Restaurer les fichiers et les répertoires Attention Une modification incorrecte du Registre peut gravement endommager le système. Avant d’apporter des modifications au Registre, il convient de sauvegarder toutes les données importantes de l’ordinateur. Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit privilege use
This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1921 | Auditer le suivi des processus
Ce paramètre de sécurité détermine si le système d’exploitation audite les événements associés aux processus tels que la création de processus, la fin de processus, la duplication de descripteur et l’accès indirect aux objets. Si ce paramètre de stratégie est défini, l’administrateur peut spécifier s’il convient d’auditer uniquement les réussites, uniquement les échecs, les réussites et les échecs, ou de n’auditer aucun de ces événements (c’est-à-dire ni les réussites ni les échecs). Si un audit des réussites est activé, une entrée d’audit est générée chaque fois que le système d’exploitation effectue l’une de ces activités associées aux processus. Si un audit des échecs est activé, une entrée d’audit est générée chaque fois que le système d’exploitation échoue à effectuer l’une de ces activités. Valeur par défaut : Pas d’audit Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit process tracking
This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1922 | Auditer les événements système
Ce paramètre de sécurité détermine si le système d’exploitation audite l’un des événements suivants : • Tentative de modification de l’heure système • Tentative de démarrage ou d’arrêt du système de sécurité • Tentative de chargement de composants d’authentification extensibles • Perte d’événements audités en raison d’une défaillance du système d’audit • Taille du journal de sécurité dépassant un niveau de seuil d’avertissement configurable. Si ce paramètre de stratégie est défini, l’administrateur peut spécifier s’il convient d’auditer uniquement les réussites, uniquement les échecs, les réussites et les échecs, ou de n’auditer aucun de ces événements (c’est-à-dire ni les réussites ni les échecs). Si un audit des réussites est activé, une entrée d’audit est générée chaque fois que le système d’exploitation effectue l’une de ces activités. Si un audit des échecs est activé, une entrée d’audit est générée chaque fois que le système d’exploitation échoue à effectuer l’une de ces activités. Valeur par défaut : Modification de l’état de la sécurité Réussite Extension système de sécurité Pas d’audit Intégrité du système Réussite, échec Pilote IPSEC Pas d’audit Autres événements système Réussite, échec Important : pour plus de contrôle sur les stratégies d’audit, utilisez les paramètres dans le nœud Configuration avancée de la stratégie d’audit. Pour plus d’informations sur la Configuration avancée de la stratégie d’audit, voir https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit system events
This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1923 | Accéder à cet ordinateur à partir du réseau
Ce droit d’utilisateur détermine quels utilisateurs et groupes sont autorisés à se connecter à l’ordinateur sur le réseau. Les services Bureau à distance ne sont pas affectés par ce droit d’utilisateur. Remarque : les services Bureau à distance étaient appelés « services Terminal Server » dans les versions précédentes de Windows Server. Valeur par défaut sur les stations de travail et les serveurs : Administrateurs Opérateurs de sauvegarde Utilisateurs Tout le monde Valeur par défaut sur les contrôleurs de domaines : Administrateurs Utilisateurs authentifiés Contrôleurs de domaine d’entreprise Tout le monde Accès compatible avec les versions antérieures à Windows 2000 |
Access this computer from the network
This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
1924 | Agir en tant que partie du système d’exploitation
Ce droit d’utilisateur permet à un processus d’emprunter l’identité d’un utilisateur sans authentification. Le processus peut par conséquent accéder aux mêmes ressources locales que cet utilisateur. Les processus qui nécessitent ce privilège doivent utiliser le compte Système local, qui inclut déjà les privilèges, plutôt que d’utiliser un compte d’utilisateur distinct auquel ces privilèges seraient spécialement affectés. Si votre organisation utilise uniquement des serveurs membres de la famille Windows Server 2003, il n’est pas nécessaire d’affecter ce privilège à vos utilisateurs. Cependant, si votre organisation utilise des serveurs exécutant Windows 2000 ou Windows NT 4.0, il peut être nécessaire d’affecter ce privilège pour utiliser les applications qui échangent des mots de passe en texte clair. Attention L’affectation de ce droit d’utilisateur peut constituer un risque pour la sécurité. Affectez uniquement ce droit d’utilisateur à des utilisateurs approuvés. Valeur par défaut : aucune. |
Act as part of the operating system
This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None. |
1925 | Ajouter des stations de travail au domaine
Ce paramètre de sécurité détermine quels groupes ou utilisateurs peuvent ajouter des stations de travail à un domaine. Ce paramètre de sécurité est valide uniquement sur les contrôleurs de domaine. Par défaut, tout utilisateur authentifié dispose de ce droit et peut créer jusqu’à 10 comptes d’ordinateur dans le domaine. L’ajout d’un compte d’ordinateur au domaine permet à l’ordinateur de participer à un réseau basé sur Active Directory. Par exemple, l’ajout d’une station de travail à un domaine permet à cette station de travail de reconnaître les comptes et les groupes qui existent dans Active Directory. Valeur par défaut : Utilisateurs authentifiés sur les contrôleurs de domaine. Remarque : les utilisateurs disposant de l’autorisation Créer des objets d’ordinateur sur le conteneur ordinateur Active Directory peuvent également créer des comptes d’ordinateur dans le domaine. La différence réside dans le fait que les utilisateurs bénéficiant d’autorisations sur le conteneur ne sont pas limités à la création de seulement 10 comptes d’ordinateur. En outre, les comptes d’ordinateur qui sont créés au moyen de Ajouter des stations de travail au domaine ont des administrateurs de domaine comme propriétaire du compte d’ordinateur, tandis que les comptes d’ordinateur qui sont créés au moyen d’autorisations sur le conteneur ordinateur ont le créateur comme propriétaire du compte d’ordinateur. Si un utilisateur dispose d’autorisations sur le conteneur, ainsi que du droit d’utilisateur Ajouter des stations de travail au domaine, l’ordinateur est ajouté, en fonction des autorisations du conteneur ordinateur et non pas en fonction du droit d’utilisateur. |
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. |
1926 | Ajuster les quotas de mémoire pour un processus
Ce privilège détermine qui peut changer la quantité de mémoire maximale pouvant être consommée par un processus. Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe (GPO) Contrôleur de domaine par défaut et dans la stratégie de sécurité locale de stations de travail et de serveurs. Remarque : ce privilège est utile pour l’ajustement du système, mais il peut être utilisé à des fins malveillantes, par exemple dans une attaque par déni de service. Valeur par défaut : Administrateurs Service local Service réseau. |
Adjust memory quotas for a process
This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service. |
1927 | Permettre l’ouverture d’une session locale
Détermine quels utilisateurs peuvent se connecter à l’ordinateur. Important La modification de ce paramètre peut affecter la compatibilité avec des clients, des services et des applications. Pour obtenir des informations de compatibilité sur ce paramètre, voir l’article sur cet aspect de compatibilité (https://go.microsoft.com/fwlink/?LinkId=24268) sur le site Web Microsoft. Valeur par défaut : • Sur les stations de travail et les serveurs : Administrateurs, Opérateurs de sauvegarde, Utilisateurs avec pouvoir, Utilisateurs et Invité. • Sur les contrôleurs de domaine : Opérateurs de compte, Administrateurs, Opérateurs de sauvegarde et Opérateurs d’impression. |
Log on locally
Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators. |
1928 | Autoriser l’ouverture de session par les services Bureau à distance
Ce paramètre de sécurité détermine quels utilisateurs ou groupes sont autorisés à se connecter comme client des services Bureau à distance. Valeur par défaut : Sur les stations de travail et les serveurs : Administrateurs, Utilisateurs du Bureau à distance. Sur les contrôleurs de domaine : Administrateurs. Important Ce paramètre n’a aucun effet sur les ordinateurs Windows 2000 qui n’ont pas été mis à jour avec le Service Pack 2. |
Allow log on through Remote Desktop Services
This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1929 | Sauvegarder les fichiers et les répertoires
Ce droit d’utilisateur détermine quels utilisateurs peuvent contourner les autorisations de fichiers et de répertoires, de Registre, et autres autorisations d’objet persistantes à des fins de sauvegarde du système. Spécifiquement, ce droit d’utilisateur revient à accorder les autorisations suivantes à l’utilisateur ou au groupe en question sur tous les fichiers et dossiers du système : Parcours du dossier/exécuter le fichier Liste du dossier/lecture de données Lecture des attributs Lecture des attributs étendus Autorisations de lecture Attention L'affectation de ce droit d’utilisateur peut constituer un risque pour la sécurité. Comme il est impossible de s’assurer qu’un utilisateur sauvegarde des données, dérobe des données ou copie des données à distribuer, n’affectez ce droit d’utilisateur qu’aux utilisateurs approuvés. Valeur par défaut sur les stations de travail et les serveurs : Administrateurs Opérateurs de sauvegarde. Valeur par défaut sur les contrôleurs de domaine : Administrateurs Opérateurs de sauvegarde Opérateurs de serveur. |
Back up files and directories
This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators |
1930 | Contourner la vérification de parcours
Ce droit d’utilisateur détermine quels utilisateurs peuvent parcourir les arborescences de répertoires même si l’utilisateur ne dispose pas d’autorisations sur le répertoire parcouru. Ce privilège ne permet pas à l’utilisateur d’afficher le contenu d’un répertoire, mais seulement de parcourir des répertoires. Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe (GPO) Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et des serveurs. Valeur par défaut sur les stations de travail et les serveurs : Administrateurs Opérateurs de sauvegarde Utilisateurs Tout le monde Service local Service réseau Valeur par défaut sur les contrôleurs de domaine : Administrateurs Utilisateurs authentifiés Tout le monde Service local Service réseau Accès compatible avec les versions antérieures à Windows 2000 |
Bypass traverse checking
This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
1931 | Modifier l’heure système
Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent changer la date et l’heure sur l’horloge interne de l’ordinateur. Les utilisateurs qui bénéficient de ce droit d’utilisateur peuvent modifier le contenu des journaux d’événements. Si l’heure système est changée, les événements enregistrés reflètent cette nouvelle heure, et non pas l’heure réelle à laquelle les événements se sont produits. Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe (GPO) Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et des serveurs. Valeur par défaut sur les stations de travail et les serveurs : Administrateurs Service local Valeur par défaut sur les contrôleurs de domaine : Administrateurs Opérateurs de serveur Service local |
Change the system time
This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service |
1932 | Créer un fichier d’échange
Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent appeler une interface de programmation d’application (API) interne pour créer et redimensionner un fichier d’échange. Ce droit d’utilisateur est utilisé en interne par le système d’exploitation et n’a pas besoin d’être affecté à des utilisateurs. Pour plus d’informations sur la spécification d’une taille de fichier d’échange pour un lecteur donné, voir l’article Modifier la taille du fichier d’échange de mémoire virtuelle. Valeur par défaut : Administrateurs. |
Create a pagefile
This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators. |
1933 | Créer un objet-jeton
Ce paramètre de sécurité détermine quels comptes peuvent être utilisés par des processus pour créer un jeton pouvant servir à accéder à des ressources locales lorsque le processus utilise une interface de programmation d’application (API) interne pour créer un jeton d’accès. Ce droit d’utilisateur est généralement utilisé par le système d’exploitation. Sauf en cas de nécessité, évitez d’affecter ce droit d’utilisateur à un utilisateur, un groupe ou un processus autre que Système local. Attention L'affectation de ce droit d’utilisateur peut créer un risque pour la sécurité. N'affectez pas ce droit d’utilisateur à un utilisateur, un groupe ou un processus que vous ne souhaitez pas voir prendre le contrôle du système. Valeur par défaut : aucune. |
Create a token object
This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None |
1934 | Créer des objets globaux
Ce paramètre de sécurité détermine si les utilisateurs peuvent créer des objets globaux disponibles dans toutes les sessions. Les utilisateurs peuvent toujours créer des objets spécifiques à leurs propres sessions s’ils n’ont pas ce droit d’utilisateur. Les utilisateurs qui peuvent créer des objets globaux peuvent affecter les processus qui s’exécutent sous les sessions d’autres utilisateurs, ce qui pourrait entraîner une défaillance d’une application ou une altération des données. Attention L’affectation de ce droit d’utilisateur peut compromettre la sécurité. Affectez ce droit d’utilisateur uniquement à des utilisateurs approuvés. Valeur par défaut : Administrateurs Service local Service réseau Service |
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service |
1935 | Créer des objets partagés permanents
Ce droit d’utilisateur détermine quels comptes peuvent être utilisés par des processus pour créer un objet répertoire à l’aide du Gestionnaire d’objets. Ce droit d’utilisateur est employé en interne par le système d’exploitation et est utile aux composants en mode noyau qui étendent l’espace de noms d’objets. Comme les composants exécutés en mode noyau disposent déjà de ce droit d’utilisateur, il n’est pas nécessaire de l’affecter spécifiquement. Valeur par défaut : aucune. |
Create permanent shared objects
This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None. |
1936 | Déboguer les programmes
Ce droit d’utilisateur détermine quels utilisateurs peuvent attacher un débogueur à un processus ou au noyau. Il n’est pas nécessaire d’affecter ce droit d’utilisateur aux développeurs qui déboguent leurs propres applications. Les développeurs qui déboguent de nouveaux composants système auront besoin de ce droit d’utilisateur dans le cadre de cette activité. Ce droit d’utilisateur donne un accès complet à des composants sensibles et critiques du système d’exploitation. Attention L’affectation de ce droit d’utilisateur peut constituer un risque pour la sécurité. N’affectez ce droit d’utilisateur qu’à des utilisateurs approuvés. Valeur par défaut : Administrateurs |
Debug programs
This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators |
1937 | Interdire l’accès à cet ordinateur à partir du réseau
Ce paramètre de sécurité détermine quels utilisateurs ne peuvent pas accéder à un ordinateur sur le réseau. Ce paramètre de stratégie prévaut sur le paramètre de stratégie Accéder à cet ordinateur à partir du réseau si un compte d’utilisateur est soumis aux deux stratégies. Valeur par défaut : Invité |
Deny access to this computer from the network
This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest |
1938 | Interdire l’ouverture de session en tant que tâche
Ce paramètre de stratégie détermine quels comptes ne peuvent pas ouvrir une session en tant que tâche. Ce paramètre de stratégie prévaut sur le paramètre de stratégie Ouvrir une session en tant que tâche si un compte d’utilisateur est soumis aux deux stratégies. Valeur par défaut : Aucun. |
Deny log on as a batch job
This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None. |
1939 | Interdire l’ouverture de session en tant que service
Ce paramètre de stratégie détermine quels comptes de service ne peuvent pas inscrire un processus en tant que service. Ce paramètre de stratégie prévaut sur le paramètre de stratégie Ouvrir une session en tant que service si un compte est soumis aux deux stratégies. Remarque : ce paramètre de stratégie ne s’applique pas aux comptes Système, Service local ou Service réseau. Valeur par défaut : aucune. |
Deny log on as a service
This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None. |
1940 | Interdire l’ouverture d’une session locale
Ce paramètre de sécurité détermine quels utilisateurs ne peuvent pas se connecter sur l’ordinateur. Ce paramètre de stratégie prévaut sur le paramètre de stratégie Permettre l’ouverture d’une session locale si un compte est soumis aux deux stratégies. Important Si vous appliquez cette stratégie au groupe Tout le monde, personne ne pourra se connecter localement. Valeur par défaut : aucune. |
Deny log on locally
This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None. |
1941 | Interdire l’ouverture de session par les services Bureau à distance
Ce paramètre de stratégie détermine quels utilisateurs et quels groupes ne peuvent pas ouvrir une session en tant que client des services Bureau à distance. Valeur par défaut : aucune. Important Ce paramètre n’a aucun effet sur les ordinateurs Windows 2000 qui n’ont pas été mis à jour avec le Service Pack 2. |
Deny log on through Remote Desktop Services
This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1942 | Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
Ce paramètre de sécurité détermine quels utilisateurs peuvent définir le paramètre Approuvé pour la délégation sur un utilisateur ou un objet ordinateur. L’utilisateur ou l’objet qui se voit octroyer ce privilège doit avoir un accès en écriture aux indicateurs de contrôle de compte sur l’utilisateur ou l’objet ordinateur. Un processus serveur s’exécutant sur un ordinateur (ou sous un contexte d’utilisateur) qui est approuvé pour la délégation peut accéder à des ressources sur un autre ordinateur en utilisant les informations d’identification déléguées d’un client, à condition que l’indicateur de contrôle de compte « Compte ne peut pas être délégué » ne soit pas activé sur le compte du client. Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe (GPO) Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et des serveurs. Attention Une utilisation incorrecte de ce droit d’utilisateur ou du paramètre Approuvé pour la délégation peut rendre le réseau vulnérable à des attaques sophistiquées utilisant des programmes Cheval de Troie, qui empruntent l’identité de clients entrants et utilisent leurs informations d’identification pour accéder aux ressources du réseau. Valeur par défaut : Administrateurs sur les contrôleurs de domaine. |
Enable computer and user accounts to be trusted for delegation
This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers. |
1943 | Forcer l’arrêt à partir d’un système distant
Ce paramètre de sécurité détermine quels utilisateurs sont autorisés à arrêter un ordinateur à partir d’un emplacement distant sur le réseau. Une utilisation incorrecte de ce droit d’utilisateur peut entraîner un déni de service. Ce droit d’utilisateur est défini dans l’objet de stratégie de groupe (GPO) Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et des serveurs. Valeur par défaut : Sur les stations de travail et les serveurs : Administrateurs. Sur les contrôleurs de domaine : Administrateurs, Opérateurs de serveur. |
Force shutdown from a remote system
This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators. |
1944 | Générer des audits de sécurité
Ce paramètre de sécurité détermine quels comptes peuvent être utilisés par un processus pour ajouter des entrées au journal de sécurité. Le journal de sécurité est utilisé pour suivre les accès non autorisés au système. Une utilisation incorrecte de ce droit d’utilisateur peut entraîner la génération de nombreux événements d’audit, masquant ainsi potentiellement les signes d’une attaque ou causant un déni de service si le paramètre de stratégie de sécurité « Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité » est activé. Pour plus d’informations, voir Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité. Valeur par défaut : Service local Service réseau. |
Generate security audits
This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service. |
1945 | Emprunter l’identité d’un client après l’authentification
L'affectation de ce privilège à un utilisateur permet aux programmes exécutés au nom de cet utilisateur d’emprunter l’identité d’un client. Imposer ce droit d’utilisateur pour ce type d’emprunt d’identité empêche un utilisateur non autorisé de convaincre un client de se connecter (par exemple, par un appel de procédure distante (RPC) ou par canaux nommés) à un service qu’il a créé, puis d’emprunter l’identité de ce client, ce qui peut élever les autorisations de l’utilisateur non autorisé à des niveaux administratifs ou système. Attention L'affectation de ce droit d’utilisateur peut constituer un risque pour la sécurité. N'affectez ce droit d’utilisateur qu’aux utilisateurs approuvés. Valeur par défaut : Administrateurs Service local Service réseau Service Remarque : par défaut, le groupe Service intégré est ajouté aux jetons d’accès des services qui sont démarrés par le Gestionnaire de contrôle des services. Le groupe Service est également ajouté aux jetons d’accès des serveurs COM (Component Object Model) qui sont démarrés par l’infrastructure COM et qui sont configurés pour s’exécuter sous un compte spécifique. Ces services obtiennent donc ce droit d’utilisateur à leur démarrage. En outre, un utilisateur peut également emprunter l’identité d’un jeton d’accès si l’une des conditions suivantes existe. Le jeton d’accès faisant l’objet d’un emprunt d’identité est destiné à cet utilisateur. L'utilisateur, dans cette session de connexion, a créé le jeton d’accès en se connectant au réseau avec des informations d’identification explicites. Le niveau demandé est inférieur à Emprunter l’identité, par exemple Anonyme ou Identifier. En raison de ces facteurs, les utilisateurs n’ont généralement pas besoin de ce droit d’utilisateur. Pour plus d’informations, recherchez " SeImpersonatePrivilege " dans Microsoft Platform SDK. Avertissement Si vous activez ce paramètre, les programmes qui avaient auparavant le privilège Emprunter l’identité risquent de le perdre et de ne pas fonctionner. |
Impersonate a client after authentication
Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run. |
1946 | Augmenter la priorité de planification
Ce paramètre de sécurité détermine quels comptes peuvent utiliser un processus avec un accès Propriété d’écriture à un autre processus pour augmenter la priorité d’exécution affectée à l’autre processus. Un utilisateur doté de ce privilège peut changer la priorité de planification d’un processus par le biais de l’interface utilisateur du Gestionnaire des tâches. Valeur par défaut : Administrateurs. |
Increase scheduling priority
This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators. |
1947 | Charger et décharger les pilotes de périphériques
Ce droit d’utilisateur détermine quels utilisateurs peuvent charger et décharger des pilotes de périphériques ou un autre code en mode noyau. Ce droit d’utilisateur ne s’applique pas aux pilotes de périphériques Plug-and-Play. Il est préférable de ne pas affecter ce privilège à d’autres utilisateurs. Attention L’affectation de ce droit d’utilisateur peut constituer un risque pour la sécurité. N’affectez pas ce droit d’utilisateur à un utilisateur, un groupe ou un processus que vous ne souhaitez pas voir prendre le contrôle du système. Valeur par défaut sur les stations de travail et les serveurs : Administrateurs. Valeur par défaut sur les contrôleurs de domaine : Administrateurs Opérateurs d’impression |
Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators |
1948 | Verrouiller les pages en mémoire
Ce paramètre de sécurité détermine quels comptes peuvent utiliser un processus pour conserver les données en mémoire physique, ce qui empêche le système de paginer les données en mémoire virtuelle sur disque. L’exercice de ce privilège peut avoir une incidence significative sur les performances du système en diminuant la quantité de mémoire vive (RAM) disponible. Valeur par défaut : aucune. |
Lock pages in memory
This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None. |
1949 | Ouvrir une session en tant que tâche
Ce paramètre de sécurité permet à un utilisateur d’ouvrir une session au moyen d’une fonction de file d’attente de tâches. Il n’existe que pour assurer la compatibilité avec les versions antérieures de Windows. Par exemple, lorsqu’un utilisateur soumet une tâche au moyen du Planificateur de tâches, ce dernier connecte l’utilisateur en tant qu’utilisateur de tâche et non pas en tant qu’utilisateur interactif. Valeur par défaut : Administrateurs Opérateurs de sauvegarde. |
Log on as a batch job
This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators. |
1950 | Ouvrir une session en tant que service
Ce paramètre de sécurité permet à un principal de sécurité d’ouvrir une session en tant que service. Les services peuvent être configurés pour s’exécuter sous les comptes Système local, Service local ou Service réseau, qui possèdent un droit intégré d’ouvrir une session en tant que service. Il faut affecter ce droit à tout service qui s’exécute sous un compte d’utilisateur distinct. Valeur par défaut : aucune. |
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None. |
1951 | Gérer le journal d’audit et de sécurité
Ce paramètre de sécurité détermine quels utilisateurs peuvent spécifier des options d’audit d’accès aux objets pour des ressources individuelles, par exemple des fichiers, des objets Active Directory et des clés de Registre. Ce paramètre de sécurité ne permet pas à un utilisateur d’activer l’audit d’accès aux fichiers et aux objets en général. Pour activer ce type d’audit, le paramètre Auditer l’accès aux objets dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégies d’audit doit être configuré. Vous pouvez afficher les événements audités dans le journal de sécurité de l’observateur d’événements. Un utilisateur bénéficiant de ce privilège peut également afficher et effacer le journal de sécurité. Valeur par défaut : Administrateurs. |
Manage auditing and security log
This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators. |
1952 | Modifier les valeurs d’environnement de microprogramme
Ce paramètre de sécurité détermine qui peut modifier les valeurs d’environnement de microprogramme. Les variables d’environnement de microprogramme sont des paramètres enregistrés dans la RAM non volatile des ordinateurs non-x86. L’effet de ce paramètre dépend du processeur. Sur les ordinateurs x86, la seule valeur d’environnement de microprogramme pouvant être modifiée en affectant ce droit d’utilisateur est le paramètre Dernière bonne configuration connue, qui doit uniquement être modifié par le système. Sur les ordinateurs à processeur Itanium, les informations de démarrage sont enregistrées en RAM non volatile. Les utilisateurs doivent disposer de ce droit d’utilisateur pour exécuter bootcfg.exe et pour changer le paramètre Système d’exploitation par défaut sur Démarrage et récupération dans Propriétés système. Sur tous les ordinateurs, ce droit d’utilisateur est obligatoire pour installer ou mettre à jour Windows. Remarque : ce paramètre de sécurité ne détermine pas qui peut modifier les variables d’environnement système et les variables d’environnement utilisateur de l’onglet Avancé des Propriétés système. Pour plus d’informations sur la modification de ces variables, voir Ajouter ou modifier les valeurs des variables d’environnement. Valeur par défaut : Administrateurs. |
Modify firmware environment values
This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators. |
1953 | Effectuer des tâches de maintenance sur les volumes
Ce paramètre de sécurité détermine quels utilisateurs et quels groupes peuvent exécuter des tâches de maintenance sur un volume, telles qu’une défragmentation à distance. Soyez prudent lorsque vous attribuez ce droit d’utilisateur. Les utilisateurs disposant de ce droit d’utilisateur peuvent explorer les disques et étendre des fichiers dans une mémoire contenant d’autres données. Une fois les fichiers étendus ouverts, l’utilisateur est capable de lire et de modifier les données acquises. Valeur par défaut : Administrateurs |
Perform volume maintenance tasks
This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators |
1954 | Processus unique du profil
Ce paramètre de sécurité détermine quels utilisateurs peuvent utiliser les outils de surveillance des performances pour surveiller les performances de processus non-système. Valeur par défaut : Administrateurs, Utilisateurs avec pouvoir. |
Profile single process
This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users. |
1955 | Performance système du profil
Ce paramètre de sécurité détermine quels utilisateurs peuvent utiliser des outils de surveillance des performances pour surveiller les performances de processus système. Valeur par défaut : Administrateurs. |
Profile system performance
This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators. |
1956 | Retirer l’ordinateur de la station d’accueil
Ce paramètre de sécurité détermine si un utilisateur peut retirer un ordinateur portable de sa station d’accueil sans ouvrir de session. Si cette stratégie est activée, l’utilisateur doit ouvrir une session avant de retirer l’ordinateur portable de sa station d’accueil. Si cette stratégie est désactivée, l’utilisateur peut retirer l’ordinateur portable de sa station d’accueil sans ouvrir de session. Valeur par défaut : Administrateurs, Utilisateurs avec pouvoir, Utilisateurs |
Remove computer from docking station
This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users |
1957 | Remplacer un jeton de niveau processus
Ce paramètre de sécurité détermine quels comptes d’utilisateur peuvent appeler l’interface de programmation d’application (API) CreateProcessAsUser() afin qu’un service puisse en démarrer un autre. Le Planificateur de tâches est un exemple de processus utilisant ce droit d’utilisateur. Pour plus d’informations sur le Planificateur de tâches, voir Présentation du Planificateur de tâches. Valeur par défaut : Service réseau, Service local. |
Replace a process level token
This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service. |
1958 | Restaurer les fichiers et les répertoires
Ce paramètre de sécurité détermine quels utilisateurs peuvent contourner les autorisations de fichiers, de répertoires, de Registre, et autres autorisations d’objets persistantes lors de la restauration de fichiers et de répertoires sauvegardés, et détermine quels utilisateurs peuvent définir un principal de sécurité comme propriétaire d’un objet. Spécifiquement, ce droit d’utilisateur revient à octroyer les autorisations suivantes à l’utilisateur ou au groupe en question sur tous les fichiers et dossiers du système : Parcours du dossier/exécuter le fichier Écrire Attention L’affectation de ce droit d’utilisateur peut constituer un risque pour la sécurité. Comme les utilisateurs bénéficiant de ce droit d’utilisateur peuvent remplacer les paramètres du Registre, masquer des données et prendre possession d’objets système, n’affectez ce droit d’utilisateur qu’aux utilisateurs approuvés. Valeur par défaut : Stations de travail et serveurs : Administrateurs, Opérateurs de sauvegarde. Contrôleurs de domaine : Administrateurs, Opérateurs de sauvegarde, Opérateurs de serveur. |
Restore files and directories
This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators. |
1959 | Arrêter le système
Ce paramètre de sécurité détermine quels utilisateurs connectés localement à l’ordinateur peuvent arrêter le système d’exploitation à l’aide de la commande Arrêter. Une utilisation incorrecte de ce droit d’utilisateur peut entraîner un déni de service. Valeur par défaut sur les stations de travail : Administrateurs, Opérateurs de sauvegarde, Utilisateurs. Valeur par défaut sur les serveurs : Administrateurs, Opérateurs de sauvegarde. Valeur par défaut sur les contrôleurs de domaine : Administrateurs, Opérateurs de sauvegarde, Opérateurs de serveur, Opérateurs d’impression. |
Shut down the system
This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators. |
1960 | Synchroniser les données du service d’annuaire
Ce paramètre de sécurité détermine quels utilisateurs et quels groupes sont autorisés à synchroniser toutes les données du service d’annuaire. Cette opération est également qualifiée de synchronisation Active Directory. Valeur par défaut : aucune. |
Synchronize directory service data
This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None. |
1961 | Prendre possession de fichiers ou d’autres objets
Ce paramètre de sécurité détermine quels utilisateurs peuvent prendre possession des objets du système nécessitant une sécurité, notamment les objets Active Directory, les fichiers et les dossiers, les imprimantes, les clés de Registre, les processus et les threads. Attention L’affectation de ce droit d’utilisateur peut constituer un risque pour la sécurité. Comme les propriétaires d’objets disposent d’un contrôle complet sur les objets, n’affectez ce droit d’utilisateur qu’aux utilisateurs approuvés. Valeur par défaut : Administrateurs. |
Take ownership of files or other objects
This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators. |
1962 | Comptes : statut du compte Administrateur
Ce paramètre de sécurité détermine si le compte Administrateur local est activé ou désactivé. Remarques Si vous tentez de réactiver le compte Administrateur après qu’il a été désactivé, et si le mot de passe Administrateur actuel ne répond pas aux exigences de mot de passe, vous ne pouvez pas réactiver le compte. Dans ce cas, un autre membre du groupe Administrateurs doit réinitialiser le mot de passe sur le compte Administrateur. Pour plus d’informations sur la réinitialisation d’un mot de passe, voir l’article Réinitialiser un mot de passe. La désactivation du compte Administrateur peut, dans certains cas, créer un problème de maintenance. En mode sans échec, le compte Administrateur désactivé ne sera activé que si l’ordinateur n’appartient pas au domaine et s’il n’y a pas d’autres comptes Administrateur actifs locaux. Si l’ordinateur appartient au domaine, l’administrateur désactivé ne sera pas activé. Valeur par défaut : Désactivé. |
Accounts: Administrator account status
This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled. |
1963 | Comptes : statut du compte Invité
Ce paramètre de sécurité détermine si le compte Invité est activé ou désactivé. Valeur par défaut : Désactivé. Remarque : si le compte Invité est désactivé et si l’option de sécurité Accès réseau : modèle de partage et de sécurité pour les comptes locaux a la valeur Invité seul, les ouvertures de session réseau, telles que celles effectuées par le serveur réseau Microsoft (service SMB), échouent. |
Accounts: Guest account status
This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail. |
1964 | Comptes : restreindre l’utilisation de mots de passe vides par le compte local à l’ouverture de session console
Ce paramètre de sécurité détermine si les comptes locaux qui ne sont pas protégés par mot de passe peuvent être utilisés pour une ouverture de session à partir d’emplacements autres que la console de l’ordinateur physique. S’il est activé, les comptes locaux qui ne sont pas protégés par mot de passe ne permettent une ouverture de session que sur le clavier de l’ordinateur. Valeur par défaut : Activé. Attention Les ordinateurs qui ne se trouvent pas à des emplacements physiquement sécurisés doivent toujours appliquer des stratégies de mot de passe fort pour tous les comptes d’utilisateur locaux. Sinon, toute personne ayant un accès physique à l’ordinateur peut ouvrir une session en utilisant un compte d’utilisateur sans mot de passe. Ce paramètre est particulièrement important pour les ordinateurs portables. Si vous appliquez cette stratégie de sécurité au groupe Tout le monde, personne ne pourra se connecter par le biais des services Bureau à distance. Remarques Ce paramètre n’a pas d’incidence sur les ouvertures de session qui utilisent des comptes de domaine. Les applications qui utilisent des ouvertures de session interactives à distance peuvent contourner ce paramètre. Remarque : les services Bureau à distance étaient appelés « services Terminal Server » dans les versions précédentes de Windows Server. |
Accounts: Limit local account use of blank passwords to console logon only
This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. |
1965 | Comptes : renommer le compte Administrateur
Ce paramètre de sécurité détermine si un nom de compte différent est associé à l’identificateur de sécurité (SID) pour le compte Administrateur. Le fait de changer le nom bien connu du compte Administrateur rend plus difficile pour les personnes non autorisées la découverte du nom d’utilisateur et du mot de passe de ce compte privilégié. Valeur par défaut : Administrateur. |
Accounts: Rename administrator account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator. |
1966 | Comptes : renommer le compte Invité
Ce paramètre de sécurité détermine si un nom de compte différent est associé à l’identificateur de sécurité (SID) pour le compte " Invité ". Le fait de changer le nom bien connu du compte Invité rend plus difficile pour les personnes non autorisées la découverte du nom d’utilisateur et du mot de passe de ce compte privilégié. Valeur par défaut : Invité. |
Accounts: Rename guest account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest. |
1967 | Audit : auditer l’accès des objets système globaux
Ce paramètre de sécurité détermine s’il convient d’auditer l’accès aux objets système globaux. Si cette stratégie est activée, les objets système, tels que les mutex, les événements, les sémaphores et les périphériques DOS, sont créés avec une liste de contrôle d’accès système par défaut (SACL). Seuls les objets nommés reçoivent une liste de contrôle d’accès système ; des listes de contrôle d’accès système ne sont pas attribuées aux objets sans nom. Si la stratégie d’audit Auditer l’accès aux objets est également activée, l’accès à ces objets système est audité. Remarque : lors de la configuration de ce paramètre de sécurité, les modifications ne sont appliquées qu’après le redémarrage de Windows. Valeur par défaut : Désactivé. |
Audit: Audit the access of global system objects
This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1968 | Audit : auditer l’utilisation des privilèges de sauvegarde et de restauration
Ce paramètre de sécurité détermine s’il convient d’auditer l’utilisation de tous les privilèges d’utilisateur, notamment Sauvegarder et Restaurer, lorsque la stratégie Auditer l’utilisation des privilèges est en vigueur. L’activation de cette option lorsque la stratégie Auditer l’utilisation des privilèges est également activée génère un événement d’audit pour chaque fichier qui est sauvegardé ou restauré. Si vous désactivez cette stratégie, l’utilisation du privilège Sauvegarder ou Restaurer n’est pas auditée même si la stratégie Auditer l’utilisation des privilèges est activée. Remarque : sur les versions Windows antérieures à Windows Vista configurant ce paramètre de sécurité, les modifications ne prennent effet qu’après redémarrage de Windows. L’activation de ce paramètre peut générer un grand nombre d’événements, parfois des centaines par seconde, pendant une opération de sauvegarde. Valeur par défaut : Désactivé. |
Audit: Audit the use of Backup and Restore privilege
This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled. |
1969 | Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité
Ce paramètre de sécurité détermine si le système s’arrête s’il n’est pas capable de consigner des événements de sécurité. Si ce paramètre de sécurité est activé, le système s’arrête si un audit de sécurité ne peut pas être enregistré pour une raison quelconque. Généralement, l’enregistrement d’un événement échoue lorsque le journal d’audit de sécurité est plein et que la méthode de conservation spécifiée pour le journal de sécurité est Ne pas remplacer les événements ou Remplacer les événements par jour. Si le journal de sécurité est plein, si une entrée existante ne peut pas être remplacée et si cette option de sécurité est activée, l’erreur suivante apparaît : STOP: C0000244 {Échec d’audit} Une tentative de génération d’un audit de sécurité a échoué. Pour récupérer, un administrateur doit se connecter, archiver le journal (facultatif), effacer le journal et réinitialiser cette option si désiré. Tant que ce paramètre de sécurité n’est pas réinitialisé, aucun utilisateur, autre qu’un membre du groupe Administrateurs ne peut ouvrir une session sur le système, même si le journal de sécurité n’est pas plein. Remarque : lors de la configuration de ce paramètre de sécurité sur les versions de Windows antérieures à Windows Vista, les modifications ne sont pas appliquées tant que vous ne redémarrez pas Windows. Valeur par défaut : Désactivé. |
Audit: Shut down system immediately if unable to log security audits
This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1970 | Périphériques : autoriser le retrait sans ouverture de session préalable
Ce paramètre de sécurité détermine si un ordinateur portable peut être retiré de sa station d’accueil sans devoir ouvrir une session. Si cette stratégie est activée, l’ouverture de session n’est pas requise et un bouton d’éjection externe peut être utilisé pour retirer l’ordinateur de sa station d’accueil. S'il est désactivé, un utilisateur doit ouvrir une session et disposer du privilège Retirer l’ordinateur de la station d’accueil pour effectuer ce retrait. Valeur par défaut : Activé. Attention La désactivation de cette stratégie peut pousser les utilisateurs à tenter de retirer physiquement l’ordinateur portable de sa station d’accueil en utilisant d’autres méthodes que le bouton d’éjection externe. Comme cette opération risque d’endommager le matériel, ce paramètre ne devrait en général être désactivé que sur les configurations d’ordinateurs portables pouvant être physiquement sécurisées. |
Devices: Allow undock without having to log on
This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable. |
1971 | Périphériques : permettre le formatage et l’éjection des médias amovibles
Ce paramètre de sécurité détermine qui est autorisé à formater et éjecter des médias NTFS amovibles. Cette capacité peut être attribuée aux : Administrateurs Administrateurs et Utilisateurs interactifs Valeur par défaut : Cette stratégie n’est pas définie ; seuls les Administrateurs peuvent le faire. |
Devices: Allowed to format and eject removable media
This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability. |
1972 | Périphériques : empêcher les utilisateurs d’installer des pilotes d’imprimante lors de la connexion à des imprimantes partagées
Pour qu’un ordinateur puisse imprimer sur une imprimante partagée, le pilote de cette imprimante partagée doit être installé sur l’ordinateur local. Ce paramètre de sécurité détermine qui est autorisé à installer un pilote d’imprimante lors de la connexion à une imprimante partagée. Si ce paramètre est activé, seuls les Administrateurs peuvent installer un pilote d’imprimante lors de la connexion à une imprimante partagée. Si ce paramètre est désactivé, tout utilisateur peut installer un pilote d’imprimante lors de la connexion à une imprimante partagée. Valeur par défaut sur les serveurs : Activé. Valeur par défaut sur les stations de travail : Désactivé Remarques Ce paramètre n’a pas d’incidence sur la possibilité d’ajouter une imprimante locale. Ce paramètre ne concerne pas les Administrateurs. |
Devices: Prevent users from installing printer drivers when connecting to shared printers
For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators. |
1973 | Périphériques : autoriser l’accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement
Ce paramètre de sécurité détermine si un CD-ROM est accessible simultanément aux utilisateurs locaux et aux utilisateurs distants. Si cette stratégie est activée, elle permet uniquement à l’utilisateur ayant effectué une ouverture de session interactive d’accéder au support CD-ROM amovible. Si cette stratégie est activée et si personne n’est connecté de façon interactive, le CD-ROM est accessible sur le réseau. Valeur par défaut : cette stratégie n’est pas définie, et l’accès au CD-ROM n’est pas limité au seul utilisateur ayant ouvert une session localement. |
Devices: Restrict CD-ROM access to locally logged-on user only
This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user. |
1974 | Périphériques : ne permettre l’accès aux disquettes qu’aux utilisateurs connectés localement
Ce paramètre de sécurité détermine si les supports disquettes amovibles sont accessibles simultanément aux utilisateurs locaux et aux utilisateurs distants. Si cette stratégie est activée, elle permet uniquement à l’utilisateur connecté de façon interactive d’accéder à un média amovible. Si cette stratégie est activée et si personne n’est connecté de façon interactive, la disquette est accessible sur le réseau. Valeur par défaut : cette stratégie n’est pas définie, et l’accès au lecteur de disquettes n’est pas limité au seul utilisateur ayant ouvert une session localement. |
Devices: Restrict floppy access to locally logged-on user only
This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user. |
1975 | Périphériques : comportement d’installation d’un pilote non signé
Ce paramètre de sécurité détermine ce qui se produit lors d’une tentative d’installation d’un pilote de périphérique (au moyen de l’API Setup) qui n’a pas été testé par le laboratoire WHQL (Windows Hardware Quality Lab). Les options sont les suivantes : Réussite silencieuse Avertir, mais autoriser l’installation Ne pas autoriser l’installation Valeur par défaut : Avertir, mais autoriser l’installation. |
Devices: Unsigned driver installation behavior
This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation. |
1976 | Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des tâches
Ce paramètre de sécurité détermine si les opérateurs de serveur sont autorisés à soumettre des tâches au moyen de la fonction Calendrier AT. Remarque : ce paramètre de sécurité concerne uniquement la fonction Calendrier AT ; elle n’a pas d’incidence sur la fonction Planificateur de tâches. Valeur par défaut : cette stratégie n’est pas définie, ce qui signifie que le système la traite comme étant désactivée. |
Domain controller: Allow server operators to schedule tasks
This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled. |
1977 | Contrôleur de domaine : conditions requises pour la signature de serveur LDAP
Ce paramètre de sécurité détermine si le serveur LDAP nécessite que la signature soit négociée avec des clients LDAP, de la manière suivante : Aucun : la signature des données n’est pas requise pour une liaison avec le serveur. Si le client demande la signature des données, le serveur le prend en charge. Nécessiter une signature : sauf si TLS\SSL est utilisé, l’option de signature des données LDAP doit être négociée. Valeur par défaut : Cette stratégie n’est pas définie, ce qui a le même effet que Aucun. Attention Si vous paramétrez le serveur à Nécessiter une signature, vous devez également paramétrer le client. Le non-paramétrage du client entraîne une perte de connexion avec le serveur. Remarques Ce paramètre n’a pas d’incidence sur la liaison simple LDAP ou la liaison simple LDAP par SSL. Aucun client LADP Microsoft fourni avec Windows XP Professionnel n’utilise la liaison simple LDAP ou la liaison simple LDAP par SSL pour communiquer avec un contrôleur de domaine. Si une signature est requise, les demandes de liaison simple LDAP et de liaison simple LDAP par SSL sont rejetées. Aucun client LDAP Microsoft exécuté sur Windows XP Professionnel ou la famille Windows Server 2003 n’utilise la liaison simple LDAP ou la liaison simple LDAP par SSL pour établir une liaison au service d’annuaire. |
Domain controller: LDAP server signing requirements
This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service. |
1978 | Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur
Ce paramètre de sécurité détermine si les contrôleurs de domaine refusent les demandes de changement de mot de passe de compte d’ordinateur provenant des ordinateurs membres. Par défaut, les ordinateurs membres changent leur mot de passe de compte d’ordinateur tous les 30 jours. Si ce paramètre est activé, le contrôleur de domaine refuse les demandes de changement de mot de passe de compte d’ordinateur. S'il est activé, ce paramètre ne permet pas à un contrôleur de domaine d’accepter des changements du mot de passe d’un compte d’ordinateur. Valeur par défaut : Cette stratégie n’est pas définie, ce qui fait que le système la considère comme Désactivé. |
Domain controller: Refuse machine account password changes
This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled. |
1979 | Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
Ce paramètre de sécurité détermine si tout le trafic du canal sécurisé initialisé par le membre du domaine doit être signé ou chiffré. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Ensuite, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine pour son domaine. Ce canal sécurisé est utilisé pour effectuer des opérations telles que l’authentification NTLM directe, la recherche de nom LSA SID, etc. Ce paramètre détermine si tout le trafic du canal sécurisé initialisé par le membre de domaine répond aux exigences de sécurité minimales. Spécifiquement, il détermine si tout le trafic du canal sécurisé initialisé par le membre de domaine doit être signé ou chiffré. Si cette stratégie est activée, le canal sécurisé ne sera établi que si la signature ou le chiffrement de tout le trafic du canal sécurisé est négocié. Si cette stratégie est désactivée, le chiffrement et la signature de tout le trafic du canal sécurisé sont négociés avec le contrôleur de domaine, auquel cas le niveau de signature et de chiffrement dépend de la version du contrôleur de domaine et des deux paramètres de stratégie suivants : Membre de domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible) Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) Valeur par défaut : Activé. Remarques : Si cette stratégie est activée, la stratégie Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) est activée, quel que soit son réglage actuel. Cela garantit que le membre du domaine tente au moins de négocier la signature du trafic du canal sécurisé. Si cette stratégie est activée, la stratégie Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) est activée, quel que soit son réglage actuel. Cela garantit que le membre du domaine tente au moins de négocier la signature du trafic du canal sécurisé. Les informations d’ouverture de session transmises sur le canal sécurisé sont toujours chiffrées, que le chiffrement de TOUT le trafic du canal sécurisé soit négocié ou non. |
Domain member: Digitally encrypt or sign secure channel data (always)
This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not. |
1980 | Membre de domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de sécurité détermine si un membre de domaine tente de négocier le chiffrement de tout le trafic du canal sécurisé qu’il initialise. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Ensuite, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine pour son domaine. Ce canal sécurisé sert à effectuer des opérations, telles que l’authentification relais NTLM, la recherche de nom LSA SID, etc. Ce paramètre détermine si le membre de domaine tente de négocier le chiffrement de tout le trafic du canal sécurisé qu’il initialise. S’il est activé, le membre de domaine demande le chiffrement de tout le trafic du canal sécurisé. Si le contrôleur de domaine prend en charge le chiffrement de tout le trafic du canal sécurisé, tout le trafic du canal sécurisé est chiffré. Sinon, seules les informations d’ouverture de session transmises sur le canal sécurisé sont chiffrées. Si ce paramètre est désactivé, le membre de domaine ne tente pas de négocier le chiffrement du canal sécurisé. Valeur par défaut : Activé. Important Il n’y a aucune raison connue de désactiver ce paramètre. Outre le fait de réduire inutilement le niveau de confidentialité potentielle du canal sécurisé, la désactivation de ce paramètre risque de réduire inutilement le débit du canal sécurisé, car les appels simultanés des API qui utilisent le canal sécurisé ne sont possibles que lorsque celui-ci est signé ou chiffré. Remarque : les contrôleurs de domaine sont également des membres de domaine et ils établissent des canaux sécurisés avec d’autres contrôleurs de domaine du même domaine, ainsi que des contrôleurs de domaine de domaines approuvés. |
Domain member: Digitally encrypt secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1981 | Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de sécurité détermine si un membre de domaine tente de négocier la signature de tout le trafic d’un canal sécurisé qu’il initialise. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Ensuite, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine pour son domaine. Ce canal sécurisé sert à effectuer des opérations, telles que l’authentification relais NTLM, la recherche de nom LSA SID, etc. Ce paramètre détermine si le membre de domaine doit tenter de négocier la signature de tout le trafic du canal sécurisé qu’il initialise. S'il est activé, le membre de domaine demande la signature de tout le trafic du canal sécurisé. Si le contrôleur de domaine prend en charge la signature de tout le trafic du canal sécurisé, tout le trafic du canal sécurisé est signé, ce qui signifie qu’il ne peut pas être falsifié durant le transit. Valeur par défaut : Activé. Remarques Si la stratégie Membre de domaine : chiffrer numériquement les données des canaux sécurisés (toujours) est activée, cette stratégie est supposée être activée, quel que soit son paramétrage actuel. Les contrôleurs de domaine sont également des membres de domaine et ils établissent des canaux sécurisés avec d’autres contrôleurs de domaine du même domaine, ainsi que des contrôleurs de domaine de domaines approuvés. |
Domain member: Digitally sign secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1982 | Membre de domaine : antériorité maximale du mot de passe du compte ordinateur
Ce paramètre de sécurité détermine la fréquence à laquelle un membre de domaine tente de modifier son mot de passe de compte d’ordinateur. Valeur par défaut : 30 jours. Important Ce paramètre s’applique aux ordinateurs Windows 2000, mais il n’est pas disponible via les outils du Gestionnaire de configuration de sécurité sur ces ordinateurs. |
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1983 | Membre de domaine : exiger une clé de session forte (Windows 2000 ou version ultérieure)
Ce paramètre de sécurité détermine si la puissance de clé 128 bits est nécessaire pour les données du canal sécurisé chiffrées. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Ensuite, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine au sein du domaine. Ce canal sécurisé sert à effectuer des opérations, telles que l’authentification relais NTLM, la recherche de nom LSA SID, etc. Selon la version de Windows exécutée sur le contrôleur de domaine avec lequel le membre de domaine communique et les valeurs des paramètres suivants : Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours) Membre de domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible) Toutes ou une partie des informations transmises sur le canal sécurisé sont chiffrées. Ce paramètre de stratégie détermine si la puissance de clé 128 bits est nécessaire pour les informations du canal sécurisé chiffrées. Si ce paramètre est activé, le canal sécurisé n’est pas établi, à moins que le chiffrement 128 bits puisse être effectué. Si ce paramètre est désactivé, la puissance de la clé est négociée avec le contrôleur de domaine. Valeur par défaut : Désactivé. Important Pour bénéficier de cette stratégie sur les stations de travail et les serveurs membres, tous les contrôleurs de domaine qui constituent le domaine du membre doivent exécuter Windows 2000 ou une version ultérieure. Pour bénéficier de cette stratégie sur les contrôleurs de domaine, tous les contrôleurs de domaine d’un même domaine, ainsi que des domaines approuvés, doivent exécuter Windows 2000 ou une version ultérieure. |
Domain member: Require strong (Windows 2000 or later) session key
This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later. |
1984 | Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur
Détermine si un membre de domaine doit périodiquement modifier son mot de passe de compte d’ordinateur. Si ce paramètre est activé, le membre de domaine ne tente pas de modifier son mot de passe de compte d’ordinateur. Si ce paramètre est désactivé, le membre de domaine essaie de modifier son mot de passe de compte d’ordinateur tel qu’il est spécifié par le paramètre Membre de domaine : antériorité maximale du mot de passe du compte ordinateur, qui est fixé par défaut à 30 jours. Valeur par défaut : Désactivé. Remarques Il est recommandé de ne pas activer ce paramètre de sécurité. Les mots de passe de compte d’ordinateur sont utilisés pour établir des communications via le canal sécurisé entre des membres et des contrôleurs de domaine et, au sein du domaine, entre les contrôleurs de domaine eux-mêmes. Une fois qu’il est établi, le canal sécurisé est utilisé pour transmettre des informations sensibles qui rendent nécessaires le processus d’authentification et la vérification des autorisations. Il est recommandé de ne pas utiliser ce paramètre pour essayer de prendre en charge des scénarios de double-démarrage utilisant le même compte d’ordinateur. Si vous voulez mettre en œuvre le double-démarrage de deux installations qui sont liées au même domaine, donnez aux deux installations des noms d’ordinateur différents. |
Domain member: Disable machine account password changes
Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names. |
1985 | Ouverture de session interactive : ne pas afficher le nom du dernier utilisateur connecté
Ce paramètre de sécurité détermine si le nom du dernier utilisateur connecté à ce PC s'affiche sur l'écran de connexion Windows. Si cette stratégie est activée, le nom d’utilisateur n’est pas affiché. Si cette stratégie est désactivée, le nom d’utilisateur est affiché. Valeur par défaut : Désactivé. |
Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
1986 | Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr
Ce paramètre de sécurité détermine s’il faut appuyer sur les touches Ctrl+Alt+Suppr avant qu’un utilisateur puisse ouvrir une session. Si cette stratégie est activée sur un ordinateur, l’utilisateur ne doit pas appuyer sur les touches Ctrl+Alt+Suppr pour ouvrir une session. Le fait de ne pas avoir à appuyer sur ces touches expose les utilisateurs à des attaques qui tentent d’intercepter leur mot de passe. Le fait d’exiger la combinaison de touches Ctrl+Alt+Suppr avant que des utilisateurs ouvrent une session garantit que ces utilisateurs établissent la communication via un chemin d’accès approuvé quand ils entrent leur mot de passe. Si cette stratégie est désactivée, tous les utilisateurs doivent appuyer sur les touches Ctrl+Alt+Suppr avant de se connecter à Windows. Valeur par défaut sur les ordinateurs qui sont liés à un domaine : Activé : Au minimum Windows 8/Désactivé : Windows 7 ou version antérieure. Valeur par défaut sur les stations de travail autonomes : Activé. |
Interactive logon: Do not require CTRL+ALT+DEL
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled. |
1987 | Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
Ce paramètre de sécurité spécifie un message texte qui est affiché aux utilisateurs quand ils ouvrent une session. Ce texte est souvent affiché pour des raisons juridiques, par exemple pour informer les utilisateurs des conséquences d’une mauvaise utilisation des informations de l’entreprise ou pour les avertir que leurs actions peuvent être enregistrées. Valeur par défaut : pas de message. |
Interactive logon: Message text for users attempting to log on
This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message. |
1988 | Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
Ce paramètre de sécurité permet de spécifier un titre qui apparaîtra dans la barre de titre de la fenêtre Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter. Valeur par défaut : aucun message. |
Interactive logon: Message title for users attempting to log on
This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message. |
1989 | Ouverture de session interactive : nombre d’ouvertures de session antérieures à mettre en cache (au cas où le contrôleur de domaine ne serait pas disponible)
Les informations d’ouverture de session de chaque utilisateur unique sont mises en cache de manière locale afin que, dans l’hypothèse ou un contrôleur de domaine ne serait pas disponible lors de tentatives d’ouverture de session ultérieures, l’utilisateur puisse ouvrir une session. Les informations d’ouverture de session mises en cache sont stockées à partir de la précédente session ouverte. Si un contrôleur de domaine n’est pas disponible et si les informations d’ouverture de session ne sont pas mises en cache, l’utilisateur voit s’afficher le message suivant : Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session. Dans ce paramètre de stratégie, la valeur 0 désactive la mise en cache de l’ouverture de session. Toute valeur supérieure à 50 entraîne la mise en cache de 50 tentatives d’ouverture de session uniquement. Windows prend en charge au maximum 50 entrées de cache, et le nombre d’entrées consommées par utilisateur dépend des informations d’identification. Par exemple, au maximum, 50 comptes d’utilisateurs uniques avec accès par mot de passe peuvent être mis en cache sur un système Windows, mais seulement 25 comptes d’utilisateurs avec accès par carte à puce peuvent être mis en cache, car les informations relatives au mot de passe et les informations relatives à la carte à puce sont stockées. Lorsqu’un utilisateur dont les informations d’ouverture de session ont été mises en cache rouvre une session, les informations mises en cache pour cet utilisateur sont remplacées. Valeur par défaut : Windows Server 2008 : 25 Toutes les autres versions : 10 |
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10 |
1990 | Ouverture de session interactive : prévenir l’utilisateur qu’il doit changer son mot de passe avant qu’il n’expire
Détermine combien de temps à l’avance (en jours) les utilisateurs sont prévenus que leur mot de passe va expirer. Grâce à cet avertissement anticipé, l’utilisateur a le temps d’élaborer un mot de passe suffisamment fort. Valeur par défaut : 5 jours. |
Interactive logon: Prompt user to change password before expiration
Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days. |
1991 | Ouverture de session interactive : exiger l’authentification par le contrôleur de domaine pour le déverrouillage
Les informations d’ouverture de session doivent être fournies pour déverrouiller un ordinateur verrouillé. Pour les comptes de domaine, ce paramètre de sécurité détermine si un contrôleur de domaine doit être contacté pour déverrouiller un ordinateur. Si ce paramètre est désactivé, un utilisateur peut déverrouiller l’ordinateur avec les informations d’identification qui se trouvent dans le cache. Si ce paramètre est activé, un contrôleur de domaine doit authentifier le compte de domaine qui est utilisé pour déverrouiller l’ordinateur. Valeur par défaut : Désactivé. Important Ce paramètre s’applique aux ordinateurs Windows 2000, mais il n’est pas disponible via les outils du Gestionnaire de configuration de sécurité sur ces ordinateurs. |
Interactive logon: Require Domain Controller authentication to unlock
Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1992 | Ouverture de session interactive : Windows Hello Entreprise ou carte à puce nécessaire
Ce paramètre de sécurité nécessite que les utilisateurs ouvrent une session sur un appareil à l’aide d’une carte à puce ou de Windows Hello Entreprise. Les options sont : Activé : les utilisateurs peuvent ouvrir une session sur l’appareil uniquement à l’aide d’une carte à puce ou de Windows Hello Entreprise. Désactivé ou non configuré : les utilisateurs peuvent ouvrir une session sur l’appareil à l’aide de n’importe quelle méthode Important Ce paramètre s’applique à tous les ordinateurs exécutant Windows 2000 par le biais de modifications apportées au Registre, mais le paramètre de sécurité ne peut pas être affiché à l’aide du jeu d’outils du Gestionnaire de configuration de sécurité. Exiger l’ouverture de session à l’aide de Windows Hello Entreprise n’est pas pris en charge sur Windows 10 v1607 ou antérieur. |
Interactive logon: Require Windows Hello for Business or smart card
This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier. |
1993 | Ouverture de session interactive : comportement lorsque la carte à puce est retirée
Ce paramètre de sécurité détermine ce qui se passe quand la carte à puce d’un utilisateur connecté est retirée du lecteur de carte à puce. Les options sont : Aucune action Verrouiller la station de travail Forcer la fermeture de session Déconnecter en cas de session Bureau à distance Si vous cliquez sur Verrouiller la station de travail dans la boîte de dialogue Propriétés de cette stratégie, la station de travail est verrouillée quand la carte à puce est retirée, permettant ainsi aux utilisateurs de quitter les locaux, de prendre avec eux leur carte à puce et de conserver néanmoins une session protégée. Si vous cliquez sur Forcer la fermeture de session dans la boîte de dialogue Propriétés de cette stratégie, l’utilisateur est automatiquement déconnecté quand la carte à puce est retirée. Si vous cliquez sur Déconnecter en cas de session Bureau à distance, la session est déconnectée sans fermeture de la session de l’utilisateur quand la carte à puce est retirée. Cela permet à l’utilisateur d’insérer la carte à puce et de reprendre la session ultérieurement ou sur un autre ordinateur équipé d’un lecteur de carte à puce, sans devoir ouvrir à nouveau une session. Si la session est locale, cette stratégie présente un fonctionnement identique à Verrouiller la station de travail. Remarque : les services Bureau à distance étaient appelés « services Terminal Server » dans les versions précédentes de Windows Server. Par défaut : cette stratégie n’est pas définie, ce qui signifie que le système la traite comme si aucune action n’était configurée. Sur Windows Vista et version ultérieure : pour que ce paramètre fonctionne, le service Stratégie de retrait de la carte à puce doit être démarré. |
Interactive logon: Smart card removal behavior
This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started. |
1994 | Client réseau Microsoft : communications signées numériquement (toujours)
Ce paramètre de sécurité détermine si la signature des paquets est requise par le composant client SMB. Le protocole SMB (Server Message Block) représente la base sur laquelle s’appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d’autres opérations de gestion de réseau, telles que l’administration à distance de Windows. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si la signature des paquets SMB doit être négociée pour qu’une communication avec un serveur SMB soit autorisée. Si ce paramètre est activé, le client réseau Microsoft ne communique pas avec un serveur réseau Microsoft, à moins que ce serveur accepte de signer les paquets SMB. Si cette stratégie est désactivée, la signature des paquets SMB est négociée entre le client et le serveur. Valeur par défaut : Désactivé. Important Pour que cette stratégie prenne effet sur les ordinateurs exécutant Windows 2000, la signature des paquets côté client doit également être activée. Pour activer la signature des paquets SMB côté client, définissez Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte). Remarques Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Sur Windows 2000 et les systèmes d’exploitation ultérieurs, l’activation ou l’obligation de la signature de paquets pour les composants SMB côté client et côté serveur sont contrôlées par les quatre paramètres de stratégie suivants : Client réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté client nécessite ou non la signature des paquets. Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté client est ou non activée. Serveur réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté serveur nécessite ou non la signature des paquets. Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté serveur est ou non activée. La signature des paquets SMB peut entraîner une dégradation sensible des performances SMB, selon la version du dialecte, la version du système d’exploitation, les tailles de fichier, les possibilités de déchargement du processeur et les comportements d’E/S d’application. Pour plus d’informations, voir : https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1995 | Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
Ce paramètre de sécurité détermine si le client SMB tente ou non de négocier la signature des paquets SMB. Le protocole SMB (Server Message Block) représente la base sur laquelle s’appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d’autres opérations de gestion de réseau, telles que l’administration à distance de Windows. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si le composant du client SMB tente de négocier la signature des paquets SMB lorsqu’il se connecte à un serveur SMB. Si ce paramètre est activé, le client réseau Microsoft demande au serveur de signer les paquets SMB lors de la configuration de la session. Si la signature des paquets est activée sur le serveur, elle est négociée. Si cette stratégie est désactivée, le client SMB ne négocie jamais la signature des paquets SMB. Valeur par défaut : Activé. Remarques Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Sur Windows 2000 et les systèmes d’exploitation ultérieurs, l’activation ou l’obligation de la signature de paquets pour les composants SMB côté client et côté serveur sont contrôlées par les quatre paramètres de stratégie suivants : Client réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté client nécessite ou non la signature des paquets. Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté client est ou non activée. Serveur réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté serveur nécessite ou non la signature des paquets. Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté serveur est ou non activée. Si la signature SMB est activée à la fois côté client et côté serveur et que le client établit une connexion SMB 1.0 au serveur, la signature SMB sera tentée. La signature des paquets SMB peut entraîner une dégradation sensible des performances SMB, selon la version du dialecte, la version du système d’exploitation, les tailles de fichier, les possibilités de déchargement du processeur et les comportements d’E/S d’application. Pour plus d’informations, voir : https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (if server agrees)
This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1996 | Client réseau Microsoft : envoyer un mot de passe non chiffré pour se connecter à des serveurs SMB tierce partie
Si ce paramètre de sécurité est activé, le redirecteur SMB (Server Message Block) est autorisé à envoyer des mots de passe en clair à des serveurs qui ne sont pas des serveurs SMB Microsoft et qui ne prennent pas en charge le chiffrement de mot de passe lors de l’authentification. L’envoi de mots de passe non chiffrés constitue un risque pour la sécurité. Valeur par défaut : Désactivé. |
Microsoft network client: Send unencrypted password to connect to third-party SMB servers
If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled. |
1997 | Serveur réseau Microsoft : durée du délai d’attente avant la fermeture d’une session
Ce paramètre de sécurité détermine la durée d’inactivité continue qui doit s'écouler au cours d’une session SMB (Server Message Block) avant que la session soit suspendue pour cause d’inactivité. Les administrateurs peuvent utiliser cette stratégie pour contrôler quand un ordinateur suspend une session SMB inactive. Si l’activité du client reprend, la session est automatiquement rétablie. Pour ce paramètre de stratégie, une valeur de 0 signifie qu’il faut déconnecter une session inactive aussi vite qu’il est raisonnablement possible. La valeur maximale est 99 999, soit 208 jours ; quand elle est appliquée, cette valeur désactive la stratégie. Valeur par défaut : cette stratégie n’est pas définie, ce qui fait que le système la considère comme 15 minutes pour les serveurs et comme non définie pour les stations de travail. |
Microsoft network server: Amount of idle time required before suspending a session
This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations. |
1998 | Client réseau Microsoft : communications signées numériquement (toujours)
Ce paramètre de sécurité détermine si la signature des paquets est requise par le composant serveur SMB. Le protocole SMB (Server Message Block) représente la base sur laquelle s’appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d’autres opérations de gestion de réseau, telles que l’administration à distance de Windows. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si la signature des paquets SMB doit être négociée pour qu’une communication avec un client SMB soit autorisée. Si ce paramètre est activé, le serveur réseau Microsoft ne communique pas avec un client réseau Microsoft, à moins que ce client accepte de signer les paquets SMB. Si ce paramètre est désactivé, la signature des paquets SMB est négociée entre le client et le serveur. Valeur par défaut : Désactivé pour les serveurs membres. Activé pour les contrôleurs de domaine. Remarques Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Sur Windows 2000 et les systèmes d’exploitation ultérieurs, l’activation ou l’obligation de la signature de paquets pour les composants SMB côté client et côté serveur sont contrôlées par les quatre paramètres de stratégie suivants : Client réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté client nécessite ou non la signature des paquets. Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté client est ou non activée. Serveur réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté serveur nécessite ou non la signature des paquets. Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté serveur est ou non activée. De même, si la signature SMB côté client est requise, ce client ne peut pas établir de session avec les serveurs sur lesquels la signature des paquets n’est pas activée. Par défaut, la signature SMB côté serveur est uniquement activée sur les contrôleurs de domaine. Si la signature SMB côté serveur est activée, la signature des paquets SMB est négociée avec les clients pour lesquels la signature SMB côté client est activée. La signature des paquets SMB peut entraîner une dégradation sensible des performances SMB, selon la version du dialecte, la version du système d’exploitation, les tailles de fichier, les possibilités de déchargement du processeur et les comportements d’E/S d’application. Important Pour que cette stratégie prenne effet sur les ordinateurs exécutant Windows 2000, la signature des paquets côté serveur doit également être activée. Pour activer la signature des paquets SMB côté serveur, définissez la stratégie suivante : Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) Pour que les serveurs Windows 2000 négocient la signature avec des clients Windows NT 4.0, la valeur de Registre suivante doit être définie sur 1 sur le serveur Windows 2000 : HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Pour plus d’informations, voir : https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1999 | Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte)
Ce paramètre de sécurité détermine si le serveur SMB négocie la signature des paquets SMB avec les clients qui la demandent. Le protocole SMB (Server Message Block) représente la base sur laquelle s’appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d’autres opérations de gestion de réseau, telles que l’administration à distance de Windows. Pour empêcher les attaques par l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si le serveur SMB négocie la signature des paquets SMB lorsqu’un client SMB la demande. Si ce paramètre est activé, le serveur réseau Microsoft négocie la signature des paquets SMB conformément à la demande du client. Ainsi, si la signature des paquets est activée sur le client, elle est négociée. Si cette stratégie est désactivée, le client SMB ne négocie jamais la signature des paquets SMB. Valeur par défaut : Activé sur les contrôleurs de domaine uniquement. Important Pour que les serveurs Windows 2000 négocient la signature avec les clients Windows NT 4.0, la valeur de Registre ci-dessous doit être définie sur 1 sur le serveur exécutant Windows 2000 : HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Remarques Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Sur Windows 2000 et les systèmes d’exploitation ultérieurs, l’activation ou l’obligation de la signature de paquets pour les composants SMB côté client et côté serveur sont contrôlées par les quatre paramètres de stratégie suivants : Client réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté client nécessite ou non la signature des paquets. Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté client est ou non activée. Serveur réseau Microsoft : communications signées numériquement (toujours) - Contrôle si le composant SMB côté serveur nécessite ou non la signature des paquets. Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte) - Contrôle si la signature des paquets pour le composant SMB côté serveur est ou non activée. Si la signature SMB est activée à la fois côté client et côté serveur et que le client établit une connexion SMB 1.0 au serveur, la signature SMB sera tentée. La signature des paquets SMB peut entraîner une dégradation sensible des performances SMB, selon la version du dialecte, la version du système d’exploitation, les tailles de fichier, les possibilités de déchargement du processeur et les comportements d’E/S d’application. Ce paramètre s’applique uniquement aux connexions SMB 1.0. Pour plus d’informations, voir : https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (if client agrees)
This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
2000 | Serveur réseau Microsoft : déconnecter les clients à l’expiration du délai de la durée de session
Ce paramètre de sécurité détermine s’il faut déconnecter les utilisateurs qui sont connectés à l’ordinateur local en dehors des heures d’ouverture de session valides du compte de l’utilisateur. Ce paramètre concerne le composant SMB (Server Message Block). Quand cette stratégie est activée, les sessions client du service SMB sont déconnectées d’office quand les horaires de connexion du client arrivent à expiration. Si cette stratégie est désactivée, une session client en cours est autorisée à être maintenue après l’expiration des horaires de connexion du client. Valeur par défaut sur Windows Vista et versions ultérieures : activé. Valeur par défaut sur Windows XP : désactivé |
Microsoft network server: Disconnect clients when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled |
2001 | Accès réseau : permet la traduction de noms/SID anonymes
Ce paramètre de stratégie détermine si un utilisateur anonyme peut demander les attributs SID d’un autre utilisateur. Si cette stratégie est activée, un utilisateur anonyme peut demander l’attribut SID d’un autre utilisateur. Un utilisateur anonyme connaissant le SID d’un administrateur pourra contacter un ordinateur sur lequel cette stratégie est activée et utiliser le SID pour obtenir le nom de l’administrateur. Ce paramètre affecte la traduction SID-nom et la traduction nom-SID. Si ce paramètre de stratégie est désactivé, un utilisateur anonyme ne peut pas demander l’attribut SID pour un autre utilisateur. Valeur par défaut sur les stations de travail et les serveurs membres : Désactivé. Valeur par défaut sur les contrôleurs de domaine exécutant Windows Server 2008 ou version ultérieure : Désactivé. Valeur par défaut sur les contrôleurs de domaine exécutant Windows Server 2003 R2 ou version antérieure : Activé. |
Network access: Allow anonymous SID/name translation
This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled. |
2002 | Accès réseau : ne pas autoriser l’énumération anonyme des comptes SAM
Ce paramètre de sécurité détermine quelles autorisations supplémentaires sont octroyées aux connexions anonymes à l’ordinateur. Windows autorise les utilisateurs anonymes à effectuer certaines activités, comme l’énumération des noms des comptes de domaine et des partages réseau. Cette possibilité est pratique, par exemple lorsqu’un administrateur veut accorder aux utilisateurs l’accès dans un domaine approuvé ne conservant pas une approbation réciproque. Cette option de sécurité permet d’imposer aux connexions anonymes les restrictions supplémentaires suivantes : Activé : Ne pas autoriser l’énumération des comptes SAM. Cette option remplace Tout le monde par Utilisateurs authentifiés dans les autorisations de sécurité pour les ressources. Désactivé : Aucune autre restriction. Correspond aux permissions par défaut. Valeur par défaut sur les stations de travail : Activé. Valeur par défaut sur le serveur : Activé. Important Cette stratégie n’a aucun impact sur les contrôleurs de domaine. |
Network access: Do not allow anonymous enumeration of SAM accounts
This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers. |
2003 | Accès réseau : ne pas autoriser l’énumération anonyme des comptes et partages SAM
Ce paramètre de sécurité détermine si l’énumération anonyme des comptes et des partages SAM est autorisée. Windows autorise les utilisateurs anonymes à effectuer certaines activités, comme l’énumération des noms des comptes de domaine et des partages réseau. Cette possibilité est pratique, par exemple lorsqu’un administrateur veut accorder aux utilisateurs l’accès dans un domaine approuvé ne conservant pas une approbation réciproque. Si vous ne voulez pas autoriser l’énumération anonyme des comptes et partages SAM, activez cette stratégie. Valeur par défaut : Désactivé. |
Network access: Do not allow anonymous enumeration of SAM accounts and shares
This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled. |
2004 | Accès réseau : ne pas autoriser le stockage de mots de passe et d’informations d’identification pour l’authentification du réseau.
Ce paramètre de sécurité détermine si le Gestionnaire d’informations d’identification permet d’enregistrer les mots de passe ou les informations d’identification pour une utilisation ultérieure après obtention de l’authentification du domaine. Si vous activez ce paramètre, le Gestionnaire d’informations d’identification n’enregistre pas les mots de passe et les informations d’identification sur l’ordinateur. Si vous désactivez ou ne configurez pas ce paramètre, le Gestionnaire d’informations d’identification enregistre les mots de passe et les informations d’identification sur cet ordinateur pour une utilisation ultérieure à des fins d’authentification du domaine. Remarque : lors de la configuration de ce paramètre de sécurité, vous devez redémarrer Windows pour que les modifications puissent être effectives. Valeur par défaut : Désactivé. |
Network access: Do not allow storage of passwords and credentials for network authentication
This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
2005 | Accès réseau : les autorisations Tout le monde s’appliquent aux utilisateurs anonymes
Ce paramètre de sécurité détermine quelles autorisations supplémentaires sont accordées pour les connexions anonymes à l’ordinateur. Windows autorise les utilisateurs anonymes à effectuer certaines activités, comme l’énumération des noms des comptes de domaine et des partages réseau. Cette possibilité est pratique, par exemple lorsqu’un administrateur veut accorder aux utilisateurs l’accès dans un domaine approuvé ne conservant pas une approbation réciproque. Par défaut, le jeton créé pour les connexions anonymes n’inclut pas le SID de Tout le monde. Par conséquent, les autorisations accordées au groupe Tout le monde ne s’appliquent pas aux utilisateurs anonymes. Si cette option est activée, les utilisateurs anonymes ne peuvent accéder qu’aux ressources pour lesquelles ils ont reçu explicitement un droit d’accès. Si cette stratégie est activée, le SID de Tout le monde est ajouté au jeton créé pour les connexions anonymes. Dans ce cas, les utilisateurs anonymes peuvent accéder à n’importe quelle ressource pour laquelle le groupe Tout le monde a reçu un droit d’accès. Valeur par défaut : Désactivé. |
Network access: Let Everyone permissions apply to anonymous users
This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled. |
2006 | Accès réseau : les canaux nommés qui sont accessibles de manière anonyme
Ce paramètre de sécurité détermine quelles sessions de communication (ou canaux) disposeront d’attributs et d’autorisations permettant un accès anonyme. Valeur par défaut : Aucun. |
Network access: Named pipes that can be accessed anonymously
This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None. |
2007 | Accès réseau : chemins de Registre accessibles à distance
Ce paramètre de sécurité détermine quelles clés de Registre sont accessibles sur le réseau, quels que soient les utilisateurs ou groupes répertoriés dans la liste de contrôle d’accès de la clé de Registre winreg. Valeur par défaut : System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Attention Une modification incorrecte du Registre peut endommager gravement votre système. Avant de modifier le Registre, sauvegardez toutes les données importantes de votre ordinateur. Remarque : ce paramètre de sécurité n’est pas disponible dans les versions antérieures de Windows. Le paramètre de sécurité figurant sur les ordinateurs exécutant Windows XP, « Accès réseau : chemins de Registre accessibles à distance » correspond à l’option de sécurité « Accès réseau : chemins et sous-chemins de Registre accessibles à distance » sur les membres de la famille Windows Server 2003. Pour plus d’informations, voir Accès réseau : chemins et sous-chemins de Registre accessibles à distance. Valeur par défaut : System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
Network access: Remotely accessible registry paths
This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
2008 | Accès réseau : chemins et sous-chemins de Registre accessibles à distance
Ce paramètre de sécurité détermine quels sont les chemins et sous-chemins de Registre accessibles sur le réseau, quels que soient les utilisateurs ou groupes répertoriés dans la liste de contrôle d’accès de la clé de Registre winreg. Valeur par défaut : System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Attention Une modification incorrecte du Registre peut endommager gravement votre système. Avant de modifier le Registre, sauvegardez toutes les données importantes de votre ordinateur. Remarque : sous Windows XP, ce paramètre de sécurité se nommait " Accès réseau : les chemins de Registre accessibles à distance ". Si vous configurez ce paramètre sur un membre de la famille Windows Server 2003 qui est lié à un domaine, il sera hérité par les ordinateurs exécutant Windows XP, mais il figurera sous le nom " Accès réseau : les chemins de Registre accessibles à distance ". Pour plus d’informations, voir Accès réseau : les chemins et sous-chemins de Registre accessibles à distance. |
Network access: Remotely accessible registry paths and subpaths
This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths. |
2009 | Accès réseau : restreindre l’accès anonyme aux canaux nommés et aux partages
Lorsqu’il est activé, ce paramètre de sécurité restreint l’accès anonyme aux partages et aux canaux pour les paramètres : Accès réseau : les canaux nommés qui sont accessibles de manière anonyme Accès réseau : les partages qui sont accessibles de manière anonyme Valeur par défaut : Activé. |
Network access: Restrict anonymous access to Named Pipes and Shares
When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled. |
2010 | Accès réseau : les partages qui sont accessibles de manière anonyme
Ce paramètre de sécurité détermine les partages réseau accessibles aux utilisateurs anonymes. Valeur par défaut : non définie. |
Network access: Shares that can be accessed anonymously
This security setting determines which network shares can accessed by anonymous users. Default: None specified. |
2011 | Accès réseau : modèle de partage et de sécurité pour les comptes locaux
Ce paramètre de sécurité détermine le mode d’authentification des ouvertures de session réseau qui utilisent des comptes locaux. Si ce paramètre a la valeur Classique, les ouvertures de session sur le réseau qui utilisent les informations d’identification du compte local s’authentifient grâce à celles-ci. Le modèle Classique permet de contrôler précisément l’accès aux ressources. Il permet d’accorder à différents utilisateurs différents types d’accès à une même ressource. Si ce paramètre a la valeur Invité seul, les ouvertures de session sur le réseau qui utilisent les comptes locaux sont automatiquement mappées sur le compte Invité. Avec le modèle Invité, tous les utilisateurs sont traités de la même façon. Tous les utilisateurs s’authentifient comme Invité et ils reçoivent tous le même niveau d’accès à une ressource donnée, soit Lecture seule ou Modification. Valeur par défaut sur les ordinateurs liés à un domaine : Classique. Valeur par défaut sur les ordinateurs autonomes : Invité seul Important Avec le modèle Invité seul, tous les utilisateurs susceptibles d’accéder à votre ordinateur sur le réseau (y compris les utilisateurs anonymes sur Internet) peuvent accéder à vos ressources partagées. Vous devez utiliser le Pare-feu Windows ou un autre périphérique similaire pour protéger votre ordinateur des accès non autorisés. De même, avec le modèle Classique, les comptes locaux doivent être protégés par un mot de passe, sinon ces comptes d’utilisateurs pourront être utilisés par n’importe qui pour accéder aux ressources système partagées. Remarque : Ce paramètre n’a aucune incidence sur les ouvertures de session interactives effectuées à distance via des services comme Telnet ou les services Bureau à distance Les services Bureau à distance étaient appelés « services Terminal Server » dans les versions précédentes de Windows Server. Cette stratégie n’a aucune incidence sur les ordinateurs exécutant Windows 2000. Lorsque l’ordinateur n’est pas lié à un domaine, ce paramètre modifie également les onglets Partage et Sécurité de l’Explorateur de fichiers afin qu’ils correspondent au modèle de partage et de sécurité utilisé. |
Network access: Sharing and security model for local accounts
This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used. |
2012 | Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe
Ce paramètre de sécurité détermine si, lors de la prochaine modification de mot de passe, LAN Manager ne peut pas stocker de valeurs de hachage pour le nouveau mot de passe. Le hachage LAN Manager est relativement faible et vulnérable aux attaques, en comparaison du hachage Windows NT dont le niveau de chiffrement est plus puissant. Dans la mesure où le hachage LAN Manager est stocké sur l’ordinateur local dans la base de données de sécurité, la sécurité des mots de passe peut être compromise en cas d’attaque de la base de données de sécurité. Valeur par défaut sur Windows Vista et versions ultérieures : activé Valeur par défaut sur Windows XP : désactivé. Important Windows 2000 Service Pack 2 (SP2) et les versions ultérieures sont compatibles avec l’authentification des précédentes versions de Windows, comme Microsoft Windows NT 4.0. Ce paramètre peut affecter la capacité des ordinateurs exécutant Windows 2000 Server, Windows 2000 Professionnel, Windows XP et la famille Windows Server 2003 à communiquer avec des ordinateurs exécutant Windows 95 et Windows 98. |
Network security: Do not store LAN Manager hash value on next password change
This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98. |
2013 | Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent
Ce paramètre de sécurité détermine s’il convient de déconnecter les utilisateurs de l’ordinateur local hors des heures d’ouvertures de session valides figurant dans le compte d’utilisateur. Ce paramètre affecte le composant SMB (Server Message Block). Si vous activez ce paramètre, les sessions client établies avec le serveur SMB sont forcées de se déconnecter à l’expiration de la durée de session des clients. Si vous le désactivez, elles sont maintenues après l’expiration de la durée de session des clients. Valeur par défaut : Activé. Remarque : ce paramètre de sécurité se comporte comme une stratégie de compte. Les comptes de domaine ne peuvent avoir qu’une seule stratégie de compte. Celle-ci doit être définie dans la stratégie de domaine par défaut ; elle est appliquée par les contrôleurs de domaine qui constituent le domaine. Un contrôleur de domaine récupère toujours la stratégie de compte de l’objet de stratégie de groupe de la stratégie de domaine par défaut, même si une autre stratégie de compte est appliquée à l’unité d’organisation contenant le contrôleur de domaine. Par défaut, les stations de travail et les serveurs liés à un domaine (par exemple, des ordinateurs membres) reçoivent également la même stratégie de compte pour leurs comptes locaux. Toutefois, les stratégies de compte locaux des ordinateurs membres peuvent être différentes de la stratégie de compte de domaine si vous définissez une stratégie de compte pour l’unité d’organisation qui contient les ordinateurs membres. Les paramètres Kerberos ne sont pas appliqués aux ordinateurs membres. |
Network security: Force logoff when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers. |
2014 | Sécurité réseau : niveau d’authentification LAN Manager
Ce paramètre de sécurité détermine quel est le protocole d’authentification de stimulation/réponse des ouvertures de session réseau utilisé. Ce choix a une incidence sur le niveau du protocole d’authentification qu’utilisent les clients, le niveau de sécurité de session que négocient les systèmes et le niveau d’authentification qu’acceptent les serveurs, de la façon suivante : Envoyer les réponses LM et NTLM : les clients utilisent l’authentification LM et NTLM et n’ont jamais recours à la sécurité de session NTLMv2 ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer LM et NTLM - utiliser la sécurité de session NTLM version 2 si négociée : les clients utilisent l’authentification LM et NTLM ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer uniquement les réponses NTLM : les clients utilisent l’authentification NTLM uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer uniquement les réponses NTLMv2 : les clients utilisent l’authentification NTLMv2 uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer uniquement les réponses NTLMv2\Refuser LM : les clients utilisent l’authentification NTLMv2 uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine refusent l’authentification LM (acceptent uniquement l’authentification NTLM et NTLMv2). Envoyer des réponses NTLM version 2 uniquement\Refuser LM et NTLM : les clients utilisent l’authentification NTLMv2 uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine refusent l’authentification LM et NTLM(acceptent uniquement l’authentification NTLMv2). Important Ce paramètre peut altérer la capacité des ordinateurs exécutant Windows 2000 Server, Windows 2000 Professionnel, Windows XP Professionnel et la famille Windows Server 2003 à communiquer avec des ordinateurs exécutant Windows NT 4.0 et versions antérieures sur le réseau. Par exemple, à la date de publication de ce texte, les ordinateurs exécutant Windows NT 4.0 SP4 et les versions antérieures ne prennent pas en charge NTLMv2. Les ordinateurs exécutant Windows 95 et Windows 98 ne prennent pas en charge NTLM. Valeur par défaut : Windows 2000 et Windows XP : Envoyer les réponses LM et NTLM sur le serveur Windows Server 2003 : Envoyer uniquement les réponses NTLM Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 : Envoyer uniquement les réponses NTLMv2 |
Network security: LAN Manager authentication level
This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only |
2015 | Sécurité réseau : conditions requises pour la signature de client LDAP
Ce paramètre de sécurité détermine le niveau de signature des données qui est demandé pour le compte des clients émettant des requêtes LDAP BIND, comme indiqué ci-après : Aucune : la requête LDAP BIND est émise avec les options spécifiées par l’appelant. Négociation des signatures : si TLS\SSL (Transport Layer Security/Secure Sockets Layer) n’a pas été démarré, la requête LDAP BIND est initiée avec l’option de signature des données LDAP définie en plus des options spécifiées par l’appelant. Si TLS\SSL a démarré, la requête LDAP BIND est initiée avec les options spécifiées par l’appelant. Nécessite la signature : cette valeur est identique à Négociation des signatures. Toutefois, si la réponse saslBindInProgress intermédiaire du serveur LDAP n’indique pas que la signature du trafic LDAP est nécessaire, l’appelant reçoit un message lui apprenant l’échec de la requête de commande LDAP BIND. Attention Si vous définissez le serveur de sorte qu’il exige des signatures LDAP, vous devez également définir le client. Si vous ne définissez pas le client, celui-ci ne pourra plus communiquer avec le serveur. Remarque : ce paramètre n’a aucune incidence sur ldap_simple_bind ou ldap_simple_bind_s. Aucun des clients Microsoft LDAP inclus avec Windows XP Professionnel n’utilise ldap_simple_bind ou ldap_simple_bind_s pour communiquer avec un contrôleur de domaine. Valeur par défaut : Négociation des signatures. |
Network security: LDAP client signing requirements
This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing. |
2016 | Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de sécurité permet à un client de demander la négociation du chiffrement 128 bits, et/ou la sécurité de session NTLM version 2 (NTLMv2). Ces valeurs dépendent de la valeur du paramètre de sécurité Niveau d’authentification LAN Manager. Les options sont : Nécessite une sécurité de session NTLMv2. La connexion échoue si le protocole NTLMv2 n’est pas négocié. Nécessite le chiffrement 128 bits. La connexion échoue si le chiffrement fort (128 bits) n’est pas négocié. Valeur par défaut : Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 et Windows Server 2008 : aucune condition requise. Windows 7 et Windows Server 2008 R2 : exiger un niveau de chiffrement à 128 bits |
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2017 | Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de sécurité permet à un serveur de demander la négociation du chiffrement 128 bits, et/ou la sécurité de session NTLM version 2 (NTLMv2). Ces valeurs dépendent de la valeur du paramètre de sécurité Niveau d’authentification LAN Manager. Les options sont : Nécessite une sécurité de session NTLMv2. La connexion échoue si le protocole NTLMv2 n’est pas négocié. Nécessite le chiffrement 128 bits. La connexion échoue si le chiffrement fort (128 bits) n’est pas négocié. Valeur par défaut : Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 et Windows Server 2008 : aucune condition requise. Windows 7 et Windows Server 2008 R2 : exiger un niveau de chiffrement à 128-bits |
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2018 | Console de récupération : autoriser l’ouverture de session d’administration automatique
Ce paramètre de sécurité détermine si le mot de passe du compte Administrateur doit être donné avant que l’accès au système soit accordé. L'activation de ce paramètre ouvre automatiquement une session sur le système sans qu’un mot de passe soit demandé à la console de récupération. Valeur par défaut : cette stratégie n’est pas définie et l’ouverture de session Administrateur automatique n’est pas autorisée. |
Recovery console: Allow automatic administrative logon
This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed. |
2019 | Console de récupération : autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers
L'activation de cette option de sécurité rend disponible la commande SET de la console de récupération, ce qui vous permet de définir les variables d’environnement suivantes : AllowWildCards : permet la prise en charge des caractères génériques pour certaines commandes (comme la commande SUPPR). AllowAllPaths : permet d’accéder à tous les fichiers et dossiers de l’ordinateur. AllowRemovableMedia : autorise la copie des fichiers sur un média amovible, comme une disquette. NoCopyPrompt : ne pas avertir du remplacement d’un fichier existant. Valeur par défaut : cette stratégie n’est pas définie et la commande SET de la console de récupération n’est pas disponible. |
Recovery console: Allow floppy copy and access to all drives and all folders
Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available. |
2020 | Arrêt : permet au système d’être arrêté sans avoir à se connecter
Ce paramètre de sécurité détermine si un ordinateur peut être arrêté sans avoir à se connecter à Windows. L'activation de cette stratégie permet d’afficher la commande Arrêter dans l’écran de connexion Windows. La désactivation de cette commande supprime l’option d’arrêt de l’ordinateur à partir de l’écran d’ouverture de session Windows. Dans ce cas, les utilisateurs doivent pouvoir ouvrir avec succès une session sur l’ordinateur et disposer du droit d’utilisateur Arrêter le système avant d’exécuter un arrêt du système. Valeur par défaut sur les stations de travail : activé. Valeur par défaut sur les serveurs : désactivé. |
Shutdown: Allow system to be shut down without having to log on
This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled. |
2021 | Arrêt : effacer le fichier d’échange de mémoire virtuelle
Ce paramètre de sécurité détermine si le fichier d’échange de mémoire virtuelle est effacé à l’arrêt du système. Le support de la mémoire virtuelle utilise un fichier d’échange système pour échanger des pages de la mémoire vers le disque lorsqu’elles ne sont pas utilisées. Sur un système en cours d’exécution, ce fichier est ouvert exclusivement par le système d’exploitation et est bien protégé. Toutefois, il est possible que les systèmes configurés pour autoriser le démarrage sur d’autres systèmes d’exploitation doivent s’assurer que le fichier d’échange système est nettoyé à l’arrêt de ce système. Cette opération garantit que les informations confidentielles provenant de la mémoire des processus et risquant d’être présentes dans le fichier d’échange ne sont pas accessibles à un utilisateur non autorisé parvenant à accéder directement à ce fichier. Lorsque cette stratégie est activée, le fichier d’échange système est vidé lors d’un arrêt normal. Si vous activez cette option de sécurité, le système remet à zéro le fichier de mise en veille prolongée (hiberfil.sys) lorsque la mise en veille prolongée est désactivée. Valeur par défaut : Désactivé. |
Shutdown: Clear virtual memory pagefile
This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled. |
2022 | Chiffrement système : force une protection forte des clés utilisateur enregistrées sur l’ordinateur
Ce paramètre de sécurité détermine si l’utilisation des clés privées des utilisateurs est assujettie à l’emploi d’un mot de passe. Les options sont les suivantes : L'utilisateur n’a pas besoin d’entrer de mot de passe lorsque de nouvelles clés sont enregistrées et utilisées L'utilisateur doit entrer un mot de passe à la première utilisation de la clé L'utilisateur doit entrer un mot de passe à chaque utilisation de la clé Pour plus d’informations, voir Infrastructure à clé publique. Valeur par défaut : cette stratégie n’est pas définie. |
System Cryptography: Force strong key protection for user keys stored on the computer
This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined. |
2023 | Chiffrement système : utiliser des algorithmes de chiffrement compatibles FIPS 140, notamment des algorithmes de chiffrement, de hachage et de signature
Pour le fournisseur SSP (Schannel Security Service Provider), ce paramètre de sécurité désactive les protocoles SSL (Secure Sockets Layer) les plus faibles et prend uniquement en charge les protocoles TLS (Transport Layer Security) en tant que client et en tant que serveur (le cas échéant). Si ce paramètre est activé, le fournisseur de sécurité TLS/SSL (Transport Layer Security/Secure Sockets Layer) utilise uniquement les algorithmes de chiffrement FIPS 140 approuvés : 3DES et AES pour le chiffrement, le chiffrement à clé publique RSA ou ECC pour l’échange de clés et l’authentification TLS, et uniquement l’algorithme de hachage sécurisé (SHA1, SHA256, SHA384, et SHA512) pour les exigences de hachage TLS. Pour le service EFS (Encrypting File System Service), il prend en charge les algorithmes de chiffrement Triple DES (Data Encryption Standard) et AES (Advanced Encryption Standard) pour le chiffrement des données de fichiers pris en charge par le système de fichiers NTFS. Par défaut, EFS utilise l’algorithme AES (Advanced Encryption Standard) avec une clé sur 256 bits dans Windows Server 2003 et la famille Windows Vista, et l’algorithme DESX sous Windows XP pour le chiffrement des données de fichiers. Pour plus d’informations sur EFS, voir Chiffrement du système de fichiers. Pour les services Bureau à distance, il prend uniquement en charge l’algorithme de chiffrement Triple DES pour le chiffrement de la communication avec le réseau des services Bureau à distance. Remarque : les services Bureau à distance étaient appelés « services Terminal Server » dans les versions précédentes de Windows Server. Pour BitLocker, cette stratégie doit être activée avant la génération d’une clé de chiffrement. Les mots de passe de récupération créés lorsque cette stratégie est activée sont incompatibles avec BitLocker sur Windows 8, Windows Server 2012 et les systèmes d’exploitation antérieurs. Si cette stratégie est appliquée à des ordinateurs exécutant des systèmes d’exploitation antérieurs à Windows 8.1 et Windows Server 2012 R2, BitLocker empêche la création ou l’utilisation de mots de passe de récupération ; des clés de récupération doivent être employées à la place pour ces ordinateurs. Valeur par défaut : Désactivé. Remarque : FIPS (Federal Information Processing Standard) 140 est une implémentation de sécurité conçue pour certifier du logiciel de chiffrement. Des logiciels validés par FIPS 140 sont requis par l’administration américaine et par d’autres institutions importantes. |
System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms
For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions. |
2024 | Objets système : propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs
Description Ce paramètre de sécurité détermine quel principal de sécurité (SID) est affecté au PROPRIÉTAIRE des objets lorsque l’objet est créé par un membre du groupe Administrateurs. Valeur par défaut : Windows XP : SID utilisateur Windows 2003 : Groupe Administrateurs |
System objects: Default owner for objects created by members of the Administrators group
Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group |
2025 | Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
Ce paramètre de sécurité détermine si le non-respect de la casse s’applique à tous les sous-systèmes. Le sous-système Win32 ne fait pas la distinction entre les majuscules et les minuscules. Toutefois, le noyau prend en charge le respect des majuscules/minuscules pour les autres sous-systèmes, comme POSIX (Portable Operating System Interface for UNIX). Si ce paramètre est activé, le non-respect de la casse est mis en vigueur pour tous les objets d’annuaire, les liens symboliques, les objets E/S, y compris les objets fichier. Si ce paramètre est désactivé, le sous-système Win32 ne peut pas effectuer la distinction entre les majuscules et minuscules. Valeur par défaut : Activé. |
System objects: Require case insensitivity for non-Windows subsystems
This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled. |
2026 | Objets système : renforcer les autorisations par défaut des objets système internes (comme les liens de symboles)
Ce paramètre de sécurité détermine la force de la liste de contrôle d’accès discrétionnaire des objets. Active Directory conserve la liste globale des ressources système partagées, comme les noms des périphériques DOS, les mutex et les sémaphores. Les objets peuvent être ainsi localisés et partagés entre processus. Chaque type d’objet est créé avec une liste de contrôle d’accès discrétionnaire par défaut qui spécifie l’identité des personnes susceptibles d’accéder à l’objet avec ses droits. L'activation de ce paramètre renforce la DACL par défaut, en permettant aux utilisateurs qui ne sont pas administrateurs de lire les objets partagés, sans pouvoir modifier les objets partagés qu’ils n’ont pas créés. Valeur par défaut : Activé. |
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)
This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled. |
2027 | Paramètres système : sous-systèmes optionnels
Ce paramètre de sécurité détermine quels sous-systèmes peuvent éventuellement être démarrés pour prendre en charge vos applications. Avec ce paramètre de sécurité, vous pouvez spécifier autant de sous-systèmes que l’exige la prise en charge de vos applications dans votre environnement. Valeur par défaut : POSIX. |
System settings: Optional subsystems
This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX. |
2028 | Paramètres système : utiliser les règles de certificat des exécutables Windows pour les stratégies de restriction logicielle
Ce paramètre de sécurité détermine si des certificats numériques sont traités lorsqu’un utilisateur ou un processus tente d’exécuter des logiciels ayant une extension de nom de fichier .exe. Ce paramètre de sécurité active ou désactive les règles de certificat (un type de règle de stratégies de restriction logicielle). Grâce aux stratégies de restriction logicielle, vous pouvez créer une règle de certificat qui autorise ou non l’exécution de logiciels signés par la technologie Authenticode, en fonction du certificat numérique qui leur est associé. Pour que les règles de certificat prennent effet, vous devez activer ce paramètre de sécurité. Lorsque les règles de certificat sont activées, les stratégies de restriction logicielle vérifient, en examinant une liste de révocation des certificats (CRL), que le certificat et la signature du logiciel sont valables. Cette vérification peut avoir une incidence négative sur les performances, au démarrage des programmes signés. Vous pouvez désactiver cette fonction. Dans la boîte de dialogue Propriétés des Éditeurs approuvés, désactivez les cases à cocher Éditeur et Horodateur. Pour plus d’informations, voir Définir les options des éditeurs approuvés Valeur par défaut : Désactivé. |
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled. |
2029 | Taille maximale du journal des applications
Ce paramètre de sécurité spécifie la taille maximale du journal des événements des applications, dont la valeur maximale théorique est de 4 Go. En pratique, la limite est inférieure (environ 300 Mo). Remarques La taille des fichiers journaux doit être un multiple de 64 Ko. Si vous entrez une valeur autre qu’un multiple de 64 Ko, l’Observateur d’événements arrondit la taille du fichier journal à un multiple de 64 Ko. Ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. La taille et le dépassement de taille du journal des événements doivent être définis de façon à correspondre aux exigences métier et de sécurité que vous avez déterminées lors de l’élaboration du plan de sécurité de votre entreprise. Envisagez d’implémenter ces paramètres du journal des événements au niveau du site, du domaine ou de l’unité d’organisation afin de bénéficier des paramètres de la stratégie de groupe. Valeur par défaut : pour la famille Windows Server 2003, 16 Mo ; pour Windows XP Professionnel Service Pack 1, 8 Mo ; pour Windows XP Professionnel, 512 Ko. |
Maximum application log size
This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2030 | Taille maximale du journal de sécurité
Ce paramètre de sécurité spécifie la taille maximale du journal des événements de sécurité, dont la valeur maximale théorique est de 4 Go. En pratique, la limite est inférieure (environ 300 Mo). Remarques La taille des fichiers journaux doit être un multiple de 64 Ko. Si vous entrez une valeur autre qu’un multiple de 64 Ko, l’Observateur d’événements arrondit la taille du fichier journal à un multiple de 64 Ko. Ce paramètre n’apparaît pas dans l’objet Stratégie de l’ordinateur local. La taille et le dépassement de taille du journal des événements doivent être définis de façon à correspondre aux exigences métier et de sécurité que vous avez déterminées lors de l’élaboration du plan de sécurité de votre entreprise. Envisagez d’implémenter ces paramètres du journal des événements au niveau du site, du domaine ou de l’unité d’organisation pour bénéficier des paramètres de la stratégie de groupe. Valeur par défaut : pour la famille Windows Server 2003, 16 Mo ; pour Windows XP Professionnel Service Pack 1, 8 Mo ; pour Windows XP Professionnel, 512 Ko. |
Maximum security log size
This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2031 | Taille maximale du journal système
Ce paramètre de sécurité spécifie la taille maximale du journal des événements du système, dont la valeur maximale est de 4 Go. En pratique, la limite est inférieure (environ 300 Mo). Remarques La taille des fichiers journaux doit être un multiple de 64 Ko. Si vous entrez une valeur autre qu’un multiple de 64 Ko, l’Observateur d’événements arrondit la taille du fichier journal à un multiple de 64 Ko. Ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. La taille et le dépassement de taille du journal des événements doivent être définis de façon à correspondre aux exigences métier et de sécurité que vous avez déterminées lors de l’élaboration du plan de sécurité de votre entreprise. Envisagez d’implémenter ces paramètres du journal des événements au niveau du site, du domaine ou de l’unité d’organisation pour bénéficier des paramètres de la stratégie de groupe. Valeur par défaut : pour la famille Windows Server 2003, 16 Mo ; pour Windows XP Professionnel Service Pack 1, 8 Mo ; pour Windows XP Professionnel, 512 Ko. |
Maximum system log size
This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2032 | Interdire au groupe local Invité et aux utilisateurs avec OUVERTURE DE SESSION ANONYME l’accès au journal des applications
Ce paramètre de sécurité détermine si les invités sont autorisés ou non à accéder au journal des événements des applications. Remarques Ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Ce paramètre de sécurité n’affecte que les ordinateurs exécutant Windows 2000 et Windows XP. Valeur par défaut : Activé pour Windows XP, Désactivé pour Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2033 | Interdire au groupe local Invité et aux utilisateurs avec OUVERTURE DE SESSION ANONYME l’accès au journal de sécurité
Ce paramètre de sécurité détermine si les invités sont autorisés ou non à accéder au journal des événements des applications. Remarques Ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Ce paramètre de sécurité n’affecte que les ordinateurs exécutant Windows 2000 et Windows XP. Valeur par défaut : Activé pour Windows XP, Désactivé pour Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2034 | Interdire au groupe local Invité et aux utilisateurs avec OUVERTURE DE SESSION ANONYME l’accès au journal système
Ce paramètre de sécurité détermine si les invités sont autorisés ou non à accéder au journal des événements des applications. Remarques Ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Ce paramètre de sécurité n’affecte que les ordinateurs exécutant Windows 2000 et Windows XP. Valeur par défaut : Activé pour Windows XP, Désactivé pour Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2035 | Durée de stockage du journal des applications
Ce paramètre de sécurité détermine le nombre de jours d’événements à conserver dans le journal des applications si la méthode de conservation de ce journal est Par jours. Définissez cette valeur seulement si vous archivez le journal à intervalles planifiés et si vous vous assurez que la Taille maximale du journal des applications est suffisamment élevée pour convenir à l’intervalle. Remarque : ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Valeur par défaut : aucune. |
Retain application log
This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2036 | Durée de stockage du journal de sécurité
Ce paramètre de sécurité détermine le nombre de jours d’événements à conserver dans le journal de sécurité si la méthode de conservation de ce journal est Par jours. Définissez cette valeur seulement si vous archivez le journal à intervalles planifiés et si vous vous assurez que la Taille maximale du journal de sécurité est suffisamment élevée pour convenir à l’intervalle. Remarques Ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Un utilisateur doit disposer du droit utilisateur Gérer le journal d’audit et de sécurité pour accéder au journal de sécurité Valeur par défaut : aucune. |
Retain security log
This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2037 | Durée de stockage du journal système
Ce paramètre de sécurité détermine le nombre de jours d’événements à conserver dans le journal système si la méthode de conservation de ce journal est Par jours. Définissez cette valeur seulement si vous archivez le journal à intervalles planifiés et si vous vous assurez que la Taille maximale du journal système est suffisamment élevée pour convenir à l’intervalle. Remarque : ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Valeur par défaut : Aucune. |
Retain system log
This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2038 | Méthode de conservation du journal des applications
Ce paramètre de sécurité détermine la méthode de " dépassement de taille " du journal des applications. Si vous n’archivez pas le journal des applications, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur Remplacer les événements si nécessaire. Si vous archivez le journal à intervalles planifiés, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur Remplacer les événements par jours et spécifiez le nombre de jours approprié pour le paramètre Durée de stockage du journal des applications. Assurez-vous que la Taille maximale du journal des applications est suffisamment élevée pour convenir à l’intervalle. Si vous devez conserver tous les événements dans le journal, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur Ne pas remplacer les événements (nettoyage manuel du journal). Cette option requiert un effacement manuel du journal. Dans ce cas, quand la taille maximale du journal est atteinte, les nouveaux événements sont perdus. Remarque : ce paramètre n’apparaît pas dans l’objet Stratégie de l’ordinateur local. Valeur par défaut : Aucune. |
Retention method for application log
This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2039 | Méthode de conservation du journal de sécurité
Ce paramètre de sécurité détermine la méthode de « dépassement de taille » du journal de sécurité. Si vous n’archivez pas le journal de sécurité, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie puis cliquez sur Remplacer les événements si nécessaire. Si vous archivez le journal à intervalles planifiés, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie puis cliquez sur Remplacer les événements par jour et spécifiez le nombre de jours appropriés pour le paramètre de conservation du journal de sécurité. Assurez-vous que la Taille maximale du journal de sécurité est suffisamment élevée pour convenir à l’intervalle. Si vous devez conserver tous les événements dans le journal, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur Ne pas remplacer les événements (nettoyage manuel du journal). Cette option requiert un effacement manuel du journal. Dans ce cas, quand la taille maximale du journal est atteinte, les nouveaux événements sont perdus. Remarques Ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Un utilisateur doit disposer du droit utilisateur Gérer le journal d’audit et de sécurité pour accéder au journal de sécurité Valeur par défaut : aucune. |
Retention method for security log
This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2040 | Méthode de conservation du journal système
Ce paramètre de sécurité détermine la méthode de « dépassement de taille » du journal système. Si vous n’archivez pas le journal système, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur Remplacer les événements si nécessaire. Si vous archivez le journal à intervalles planifiés, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie puis cliquez sur Remplacer les événements par jours et spécifiez le nombre de jours appropriés dans le paramètre Durée de stockage du journal système. Assurez-vous que la Taille maximale du journal système est suffisamment élevée pour convenir à l’intervalle. Si vous devez conserver tous les événements dans le journal, dans la boîte de dialogue Propriétés de cette stratégie, activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur Ne pas remplacer les événements (nettoyage manuel du journal). Cette option requiert un effacement manuel du journal. Dans ce cas, quand la taille maximale du journal est atteinte, les nouveaux événements sont perdus. Remarque : ce paramètre n’apparaît pas dans l’objet de stratégie de l’ordinateur local. Valeur par défaut : aucune. |
Retention method for system log
This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2041 | Groupes restreints
Ce paramètre de sécurité permet à un administrateur de définir deux propriétés pour les groupes où la sécurité est un facteur sensible (groupes " restreints "). Les deux propriétés sont Membres et Membre de. La liste Membres définit qui appartient et qui n’appartient pas au groupe restreint. La liste Membres de spécifie les autres groupes auxquels le groupe restreint appartient. Quand une stratégie de groupes restreints est appliquée, tous les membres qui font partie d’un groupe restreint qui ne figure pas dans la liste Membres sont supprimés. Tous les utilisateurs de la liste Membres qui ne sont pas actuellement membres du groupe restreint sont ajoutés. La stratégie Groupes restreints permet de contrôler l’appartenance à un groupe. Vous pouvez l’utiliser pour spécifier quels sont les membres d’un groupe. Tous les membres non spécifiés dans la stratégie sont supprimés au cours de la configuration ou de l’actualisation. Par ailleurs, l’option de configuration de l’appartenance inversée garantit que chaque groupe restreint est uniquement membre des groupes qui sont spécifiés dans la colonne Membre de. Vous pouvez, par exemple, créer une stratégie Groupes restreints qui autorise uniquement les utilisateurs spécifiés (disons, Alice et Jean) à appartenir au groupe Administrateurs. Lors de l’actualisation de cette stratégie, seuls Alice et Jean resteront membres du groupe Administrateurs. Pour appliquer la stratégie Groupes restreints, vous avez le choix entre deux méthodes : définir la stratégie dans un modèle de sécurité, qui sera appliqué lors de la configuration sur votre ordinateur local ; définir le paramètre directement dans un objet de stratégie de groupe (GPO) et, dans ce cas, la stratégie prendra effet à chaque actualisation. Les paramètres de sécurité sont actualisés toutes les 90 minutes sur un poste de travail ou sur un serveur, et toutes les 5 minutes sur un contrôleur de domaine. Ces paramètres font également l’objet d’une actualisation toutes les 16 heures, même si aucune modification n’est intervenue. Valeur par défaut : aucune spécifiée. Attention Si une stratégie Groupes restreints est définie et que la Stratégie de groupe est actualisée, tous les membres existants qui ne font pas partie de la liste des membres de la stratégie Groupes restreints seront supprimés. Ceci est valable pour les membres par défaut, tels que les administrateurs. Remarques Les Groupes restreints doivent être principalement utilisés pour configurer l’appartenance de groupes locaux sur des stations de travail ou des serveurs membres. Une liste Membres vide signifie que le groupe restreint n’a pas de membres ; une liste Membre de vide signifie que les groupes auxquels appartient le groupe restreint ne sont pas spécifiés. |
Restricted Groups
This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified. |
2042 | Paramètres de sécurité des services système
Permet à un administrateur de définir le mode de démarrage (manuel, automatique ou désactivé), ainsi que les autorisations d’accès (Démarrer, Arrêter ou Suspendre) pour tous les services système. Valeur par défaut : Non défini. Remarques Ce paramètre n’apparaît pas dans l’objet Stratégie de l’ordinateur local. Si vous décidez de régler le démarrage des services système sur Automatique, effectuez les tests appropriés pour vérifier que les services peuvent démarrer sans aucune intervention de l’utilisateur. Pour optimiser les performances, paramétrez les services superflus ou inutilisés sur Manuel. |
System Services security settings
Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual. |
2043 | Paramètres de sécurité du Registre
Permet à un administrateur de définir des autorisations d’accès (sur des listes de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List)) et des paramètres d’audit (sur des listes de contrôle d’accès système (SACL, System Access Control List)) pour les clés de Registre à l’aide du Gestionnaire de configuration de sécurité. Valeur par défaut : Non défini. Remarque : ce paramètre n’apparaît pas dans l’objet Stratégie de l’ordinateur local. |
Registry security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2044 | Paramètres de sécurité du système de fichiers
Permet à un administrateur de définir des autorisations d’accès (sur des listes de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List)) et des paramètres d’audit (sur des listes de contrôle d’accès système (SACL, System Access Control List)) pour les objets du système de fichiers à l’aide du Gestionnaire de configuration de sécurité. Valeur par défaut : Non défini. Remarque : ce paramètre n’apparaît pas dans l’objet Stratégie de l’ordinateur local. |
File System security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2045 | Audit : forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit.
Windows Vista et les versions ultérieures de Windows permettent une gestion précise de la stratégie d’audit à l’aide de sous-catégories. La définition d’une stratégie d’audit au niveau de la catégorie écrase la nouvelle fonctionnalité de stratégie d’audit au niveau de la sous-catégorie. La stratégie de groupe permet la définition de la stratégie d’audit au niveau de la catégorie, et la stratégie de groupe existante peut remplacer les paramètres de la sous-catégorie de nouveaux ordinateurs lorsqu’ils rejoignent le domaine ou lors d’une mise à niveau vers Windows Vista ou vers des versions ultérieures. Pour qu’une stratégie d’audit puisse être gérée à l’aide de sous-catégories sans nécessiter la modification de la stratégie de groupe, il existe une nouvelle valeur dans le Registre de Windows Vista et les versions ultérieures, appelée SCENoApplyLegacyAuditPolicy, qui empêche l’application de la stratégie d’audit au niveau de la catégorie à partir de la stratégie de groupe et de l’outil d’administration Stratégie de sécurité locale. Si la stratégie d’audit au niveau de la catégorie définie ici n’est pas cohérente avec les événements en cours de génération, la raison peut en être que cette clé de Registre est définie. Valeur par défaut : activé |
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled |
2046 | Contrôle de compte d’utilisateur : utiliser le mode Approbation administrateur pour le compte Administrateur intégré
Ce paramètre de stratégie détermine le comportement du mode Approbation administrateur pour le compte Administrateur intégré. Les options sont : o Activé : le compte Administrateur intégré utilise le mode Approbation administrateur. Par défaut, toutes les opérations qui requièrent une élévation de privilège inviteront l’utilisateur à approuver l’opération. o Désactivé (par défaut) : le compte Administrateur intégré exécute toutes les applications avec des privilèges d’administration complets. |
User Account Control: Use Admin Approval Mode for the built-in Administrator account
This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege. |
2047 | DCOM : Restrictions d’accès à un ordinateur au format du langage SDDL (Security Descriptor Definition Language)
Ce paramètre de stratégie détermine les utilisateurs ou les groupes qui peuvent accéder à une application DCOM à distance ou localement. Ce paramètre est utilisé pour contrôler la surface exposée aux attaques de l’ordinateur pour les applications DCOM. Vous pouvez utiliser ce paramètre de stratégie pour spécifier des autorisations d’accès à tous les ordinateurs, à des utilisateurs spécifiques, pour les applications DCOM de l’entreprise. Quand vous spécifiez les utilisateurs ou les groupes auxquels les autorisations doivent être accordées, le champ du descripteur de sécurité est rempli avec la représentation SDDL de ces groupes et de ces privilèges. Si le descripteur de sécurité est laissé vide, le paramètre de stratégie est défini dans le modèle, mais il n’est pas appliqué. Les utilisateurs et les groupes peuvent recevoir des privilèges Autoriser ou Refuser explicites à la fois sur l’accès local et sur l’accès à distance. Les paramètres du Registre qui sont créés suite à l’activation du paramètre de stratégie DCOM : Restrictions d’accès ordinateur au format du langage SDDL (Security Descriptor Definition Language) ont priorité (sont d’une priorité plus élevée) sur les paramètres antérieurs du Registre dans cette zone. Les services d’appel de procédure distante (RPCS, Remote Procedure Call Services) vérifient les nouvelles clés de Registre dans la section Policies pour les restrictions de l’ordinateur, et ces entrées de Registre ont priorité sur les clés de Registre existant sous OLE. Cela signifie que les paramètres du Registre existant précédemment ne sont plus effectifs et que si vous apportez des modifications aux paramètres existants, les autorisations d’accès de l’ordinateur pour les utilisateurs ne sont pas modifiées. Agissez avec précaution quand vous configurez leur liste d’utilisateurs et de groupes. Les valeurs possibles pour ce paramètre de stratégie sont : Vide : cette valeur représente pour la stratégie de sécurité locale le moyen de supprimer la clé d’application de la stratégie. Elle supprime la stratégie, puis la place dans l’état Non définie. La valeur Vide est définie à l’aide de l’éditeur ACL, en vidant la liste, puis en cliquant sur OK. SDDL : il s’agit de la représentation SDDL des groupes et des privilèges que vous spécifiez lorsque vous activez cette stratégie. Non définie : il s’agit de la valeur par défaut. Remarque Si l’autorisation d’accéder aux applications DCOM est refusée à l’administrateur en raison des modifications apportées à DCOM dans Windows, l’administrateur peut utiliser le paramètre de stratégie DCOM : Restrictions d’accès ordinateur au format du langage SDDL (Security Descriptor Definition Language) pour gérer l’accès DCOM à l’ordinateur. L’administrateur peut spécifier les utilisateurs et les groupes qui peuvent accéder à l’application DCOM sur l’ordinateur, à la fois localement et à distance, à l’aide de ce paramètre. Ceci rétablira le contrôle de l’application DCOM à l’administrateur et aux utilisateurs. Pour cela, ouvrez le paramètre DCOM : Restrictions d’accès ordinateur au format du langage SDDL (Security Descriptor Definition Language) et cliquez sur Modifier la sécurité. Spécifiez les groupes que vous voulez inclure et les autorisations d’accès à l’ordinateur pour ces groupes. Ceci définit le paramètre et configure la valeur SDDL appropriée. |
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2048 | DCOM : Restrictions de démarrage d’ordinateur au format du langage SDDL (Security Descriptor Definition Language)
Ce paramètre de stratégie détermine les utilisateurs ou les groupes qui peuvent lancer ou activer des applications DCOM à distance ou localement. Ce paramètre est utilisé pour contrôler la surface exposée aux attaques de l’ordinateur pour les applications DCOM. Vous pouvez utiliser ce paramètre pour accorder l’accès à tous les ordinateurs pour les utilisateurs d’applications DCOM. Quand vous définissez ce paramètre et que vous spécifiez les utilisateurs ou les groupes auxquels les autorisations doivent être accordées, le champ du descripteur de sécurité est rempli avec la représentation SDDL de ces groupes et de ces privilèges. Si le descripteur de sécurité est laissé vide, le paramètre de stratégie est défini dans le modèle, mais il n’est pas appliqué. Les utilisateurs et les groupes peuvent recevoir des privilèges Autoriser ou Refuser explicites sur le lancement local, le lancement distant, l’activation locale et l’activation distante. Les paramètres du Registre créés en conséquence de cette stratégie ont priorité sur les paramètres de Registre antérieurs de cette zone. Les services d’appel de procédure distante (RPCS, Remote Procedure Call Services) vérifient les nouvelles clés de Registre dans la section Policies pour les restrictions de l’ordinateur ; ces entrées de Registre ont priorité sur les clés de Registre existant sous OLE. Les valeurs possibles pour le paramètre de stratégie de groupe sont : Vide : cette valeur représente pour la stratégie de sécurité locale le moyen de supprimer la clé d’application de la stratégie. Elle supprime la stratégie, puis la place dans l’état Non définie. La valeur Vide est définie à l’aide de l’éditeur ACL, en vidant la liste, puis en cliquant sur OK. SDDL : il s’agit de la représentation SDDL des groupes et des privilèges que vous spécifiez lorsque vous activez cette stratégie. Non définie : il s’agit de la valeur par défaut. Remarque Si l’autorisation d’activer et de lancer des applications DCOM est refusée à l’administrateur en raison des modifications apportées à DCOM dans cette version de Windows, ce paramètre de stratégie peut être utilisé pour le contrôle de l’activation et du lancement de DCOM sur l’ordinateur. L’administrateur peut spécifier les utilisateurs et les groupes qui peuvent lancer et activer des applications DCOM sur l’ordinateur, à la fois localement et à distance, à l’aide du paramètre de stratégie DCOM : Restrictions de démarrage d’ordinateur au format du langage SDDL (Security Descriptor Definition Language). Cela rétablit le contrôle de l’application DCOM à l’administrateur et aux utilisateurs spécifiés. Pour cela, ouvrez le paramètre DCOM : Restrictions de démarrage d’ordinateur au format du langage SDDL (Security Descriptor Definition Language), puis cliquez sur Modifier la sécurité. Spécifiez les groupes que vous voulez inclure et les autorisations de lancement de l’ordinateur pour ces groupes. Ceci définit le paramètre et configure la valeur SDDL appropriée. |
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2049 | Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur
Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les administrateurs. Les options sont : • Élever les privilèges sans invite utilisateur : permet aux comptes privilégiés d’effectuer une opération qui nécessite une élévation sans demander un consentement ou des informations d’identification. Remarque : utilisez cette option uniquement dans les environnements les plus contraints. • Demande d’informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur privilégié et un mot de passe. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur. • Demande de consentement sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur. • Demande d’informations d’identification : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe d’administration. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables. • Demande de consentement : lorsqu’une opération requiert une élévation de privilège, l’utilisateur est invité à choisir entre Autoriser et Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur. • Demande de consentement pour les binaires non Windows : (par défaut) lorsqu’une opération pour une application non Microsoft nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec les privilèges les plus élevés disponibles de l’utilisateur. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. |
2050 | Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard
Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les utilisateurs standard Les options sont : o Demande d’informations d’identification (par défaut) : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe d’administrateur. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables. • Refuser automatiquement les demandes d’élévation de privilèges : lorsqu’une opération nécessite une élévation de privilège, un message d’erreur d’accès configurable refusé s’affiche. Une entreprise qui utilise des ordinateurs de bureau en tant qu’utilisateur standard peut choisir ce paramètre pour réduire les appels au support technique. • Demande d’informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un autre nom d’utilisateur et un mot de passe. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables. |
User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. |
2051 | Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation
Ce paramètre de stratégie contrôle le comportement de la détection d’installation d’application pour l’ordinateur. Les options sont : • Activé : (par défaut) lorsqu’un package d’installation d’application nécessitant une élévation de privilège est détecté, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de base d’administration. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec les privilèges applicables. • Désactivé : les packages d’installation d’application ne sont pas détectés et invités pour une élévation. Les entreprises qui utilisent des ordinateurs de bureau pour utilisateur standard et ont recours à des technologies d’installation déléguée telles que GPSI (Group Policy Software Install) ou SMS (Systems Management Server) doivent désactiver ce paramètre de stratégie. Dans ce cas, la détection d’un programme d’installation n’est pas nécessaire. |
User Account Control: Detect application installations and prompt for elevation
This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary. |
2052 | Contrôle de compte d’utilisateur : élever uniquement les exécutables signés et validés
Ce paramètre de stratégie applique des vérifications de signature PKI sur toutes les applications interactives qui requièrent une élévation de privilège. Les administrateurs d’entreprise peuvent contrôler les applications autorisées à s’exécuter en ajoutant des certificats dans le magasin de certificats des éditeurs approuvés sur les ordinateurs locaux. Les options sont : • Activé : applique la validation du chemin de certification PKI pour un fichier exécutable donné avant qu’il soit autorisé à s’exécuter. • Désactivé : (par défaut) n’applique pas de validation de chemin de certificat PKI avant qu’un fichier exécutable donné soit autorisé à s’exécuter. |
User Account Control: Only elevate executable files that are signed and validated
This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run. |
2053 | Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés
Ce paramètre de stratégie contrôle si les applications qui requièrent une exécution avec un niveau d’intégrité UIAccess (User Interface Accessibility) doivent résider à un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux répertoires suivants : - …\Program Files\, y compris ses sous-répertoires - …\Windows\system32\ - …\Program Files (x86)\, y compris ses sous-répertoires pour les versions 64 bits de Windows Remarque : Windows applique une vérification de signature PKI à toutes les applications interactives qui requièrent une exécution avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre de sécurité. Les options sont : o Activé : (par défaut) si une application réside à un emplacement sécurisé dans le système de fichiers, elle s’exécute uniquement avec l’intégrité UIAccess. • Désactivé : une application s’exécute avec l’intégrité UIAccess même si elle ne réside pas à un emplacement sécurisé dans le système de fichiers. |
User Account Control: Only elevate UIAccess applications that are installed in secure locations
This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system. |
2054 | Contrôle de compte d’utilisateur : activer le mode Approbation administrateur
Ce paramètre de stratégie contrôle le comportement de tous les paramètres de stratégie UAC (User Account Control) pour l’ordinateur. Si vous modifiez ce paramètre de stratégie, vous devez redémarrer l’ordinateur. Les options sont : • Activé : (par défaut) le mode Approbation administrateur est activé. Cette stratégie doit être activée et les paramètres de stratégie UAC associés doivent également être définis en conséquence pour permettre au compte Administrateur intégré et à tous les autres utilisateurs membres du groupe Administrateur de s’exécuter en mode Approbation administrateur. • Désactivé : le mode Approbation administrateur et tous les paramètres de stratégie UAC associés sont désactivés. Remarque : si ce paramètre de stratégie est désactivé, le Centre de sécurité vous avertit que la sécurité globale du système d’exploitation a été réduite. |
User Account Control: Turn on Admin Approval Mode
This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced. |
2055 | Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation
Ce paramètre de stratégie contrôle si l’invite de demande d’élévation s’affiche sur le bureau interactif de l’utilisateur ou le bureau sécurisé. Les options sont : • Activé : (par défaut) toutes les demandes d’élévation passent au bureau sécurisé quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard. • Désactivé : toutes les demandes d’élévation passent au bureau interactif de l’utilisateur. Les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont employés. |
User Account Control: Switch to the secure desktop when prompting for elevation
This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used. |
2056 | Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de Registre dans des emplacements définis par utilisateur
Ce paramètre de stratégie contrôle si des échecs d’écriture d’application sont redirigés dans des emplacements définis du Registre et du système de fichiers. Ce paramètre de stratégie réduit les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application au moment de l’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. Les options sont : • Activé: (par défaut) les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements définis par l’utilisateur pour le système de fichiers et le Registre. • Désactivé : les applications qui écrivent des données dans des emplacements protégés échouent. |
User Account Control: Virtualize file and registry write failures to per-user locations
This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail. |
2057 | Créer des liens symboliques
Ce privilège détermine si l’utilisateur peut créer un lien symbolique à partir de l’ordinateur où il a ouvert une session. Valeur par défaut : Administrateur AVERTISSEMENT : ce privilège doit être accordé seulement à des utilisateurs approuvés. Les liens symboliques peuvent exposer des vulnérabilités de sécurité dans les applications qui ne sont pas conçues pour les traiter. Remarque Ce paramètre peut être utilisé en combinaison avec un paramètre de système de fichiers de lien symbolique qui peut être manipulé avec l’utilitaire en ligne de commande pour contrôler les types de liens symboliques qui sont autorisés sur la machine. Entrez « fsutil behavior set symlinkevaluation /? » sur la ligne de commande pour obtenir plus d’informations sur fsutil et les liens symboliques. |
Create Symbolic Links
This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links. |
2058 | Modifier un nom d’objet
Ce privilège détermine les comptes d’utilisateurs qui peuvent modifier le nom d’intégrité d’objets, tels que des fichiers, des clés de Registre ou des processus appartenant à d’autres utilisateurs. Les processus s’exécutant sous un compte d’utilisateur peuvent modifier le nom d’un objet appartenant à cet utilisateur vers un niveau inférieur sans ce privilège. Valeur par défaut : aucune |
Modify an object label
This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None |
2059 | Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé.
Ce paramètre de sécurité détermine si les programmes User Interface Accessibility (UIAccess ou UIA) peuvent automatiquement désactiver le bureau sécurisé pour les demandes d’élévation utilisées par un utilisateur standard. • Activé : les programmes UIA, notamment Assistance à distance Windows, désactivent automatiquement le bureau sécurisé pour les invites d’élévation. Si vous ne désactivez pas le paramètre de stratégie « Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation », les invites apparaissent sur le bureau interactif de l’utilisateur et non sur le bureau sécurisé. • Désactivé : (par défaut) le bureau sécurisé peut être désactivé uniquement par l’utilisateur du bureau interactif ou en désactivant le paramètre de stratégie « Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation ». |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.
This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting. |
2060 | Ce paramètre est utilisé par le gestionnaire d’informations d’identification pendant la sauvegarde/restauration. Aucun compte ne doit avoir ce privilège, car il est uniquement affecté à Winlogon. Les informations d’identification enregistrées par les utilisateurs risquent d’être compromises si ce privilège est attribué à d’autres entités. | This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities. |
2061 | Changer le fuseau horaire
Ce droit utilisateur détermine quels utilisateurs et quels groupes peuvent changer le fuseau horaire utilisé par l’ordinateur pour afficher l’heure locale, qui est l’heure système plus le décalage du fuseau horaire. L’heure système est absolue et n’est pas affectée par un changement de fuseau horaire. Ce droit utilisateur est défini dans l’objet de stratégie de groupe (GPO) Contrôleur de domaine par défaut et dans la stratégie de sécurité locale des stations de travail et des serveurs. Valeur par défaut : Administrateurs, Utilisateurs |
Change the Time Zone
This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users |
2062 | Augmenter une plage de travail de processus
Ce privilège détermine quels comptes d’utilisateurs peuvent augmenter ou diminuer la taille d’une plage de travail d’un processus. Valeur par défaut : Utilisateurs La plage de travail d’un processus correspond à l’ensemble de pages mémoire actuellement visibles par le processus dans la mémoire vive physique. Ces pages sont utilisables par une application sans déclencher de défaut de page. Les tailles minimale et maximale de plage de travail affectent le comportement de la pagination de mémoire virtuelle d’un processus. Avertissement : l’augmentation de la taille d’une plage de travail d’un processus diminue la quantité de mémoire physique disponible pour le reste du système. |
Increase a process working set
This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system. |
2063 | Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants
Ce paramètre de stratégie vous permet de refuser ou d’auditer le trafic NTLM sortant, provenant de cet ordinateur Windows 7 ou Windows Server 2008 R2, vers des serveurs distants. Si vous sélectionnez « Autoriser tout » ou si vous ne configurez pas ce paramètre de stratégie, l’ordinateur client peut authentifier des identités sur un serveur distant à l’aide de l’authentification NTLM. Si vous sélectionnez « Auditer tout », l’ordinateur client enregistre un événement pour chaque demande d’authentification NTLM sur un serveur distant. Cela vous permet d’identifier les serveurs recevant des demandes d’authentification NTLM de l’ordinateur client. Si vous sélectionnez « Refuser tout », l’ordinateur client ne peut pas authentifier des identités sur un serveur distant à l’aide de l’authentification NTLM. Vous pouvez utiliser le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveurs distants pour l’authentification NTLM » pour définir une liste de serveurs distants sur lesquels les clients sont autorisés d’utiliser l’authentification NTLM. Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. Remarque : les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous Journaux des applications et des services/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2064 | Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant
Ce paramètre de stratégie vous permet de refuser ou d’autoriser le trafic NTLM entrant. Si vous sélectionnez « Autoriser tout » ou si vous ne configurez pas ce paramètre de stratégie, le serveur autorise toutes les demandes d’authentification NTLM. Si vous sélectionnez « Refuser tous les comptes de domaines », le serveur refuse toutes les demandes d’authentification NTLM pour les demandes d’ouverture de session de domaine et affiche une erreur de NTLM bloqué, mais autorise une ouverture de session de compte local. Si vous sélectionnez « Refuser tous les comptes », le serveur refuse les demandes d’authentification NTLM provenant du trafic entrant et affiche une erreur de NTLM bloqué. Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. Remarque : les événements de blocage sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous Journaux des applications et des services/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Incoming NTLM traffic
This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2065 | Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine
Ce paramètre de stratégie vous permet de refuser ou d’autoriser l’authentification NTLM dans un domaine à partir de ce contrôleur de domaine. Cette stratégie n’affecte pas l’ouverture de session interactive sur ce contrôleur de domaine. Si vous sélectionnez « Désactivé » ou si vous ne configurez pas ce paramètre de stratégie, le contrôleur de domaine autorise toutes les demandes d’authentification par négociation directe dans le domaine. Si vous sélectionnez « Refuser pour les comptes de domaine vers des serveurs de domaine », le contrôleur de domaine refuse toutes les tentatives d’ouverture de session par authentification NTLM sur tous les serveurs dans le domaine qui utilisent des comptes de domaine et renvoie une erreur NTLM bloqué sauf si le nom du serveur figure sur la liste d’exceptions dans le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Ajouter les exceptions de serveurs pour l’authentification NTLM dans ce domaine ». Si vous sélectionnez « Refuser pour un compte de domaine », le contrôleur de domaine refuse toutes les tentatives d’ouverture de session par authentification NTLM provenant de comptes de domaine et renvoie une erreur NTLM bloqué sauf si le nom du serveur figure sur la liste d’exceptions dans le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Ajouter les exceptions de serveurs pour l’authentification NTLM dans ce domaine ». Si vous sélectionnez « Refuser pour les serveurs de domaine », le contrôleur de domaine refuse les demandes d’authentification NTLM à tous les serveurs dans le domaine et renvoie une erreur NTLM bloqué sauf si le nom du serveur figure dans la liste d’exceptions « Sécurité réseau : Restreindre NTLM : Ajouter les exceptions de serveurs pour l’authentification NTLM dans ce domaine ». Si vous sélectionnez « Refuser tout », le contrôleur de domaine refuse toutes les demandes d’authentification par négociation directe depuis ses serveurs et pour ses comptes, et renvoie une erreur NTLM bloqué sauf si le nom du serveur figure dans la liste d’exceptions dans le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveurs pour l’authentification NTLM dans ce domaine ». Cette stratégie est prise en charge sur au moins Windows Server 2008 R2. Remarque : les événements de blocage sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous Journaux des applications et des services/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: NTLM authentication in this domain
This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2066 | Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveurs distants pour l’authentification NTLM
Ce paramètre de stratégie vous permet de créer la liste d’exceptions de serveurs distants sur lesquels les clients sont autorisés à utiliser l’authentification NTLM si le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants » est configuré. Si vous configurez ce paramètre de stratégie, vous pouvez définir la liste des serveurs distants sur lesquels les clients sont autorisés à utiliser l’authentification NTLM. Si vous ne configurez pas ce paramètre de stratégie, aucune exception ne sera appliquée. Le format de nom des serveurs indiqués dans cette liste d’exceptions correspond au nom de domaine complet (FQDN) ou au nom de serveur NetBIOS utilisé par l’application, chacun étant répertorié sur une ligne. Pour garantir des exceptions, le nom utilisé par toutes les applications doit figurer dans la liste et pour garantir la précision d’une exception, le nom du serveur doit être répertorié dans les deux formats de noms. Un astérisque (*) peut être utilisé n’importe où dans la chaîne comme caractère générique. |
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character. |
2067 | Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveurs dans ce domaine
Ce paramètre de stratégie vous permet de créer la liste d’exceptions de serveurs dans ce domaine sur lesquels les clients sont autorisés à utiliser l’authentification directe NTLM si le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Refuser l’authentification NTLM dans ce domaine » est défini. Si vous configurez ce paramètre de stratégie, vous pouvez définir la liste des serveurs de ce domaine sur lesquels les clients sont autorisés à utiliser l’authentification NTLM. Si vous ne configurez pas ce paramètre de stratégie, aucune exception ne sera appliquée. Le format de nom des serveurs indiqués dans cette liste d’exceptions correspond au nom de domaine complet (FQDN) ou au nom de serveur NetBIOS utilisé par l’application appelante, chacun étant répertorié sur une ligne. Un seul astérisque (*) peut être utilisé au début ou à la fin de la chaîne en tant que caractère générique. |
Network security: Restrict NTLM: Add server exceptions in this domain
This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character. |
2068 | Sécurité réseau : Autoriser le retour à des sessions NULL avec SystèmeLocal
Autoriser NTLM à revenir à une session NULL lors d’une utilisation avec SystèmeLocal. La valeur par défaut est TRUE jusqu’à Windows Vista et FALSE dans Windows 7. |
Network security: Allow LocalSystem NULL session fallback
Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7. |
2069 | Sécurité réseau : Configurer les types de chiffrement autorisés pour Kerberos
Ce paramètre de stratégie vous permet de définir les types de chiffrement que Kerberos est autorisé à utiliser. Si le type de chiffrement n’est pas sélectionné, il n’est pas autorisé. Ce paramètre peut avoir des répercussions en termes de compatibilité avec les ordinateurs clients ou les services et applications. Plusieurs sélections sont possibles. Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. |
Network security: Configure encryption types allowed for Kerberos
This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2. |
2071 | Sécurité réseau : autoriser les demandes d’authentification PKU2U auprès de cet ordinateur pour utiliser les identités en ligne.
Cette stratégie est désactivée par défaut sur les ordinateurs appartenant à un domaine. Cela empêche les identités en ligne de s’authentifier sur l’ordinateur appartenant au domaine. |
Network security: Allow PKU2U authentication requests to this computer to use online identities.
This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine. |
2072 | Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant
Ce paramètre de stratégie vous permet d’auditer le trafic NTLM entrant. Si vous sélectionnez « Désactiver », ou si vous ne configurez pas ce paramètre de stratégie, le serveur n’enregistre pas les événements pour le trafic NTLM entrant. Si vous sélectionnez « Activer l’audit pour les comptes de domaine », le serveur enregistre les événements pour les demandes d’authentification NTLM par négociation directe qui seraient bloquées lorsque le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant » est réglé à l’option « Refuser tous les comptes de domaine ». Si vous sélectionnez « Activer l’audit pour tous les comptes », le serveur enregistre des événements pour toutes les demandes d’authentification NTLM qui seraient bloquées lorsque le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant » est réglé à l’option « Refuser tous les comptes ». Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. Remarque : les événements d’audit sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous Journaux des applications et des services/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2073 | Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine
Ce paramètre de stratégie vous permet d’auditer l’authentification NTLM dans un domaine à partir de ce contrôleur de domaine. Si vous sélectionnez « Désactiver » ou si vous ne configurez pas ce paramètre de stratégie, le contrôleur de domaine n’enregistre pas les événements pour l’authentification NTLM dans ce domaine. Si vous sélectionnez « Activer pour les comptes de domaine vers des serveurs de domaine », le contrôleur de domaine enregistre les événements pour les tentatives d’ouverture de session par authentication NTLM pour les comptes de domaine vers des serveurs de domaine lorsque l’authentification NTLM serait refusée parce que « Refuser pour les comptes de domaine vers des serveurs de domaine » est sélectionné dans le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine ». Si vous sélectionnez « Activer pour les comptes de domaine », le contrôleur de domaine enregistre les événements pour les tentatives d’ouverture de session par authentification NTLM qui utilisent des comptes de domaine lorsque l’authentification NTLM serait refusée parce que « Refuser pour les comptes de domaine » est sélectionné dans le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine ». Si vous sélectionnez « Activer pour les serveurs de domaine », le contrôleur de domaine enregistre les événements pour les demandes d’authentification NTLM adressées à tous les serveurs dans le domaine lorsque l’authentification NTLM serait refusée parce que « Refuser pour les serveurs de domaine » est sélectionné dans le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine ». Si vous sélectionnez « Activer tout », le contrôleur de domaine enregistre les événements pour les demandes d’authentification NTLM par négociation directe provenant de ses serveurs et pour tous ses comptes qui seraient refusées parce que « Refuser tout » est sélectionné dans le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine ». Cette stratégie est prise en charge sur au moins Windows Server 2008 R2. Remarque : les événements d’audit sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous Journaux des applications et des services/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit NTLM authentication in this domain
This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2074 | Sécurité réseau : autoriser Système local à utiliser l'identité de l’ordinateur pour NTLM
Ce paramètre de stratégie permet aux services Système local qui emploient l'option Négocier d'utiliser l'identité de l'ordinateur lors du retour à l'authentification NTLM. Si vous activez ce paramètre de stratégie, les services fonctionnant en tant que Système local qui emploient l'option Négocier utiliseront l'identité de l'ordinateur. Cela pourrait entraîner l'échec de certaines demandes d'authentification entre des systèmes d'exploitation Windows et consigner une erreur. Si vous désactivez ce paramètre de stratégie, les services fonctionnant en tant que Système local qui utilisent l'option Négocier lors du retour à l'authentification NTLM vont s'authentifier de façon anonyme. Par défaut, cette stratégie est activée dans Windows 7 et dans les versions ultérieures. Par défaut, cette stratégie est désactivée dans Windows Vista. Cette stratégie est au moins prise en charge dans Windows Vista ou dans Windows Server 2008. Remarque : Windows Vista ou Windows Server 2008 n'exposent pas ce paramètre dans Stratégie de groupe. |
Network security: Allow Local System to use computer identity for NTLM
This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy. |
2075 | Serveur réseau Microsoft : niveau de validation de nom cible de SPN du serveur
Ce paramètre de stratégie contrôle le niveau de validation qu'un ordinateur avec des dossiers ou des imprimantes partagés (le serveur) utilise sur le nom de principal du service (SPN) fourni par l'ordinateur client lors de l'établissement d'une session avec le protocole SMB. Ce protocole de bloc de message serveur (SMB) procure la base du partage de fichiers et d'imprimantes et d'autres opérations de réseau, telles que l'administration Windows à distance. Le protocole SMB prend en charge le nom de principal du service (SPN) du serveur SMB au sein du blob d'authentification fourni par un client SMB pour empêcher une catégorie d'attaques contre les serveurs SMB, dites attaques par relais SMB. Ce paramètre affecte à la fois SMB1 et SMB2. Ce paramètre de sécurité détermine le niveau de validation qu'un serveur SMB utilise sur le nom de principal du service (SPN) fourni par le client SMB lors d'une tentative d'établissement d'une session sur un serveur SMB. Les options sont : Désactivé - le SPN n'est pas obligatoire ni validé par le serveur SMB à partir d'un client SMB. Accepter si fourni par le client - le serveur SMB accepte et valide le SPN fourni par le client SMB et autorise l'établissement d'une session si elle correspond à la liste de SPN du serveur SMB. Si le SPN ne correspond PAS, la demande de session pour ce client SMB est rejetée. Demandé au client - le client SMB DOIT envoyer un nom SPN dans la configuration de la session et le nom SPN fourni DOIT correspondre au serveur SMB demandé pour établir une connexion. Si le client ne fournit pas de SPN, ou si le SPN fourni ne correspond pas, la session est rejetée. Par défaut : Désactivé Tous les systèmes d'exploitation Windows prennent en charge à la fois un composant SMB côté client et un composant SMB côté serveur. Ce paramètre affecte le comportement du serveur SMB et son implémentation doit être soigneusement évaluée et testée pour éviter des problèmes au niveau des fonctions de fichiers et d'impression. Des informations complémentaires sur l'implémentation et l'utilisation de ce paramètre pour sécuriser vos serveurs SMB sont disponibles sur le site Web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505). |
Microsoft network server: Server SPN target name validation level
This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505). |
2076 | Serveur réseau Microsoft : tentative de S4U2Self d’obtenir des informations relatives aux revendications
Ce paramètre de sécurité doit prendre en charge les clients exécutant une version de Windows antérieure à Windows 8 et qui essaient d’accéder à un partage de fichiers nécessitant des revendications d’utilisateurs. Ce paramètre détermine si le serveur de fichiers local doit tenter d’utiliser la fonctionnalité S4U2Self (Kerberos Service-For-User-To-Self) pour obtenir les revendications d’un principal de client réseau à partir du domaine de comptes du client. Ce paramètre ne doit avoir la valeur « Activé » que si le serveur de fichiers utilise des revendications d’utilisateurs pour contrôler l’accès aux fichiers et uniquement s’il doit prendre en charge les principaux de clients dont les comptes peuvent se trouver dans un domaine comportant des ordinateurs clients et des contrôleurs de domaine qui exécutent une version de Windows antérieure à Windows 8. Ce paramètre doit avoir la valeur « Automatique » (par défaut) pour permettre au serveur de fichiers de déterminer automatiquement si des revendications sont nécessaires à l’utilisateur. Un administrateur n’affecte explicitement la valeur « Activé » à ce paramètre que s’il existe des stratégies d’accès aux fichiers locales qui incluent des revendications d’utilisateurs. Une fois activé, ce paramètre de sécurité oblige le serveur de fichiers Windows à examiner le jeton d’accès d’un principal de client réseau authentifié afin de déterminer la présence ou non d’informations relatives aux revendications. En l’absence de revendications, le serveur de fichiers utilise la fonctionnalité Kerberos S4U2Self pour tenter de contacter un contrôleur de domaine Windows Server 2012 dans le domaine de comptes du client et obtenir un jeton d’accès prenant en charge les revendications pour le principal du client. Un jeton prenant en charge les revendications peut s’avérer nécessaire pour accéder aux fichiers ou dossiers auxquels une stratégie de contrôle d’accès à base de revendications est appliquée. Si ce paramètre est désactivé, le serveur de fichiers Windows ne tente pas d’obtenir un jeton d’accès prenant en charge les revendications pour le principal du client. Valeur par défaut : Automatique. |
Microsoft network server: Attempt S4U2Self to obtain claim information
This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic. |
2077 | Comptes : bloquer les comptes Microsoft
Ce paramètre de stratégie empêche les utilisateurs d’ajouter de nouveaux comptes Microsoft sur cet ordinateur. Si vous sélectionnez l’option « Les utilisateurs ne peuvent pas ajouter de comptes Microsoft », les utilisateurs n’ont pas la possibilité de créer des comptes Microsoft sur cet ordinateur, de passer d’un compte local à un compte Microsoft ou de connecter un compte de domaine à un compte Microsoft. Il s’agit de l’option la plus appropriée, si vous devez limiter l’utilisation de comptes Microsoft dans votre entreprise. Si vous sélectionnez l’option « Les utilisateurs ne peuvent pas ajouter de comptes Microsoft, ni se connecter avec ces derniers », les utilisateurs de comptes Microsoft existants n’ont pas la possibilité d’ouvrir une session Windows. En sélectionnant cette option, vous pouvez quasiment empêcher un administrateur existant sur l’ordinateur d’ouvrir une session et de gérer le système. Si vous désactivez ou si vous ne configurez pas cette stratégie (recommandé), les utilisateurs peuvent se servir de comptes Microsoft avec Windows. |
Accounts: Block Microsoft accounts
This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows. |
2078 | Ouverture de session interactive : seuil du compte d’ordinateur.
La stratégie de verrouillage d’ordinateur est appliquée uniquement sur les ordinateurs sur lesquels BitLocker est activé pour protéger les volumes du système d’exploitation. Assurez-vous que les stratégies appropriées de sauvegarde de mot de passe de récupération sont activées. Ce paramètre de sécurité détermine le nombre d’échecs d’ouverture de session autorisés avant le verrouillage de l’ordinateur. Pour récupérer un ordinateur verrouillé, vous devez impérativement fournir la clé de récupération au niveau de la console. Vous pouvez définir le nombre d’échecs d’ouverture de session autorisés entre 1 et 999. Si vous affectez la valeur 0 au paramètre, l’ordinateur ne sera jamais verrouillé. Les valeurs comprises entre 1 et 3 sont interprétées comme étant égales à 4. Les échecs d’entrée de mot de passe sur des stations de travail ou des serveurs membres ayant été verrouillés par Ctrl+Alt+Suppr ou par un écran de veille protégé par mot de passe sont comptés comme des échecs d’ouverture de session. La stratégie de verrouillage d’ordinateur est appliquée uniquement sur les ordinateurs sur lesquels BitLocker est activé pour protéger les volumes du système d’exploitation. Assurez-vous que les stratégies appropriées de sauvegarde de mot de passe de récupération sont activées. Valeur par défaut : 0. |
Interactive logon: Machine account threshold.
The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0. |
2079 | Ouverture de session interactive : limite d’inactivité de l’ordinateur.
Windows a identifié une session ouverte inactive. Si le délai d’inactivité dépasse la limite d’inactivité définie, l’écran de veille s’exécute, ce qui entraîne le verrouillage de la session. Valeur par défaut : non appliquée. |
Interactive logon: Machine inactivity limit.
Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced. |
2080 | Obtenir un jeton d’emprunt d’identité d’un autre utilisateur de la même session.
L’affectation de ce privilège à un utilisateur permet aux programmes exécutés au nom de cet utilisateur d’obtenir un jeton d’emprunt d’identité des autres utilisateurs ayant ouvert de manière interactive la même session, sous réserve que l’appelant possède un jeton d’emprunt d’identité de l’utilisateur de la session. Ne s’applique pas au client/serveur de bureau Windows où chaque utilisateur obtient une session distincte. |
Obtain an impersonation token for another user in the same session.
Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session. |
2081 | Accès réseau : restreindre les clients autorisés à effectuer des appels distants vers SAM
Ce paramètre de stratégie vous permet de restreindre les connexions RPC à distance vers SAM. Si ce paramètre n’est pas sélectionné, le descripteur de sécurité par défaut sera utilisé. Cette stratégie est prise en charge sur au moins Windows Server 2016. |
Network access: Restrict clients allowed to make remote calls to SAM
This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016. |
2082 | Ouverture de session interactive : ne pas afficher le nom de l’utilisateur lors de la connexion
Ce paramètre de sécurité détermine si le nom de l’utilisateur se connectant à ce PC s'affiche lors de l’ouverture d'une session Windows après la saisie des informations d'identification et avant que le Bureau ne s’affiche. Si cette stratégie est activée, le nom d’utilisateur n’est pas affiché. Si cette stratégie est désactivée, le nom d’utilisateur est affiché. Valeur par défaut : Désactivé. |
Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
57343 | Vous êtes sur le point de modifier les paramètres de sécurité de ce service. La modification de la sécurité par défaut du service peut poser des problèmes d’incohérence en matière de configuration entre ce service et les autres services qui en dépendent. Voulez-vous continuer ? |
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue? |
57345 | Vous vous apprêtez à importer de nouvelles informations de modèle dans la stratégie de l’ordinateur local pour cet ordinateur. Ceci modifiera les paramètres actuels de sécurité de l’ordinateur. Voulez-vous continuer ? | You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue? |
57346 | Configuration de la sécurité de l’ordinateur | Configuring Computer Security |
57350 | Base de données de configuration de sécurité actuelle : base de données de stratégie locale %s | Current Security Configuration Database: Local Policy Database %s |
57351 | Base de données de configuration de sécurité actuelle : base de données privée %s | Current Security Configuration Database: Private Database %s |
57352 | Génération des informations d’analyse | Generating analysis information |
57353 | Échec de l’importation | Import Failed |
57354 | Sous-éléments définis | Subitems defined |
57355 | Non disponible | Not Available |
57356 | Nouveau service | New Service |
57357 | Configuration en cours : | Configuring: |
57358 | Ajouter un &fichier... Ajoute un nouveau fichier ou un nouveau dossier dans ce modèle |
Add &File... Adds a new file or folder to this template |
57359 | Ajouter ce fichier ou ce dossier au modèle : | Add this file or folder to the template: |
57360 | Ajouter un fichier ou un dossier | Add a file or folder |
57361 | Microsoft Corporation | Microsoft Corporation |
57362 | 10.0 | 10.0 |
57363 | L'Éditeur de modèle de sécurité est un composant logiciel enfichable MMC qui fournit des fonctionnalités d’édition pour les fichiers de modèle de sécurité. | Security Templates is an MMC snap-in that provides editing capabilities for security template files. |
57364 | Configuration et analyse de la sécurité est un composant logiciel enfichable MMC qui permet la configuration et l’analyse de sécurité sur les ordinateurs Windows qui utilisent les fichiers de modèle de sécurité. | Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files. |
57365 | Le composant logiciel enfichable Extension des paramètres de sécurité étend le composant logiciel enfichable Stratégie de groupe et vous aide à définir les stratégies de sécurité pour les ordinateurs de votre domaine. | The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain. |
57366 | I&mporter une stratégie... Importe un fichier de modèle dans cet objet Stratégie. |
&Import Policy... Import a template file into this policy object. |
57367 | Exporter &une stratégie... Exporte le modèle à partir de cet objet Stratégie vers un fichier. |
E&xport policy... Export template from this policy to a file. |
57368 | Le fichier %s existe déjà. Voulez-vous le remplacer ? |
File %s already exists. Do you want to overwrite it? |
57369 | Réussite | Success |
57370 | Échec | Failure |
57371 | Pas d’audit | No auditing |
57372 | Windows ne peut pas mettre à jour les stratégies. | Windows cannot update the policies. |
57373 | Windows ne peut pas copier la section | Windows cannot copy the section |
57374 | Sélectionner le fichier à ajouter | Select File to Add |
57375 | Ouvrir une base de données | Open database |
57376 | Créer une base de données | Create Database |
57377 | Exporter la stratégie vers | Export Policy To |
57378 | Importer la stratégie à partir de | Import Policy From |
57380 | Modèle d’importation | Import Template |
57381 | Exporter le modèle vers | Export Template To |
57382 | Paramètre de sécurité | Security Setting |
57384 | Windows ne peut pas ouvrir la base de données de stratégie locale. | Windows cannot open the local policy database. |
57385 | Base de données de stratégie locale | Local Policy Database |
57386 | La base de données de paramètres de sécurité locale ne peut pas être modifiée à partir du composant logiciel enfichable Configuration et analyse de la sécurité. Utilisez le composant logiciel enfichable Stratégie de groupe pour modifier les paramètres de sécurité locale. | The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings. |
57387 | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm |
57388 | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm |
57389 | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm |
57390 | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm |
57391 | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm |
57392 | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm |
57394 | Il y a de nouveaux paramètres de stratégie sur votre ordinateur. Voulez-vous mettre à jour votre affichage de la stratégie réelle ? | There are new policy settings on your computer. Do you want to update your view of the effective policy? |
57395 | Paramètre de l’ordinateur sur %s | Computer setting on %s |
57396 | Cette base de données n’a pas pu être créée car aucun fichier de modèle n’a été sélectionné. Pour ouvrir une base de données existanteCliquez avec le bouton droit de la souris sur l’élément d’étendue Configuration et analyse de la sécurité. Choisissez Ouvrir une base de données Choisissez une base de données et cliquez sur OUVRIR Pour créer une nouvelle base de données Cliquez avec le bouton droit de la souris sur l’élément d’étendue Configuration et analyse de la sécurité. Choisissez Ouvrir une base de données. Entrez le nom d’une nouvelle base de données et cliquez sur OUVRIR. Choisissez un fichier de configuration de sécurité à importer et cliquez sur OUVRIR. |
This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN. |
57397 | &Remplacer les autorisations existantes pour toutes les sous-clés par des autorisations pouvant être héritées | &Replace existing permissions on all subkeys with inheritable permissions |
57398 | &Propager les autorisations pouvant être héritées à toutes les sous-clés | &Propagate inheritable permissions to all subkeys |
57399 | &Empêcher que les autorisations de cette clé ne soient remplacées | &Do not allow permissions on this key to be replaced |
57400 | Configurer l’appartenance pour %s | Configure Membership for %s |
57401 | Le ticket expire dans : | Ticket expires in: |
57402 | Le ticket n’expire jamais. | Ticket doesn't expire. |
57403 | Le renouvellement du ticket expire dans : | Ticket renewal expires in: |
57404 | Le renouvellement du ticket est désactivé. | Ticket renewal is disabled. |
57405 | Tolérance maximale : | Maximum tolerance: |
57407 | Non applicable | Not Applicable |
57410 | Noms d’utilisateurs et de groupes | User and group names |
57411 | Ajouter un utilisateur ou un groupe | Add User or Group |
57412 | Ne pas déconnecter les clients : | Do not disconnect clients: |
57413 | Déconnecter quand la période d’inactivité dépasse : | Disconnect when idle time exceeds: |
57414 | Ne pas mettre en cache les ouvertures de session : | Do not cache logons: |
57415 | Cache : | Cache: |
57416 | Commencer l’indication de ceci plusieurs jours avant que le mot de passe n’expire : | Begin prompting this many days before password expires: |
57418 | &Configurer cette clé puis | &Configure this key then |
57419 | Impossible d’enregistrer la description de l’emplacement global | Could not save global location description |
57420 | Impossible d’enregistrer la description de l’emplacement | Could not save location description |
57421 | Recharger Recharger la stratégie de sécurité |
Reload Reload the security policy |
57422 | Enregistrer les modifications apportées à %1 avant la recharger ? | Save changes to %1 before reloading it? |
57423 | Paramètres de sécurité locaux | Local Security Settings |
57424 | Classe des paramètres de sécurité WSecEdit | WSecEdit Security Settings Class |
57425 | Classe des paramètres locaux de sécurité WSecEdit | WSecEdit Local Security Settings Class |
57428 | Le composant logiciel enfichable Paramètres de sécurité locale vous aide à définir la sécurité sur le système local. | The Local Security Settings snap-in helps you define security on the local system. |
57430 | Classe des paramètres de sécurité WSecEdit RSOP | WSecEdit RSOP Security Settings Class |
57431 | Le composant logiciel enfichable d’extension des paramètres de sécurité RSOP étend le composant logiciel enfichable RSOP et vous aide à afficher les stratégies de sécurité résultante pour les ordinateurs dans votre domaine. | The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain. |
57435 | &Appliquer | &Apply |
57436 | Les paramètres de sécurité de la stratégie de groupe applicable sur cet ordinateur n’ont pas pu être déterminés. L’erreur a été renvoyée alors que la récupération de ces paramètres dans la base de données de stratégie de sécurité locale (%%windir%%\security\database\secedit.sdb) était : %s Tous les paramètres de sécurité vont être affichés, mais aucune indication de sera donnée précisant si un paramètre de sécurité est défini ou non par la stratégie de groupe. Tout paramètre de sécurité locale modifié par cette interface utilisateur sera par conséquent remplacé par les stratégies au niveau du domaine. |
The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies. |
57437 | Les paramètres de stratégie de sécurité de groupe s’appliquant à cet ordinateur ne peuvent pas être déterminés. L’erreur reçue lors de la tentative d’extraction de ces paramètres dans la base de données de stratégies locales (%%windir%%\security\database\secedit.sdb) a été : %s Tous les paramètres de sécurité locale seront affichés, mais aucune indication sur l’existence de paramètre de sécurité défini par la stratégie de groupe ne sera donnée. |
The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. |
57438 | Fichier journal : | Log file: |
57439 | Nom de la stratégie | Policy Name |
57440 | Paramètre | Setting |
57441 | La stratégie %1 a été correctement appliquée. | The policy %1 was correctly applied. |
57442 | Une erreur s’est produite lors de la configuration d’un enfant de cet objet, ou le moteur de stratégies a tenté sans succès de configurer l’enfant d’un paramètre de stratégie spécifique. Pour plus de détails, voir %windir%\security\logs\winlogon.log | There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log |
57443 | La stratégie %1 a généré l’erreur suivante %2. Pour plus de détails, voir %windir%\security\logs\winlogon.log sur l’ordinateur cible. | The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57444 | La stratégie %1 a généré un état non valide et a été enregistrée. Pour plus de détails, voir %%windir%%\security\logs\winlogon.log sur l’ordinateur cible. | The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information. |
57445 | Le moteur de stratégies n’a pas tenté de configurer le paramètre. Pour plus de détails, voir %windir%\security\logs\winlogon.log sur l’ordinateur cible. | The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57446 | &Afficher la sécurité... | &View Security... |
57447 | Impossible d’exporter le modèle vers %1. L'erreur renvoyée était : %2 |
Couldn't export template to %1. The error returned was: %2 |
57448 | Voulez-vous enregistrer les modifications de la base de données de sécurité ? | Save changes to Security Database? |
57449 | Interdire l’ouverture de session par les services Bureau à distance | Deny log on through Remote Desktop Services |
57450 | Autoriser l’ouverture de session par les services Bureau à distance | Allow log on through Remote Desktop Services |
57451 | Impossible d’ajouter le chemin d’accès de recherche des modèles | Couldn't add template search path |
57453 | \Security\Logs | \Security\Logs |
57454 | La partie sécurité de cette stratégie de groupe ne peut être modifiée que sur l’émulateur PDC. | The security portion of this group policy may only be edited on the PDC Emulator. |
57455 | Ce paramètre est incompatible avec les ordinateurs exécutant le Service Pack 1 de Windows 2000 ou une version antérieure. N'appliquez les objets Stratégie de groupe contenant ce paramètre qu’aux ordinateurs exécutant une version ultérieure du système d’exploitation. | This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system. |
57456 | Vous devez fermer toutes les pages de propriétés avant de supprimer %1 | Close all property pages before deleting %1 |
57457 | La valeur doit être comprise entre %d et %d | Value must be between %d and %d |
57458 | Accès réseau : Permet la traduction de noms/SID anonymes | Network access: Allow anonymous SID/Name translation |
57459 | Les administrateurs doivent avoir le droit d’ouvrir une session localement. | Administrators must be granted the logon local right. |
57460 | Vous ne pouvez pas refuser à tous les utilisateurs ou administrateurs d’ouvrir une session localement. | You cannot deny all users or administrator(s) from logging on locally. |
57461 | Certains comptes ne peuvent pas être traduits. | Some accounts cannot be translated. |
57462 | Pour appliquer vos modifications ou fermer cette page de propriétés, fermez toutes les fenêtres secondaires. | To apply your changes or close this property sheet, close all secondary windows. |
57463 | La fenêtre ne peut pas être ouverte. Windows ne peut pas créer une thread UI pour la page de propriétés. | The window cannot be opened. Windows cannot create a UI thread for the property sheet. |
57464 | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm |
57465 | Qu'est-ce que c'est ? | What's this? |
57466 | sct | sct |
57467 | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm |
57468 | La valeur doit être comprise entre %d et %d ou 0 | Value must be between %d and %d or 0 |
57469 | Ce paramètre affecte uniquement les systèmes d’exploitation antérieurs à Windows Server 2003. | This setting affects only operating systems earlier than Windows Server 2003. |
57470 | La modification de ce paramètre peut affecter la compatibilité avec les clients, les services et les applications. %1 |
Modifying this setting may affect compatibility with clients, services, and applications. %1 |
57471 | Pour obtenir davantage d’informations, consultez %1. (Q%2!lu!) | For more information, see %1. (Q%2!lu!) |
57472 | Vous vous apprêtez à changer ce paramètre pour une valeur qui peut affecter la compatibilité avec les clients, les services et les applications. %1 Voulez-vous continuer la modification ? |
You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change? |
57473 | Le privilège " Prendre l’identité d’un client après l’authentification " doit être accordé aux administrateurs et au SERVICE. | Administrators and SERVICE must be granted the impersonate client after authentication privilege |
57474 | Il est possible que ce paramètre ne soit pas appliqué si une autre stratégie est configurée pour avoir la priorité sur la stratégie d’audit au niveau de la catégorie. %1 |
This setting might not be enforced if other policy is configured to override category level audit policy. %1 |
57475 | Pour plus d’informations, consultez %1 dans le document de référence technique sur les stratégies de sécurité. | For more information, see %1 in the Security Policy Technical Reference. |
58000 | Aucun texte d’explication pour cette action. | No explain text for this action |
58003 | L’ordinateur doit être verrouillé après | Machine will be locked after |
58100 | Gérer les stratégies d’accès centralisées... Ajouter/Supprimer des stratégies d’accès centralisées à ce modèle |
Manage Central Access Policies... Add/Remove Central Access Policies to this template |
58107 | Cette stratégie d’accès inclut les règles de stratégie suivantes : | This Access Policy includes the following Policy rules: |
58108 | État | Status |
58109 | Téléchargement des stratégies d’accès centralisées à partir d’Active Directory... | Downloading central access policies from active directory... |
58110 | Erreur : impossible de télécharger les stratégies d’accès centralisées | Error: Central access policies could not be downloaded |
58111 | Prêt... | Ready... |
58112 | Stratégie inconnue ! | !!Unknown Policy!!: |
58113 | Cette stratégie d’accès centralisée est introuvable. Elle a peut-être été supprimée d’Active Directory ou dispose de paramètres non valides. Restaurez cette stratégie dans le Centre d’administration Active Directory (AD AC) ou supprimez-la de la configuration. | This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration. |
59001 | Comptes : restreindre l’utilisation de mots de passe vides par le compte local à l’ouverture de session console | Accounts: Limit local account use of blank passwords to console logon only |
59002 | Audit : auditer l’accès des objets système globaux | Audit: Audit the access of global system objects |
59003 | Audit : auditer l’utilisation des privilèges de sauvegarde et de restauration | Audit: Audit the use of Backup and Restore privilege |
59004 | Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité | Audit: Shut down system immediately if unable to log security audits |
59005 | Périphériques : empêcher les utilisateurs d’installer des pilotes d’imprimante | Devices: Prevent users from installing printer drivers |
59010 | Périphériques : autoriser le retrait sans ouverture de session préalable | Devices: Allow undock without having to log on |
59011 | Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des tâches | Domain controller: Allow server operators to schedule tasks |
59012 | Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur | Domain controller: Refuse machine account password changes |
59013 | Contrôleur de domaine : conditions requises pour la signature de serveur LDAP | Domain controller: LDAP server signing requirements |
59015 | Exiger la signature | Require signing |
59016 | Membre de domaine : désactive les modifications de mot de passe du compte ordinateur | Domain member: Disable machine account password changes |
59017 | Membre de domaine : ancienneté maximale du mot de passe du compte ordinateur | Domain member: Maximum machine account password age |
59018 | Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours) | Domain member: Digitally encrypt or sign secure channel data (always) |
59019 | Membre de domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible) | Domain member: Digitally encrypt secure channel data (when possible) |
59020 | Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) | Domain member: Digitally sign secure channel data (when possible) |
59021 | Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur) | Domain member: Require strong (Windows 2000 or later) session key |
59022 | Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr. | Interactive logon: Do not require CTRL+ALT+DEL |
59023 | Ouverture de session interactive : ne pas afficher le nom du dernier utilisateur connecté | Interactive logon: Don't display last signed-in |
59024 | Connexion interactive : afficher les informations relatives à l’utilisateur lorsque la session est verrouillée | Interactive logon: Display user information when the session is locked |
59025 | Nom d’utilisateur complet, nom de domaine et nom d’utilisateur | User display name, domain and user names |
59026 | Nom d’utilisateur complet uniquement | User display name only |
59027 | N'afficher aucune information relative à l’utilisateur | Do not display user information |
59028 | Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter | Interactive logon: Message text for users attempting to log on |
59029 | Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter | Interactive logon: Message title for users attempting to log on |
59030 | Ouvertures de sessions interactives : nombre d’ouvertures de sessions précédentes réalisées en utilisant le cache (lorsqu’aucun contrôleur de domaine n’est disponible) | Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
59031 | Ouverture de session interactive : prévenir l’utilisateur qu’il doit changer son mot de passe avant qu’il n’expire | Interactive logon: Prompt user to change password before expiration |
59032 | Ouverture de session interactive : nécessite l’authentification par le contrôleur de domaine pour le déverrouillage de la station de travail. | Interactive logon: Require Domain Controller authentication to unlock workstation |
59033 | Ouverture de session interactive : Windows Hello Entreprise ou carte à puce nécessaire | Interactive logon: Require Windows Hello for Business or smart card |
59034 | Ouverture de session interactive : comportement lorsque la carte à puce est retirée | Interactive logon: Smart card removal behavior |
59035 | Aucune action | No Action |
59036 | Verrouiller la station de travail | Lock Workstation |
59037 | Forcer la fermeture de session | Force Logoff |
59038 | Déconnecter en cas de session des services Bureau à distance | Disconnect if a remote Remote Desktop Services session |
59039 | Client réseau Microsoft : communications signées numériquement (toujours) | Microsoft network client: Digitally sign communications (always) |
59040 | Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) | Microsoft network client: Digitally sign communications (if server agrees) |
59041 | Client réseau Microsoft : envoyer un mot de passe non chiffré aux serveurs SMB tierce partie | Microsoft network client: Send unencrypted password to third-party SMB servers |
59042 | Serveur réseau Microsoft : durée d’inactivité avant la suspension d’une session | Microsoft network server: Amount of idle time required before suspending session |
59043 | Serveur réseau Microsoft : communications signées numériquement (toujours) | Microsoft network server: Digitally sign communications (always) |
59044 | Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte) | Microsoft network server: Digitally sign communications (if client agrees) |
59045 | Serveur réseau Microsoft : déconnecter les clients à l’expiration du délai de la durée de session | Microsoft network server: Disconnect clients when logon hours expire |
59046 | Accès réseau : ne pas autoriser le stockage de mots de passe et d’informations d’identification pour l’authentification du réseau | Network access: Do not allow storage of passwords and credentials for network authentication |
59047 | Accès réseau : ne pas autoriser l’énumération anonyme des comptes SAM | Network access: Do not allow anonymous enumeration of SAM accounts |
59048 | Accès réseau : ne pas autoriser l’énumération anonyme des comptes et partages SAM | Network access: Do not allow anonymous enumeration of SAM accounts and shares |
59049 | Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s’appliquent aux utilisateurs anonymes | Network access: Let Everyone permissions apply to anonymous users |
59050 | Accès réseau : restreindre l’accès anonyme aux canaux nommés et aux partages | Network access: Restrict anonymous access to Named Pipes and Shares |
59051 | Accès réseau : les canaux nommés qui sont accessibles de manière anonyme | Network access: Named Pipes that can be accessed anonymously |
59052 | Accès réseau : les partages qui sont accessibles de manière anonyme | Network access: Shares that can be accessed anonymously |
59053 | Accès réseau : chemins et sous-chemins de Registre accessibles à distance | Network access: Remotely accessible registry paths and sub-paths |
59054 | Accès réseau : les chemins de Registre accessibles à distance | Network access: Remotely accessible registry paths |
59055 | Accès réseau : modèle de partage et de sécurité pour les comptes locaux | Network access: Sharing and security model for local accounts |
59056 | Classique - les utilisateurs locaux s’authentifient eux-mêmes | Classic - local users authenticate as themselves |
59057 | Invité seul - les utilisateurs locaux s’authentifient en tant qu’invités | Guest only - local users authenticate as Guest |
59058 | Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe | Network security: Do not store LAN Manager hash value on next password change |
59059 | Sécurité réseau : niveau d’authentification LAN Manager | Network security: LAN Manager authentication level |
59060 | Envoyer les réponses LM et NTLM | Send LM & NTLM responses |
59061 | Envoyer LM et NTLM - utiliser la sécurité de session NTLM2 si négociée | Send LM & NTLM - use NTLMv2 session security if negotiated |
59062 | Envoyer uniquement les réponses NTLM | Send NTLM response only |
59063 | Envoyer uniquement les réponses NTLM v. 2 | Send NTLMv2 response only |
59064 | Envoyer uniquement les réponses NTLMv2. Refuser LM | Send NTLMv2 response only. Refuse LM |
59065 | Envoyer uniquement une réponse NTLM version 2. Refuser LM et NTLM | Send NTLMv2 response only. Refuse LM & NTLM |
59066 | Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) | Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
59067 | Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) | Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
59070 | Exiger la sécurité de session NTLMv2 | Require NTLMv2 session security |
59071 | Exiger un niveau de chiffrement à 128 bits | Require 128-bit encryption |
59072 | Sécurité réseau : conditions requises pour la signature de client LDAP | Network security: LDAP client signing requirements |
59074 | Négociation des signatures | Negotiate signing |
59076 | Console de récupération : autoriser l’ouverture de session d’administration automatique | Recovery console: Allow automatic administrative logon |
59077 | Console de récupération : autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers | Recovery console: Allow floppy copy and access to all drives and all folders |
59078 | Arrêt : permet au système d’être arrêté sans avoir à se connecter | Shutdown: Allow system to be shut down without having to log on |
59079 | Arrêt : effacer le fichier d’échange de mémoire virtuelle | Shutdown: Clear virtual memory pagefile |
59080 | Objets système : renforcer les autorisations par défaut des objets système internes (comme les liens de symboles) | System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
59081 | Objets système : propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs | System objects: Default owner for objects created by members of the Administrators group |
59082 | Groupe Administrateurs | Administrators group |
59083 | Créateur d’objet | Object creator |
59084 | Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows | System objects: Require case insensitivity for non-Windows subsystems |
59085 | Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature | System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing |
59086 | Cryptographie système : force une protection forte des clés utilisateur enregistrées sur l’ordinateur | System cryptography: Force strong key protection for user keys stored on the computer |
59087 | L'utilisateur n’a pas besoin d’entrer de mot de passe lorsque de nouvelles clés sont enregistrées et utilisées | User input is not required when new keys are stored and used |
59088 | L'utilisateur doit entrer un mot de passe à la première utilisation de la clé | User is prompted when the key is first used |
59089 | L'utilisateur doit entrer un mot de passe à chaque utilisation de la clé | User must enter a password each time they use a key |
59090 | Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies |
59091 | Paramètres système : Sous-systèmes optionnels | System settings: Optional subsystems |
59092 | Ouvertures de session | logons |
59093 | jours | days |
59094 | minutes | minutes |
59095 | secondes | seconds |
59096 | DCOM : Restrictions de démarrage d’ordinateur au format du langage SDDL (Security Descriptor Definition Language) | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59097 | DCOM : Restrictions d’accès à un ordinateur au format du langage SDDL (Security Descriptor Definition Language) | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59098 | Périphériques : autoriser l’accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement | Devices: Restrict CD-ROM access to locally logged-on user only |
59099 | Périphériques : permettre le formatage et l’éjection des médias amovibles | Devices: Allowed to format and eject removable media |
59100 | Administrateurs | Administrators |
59101 | Administrateurs et Utilisateurs avec pouvoir | Administrators and Power Users |
59102 | Administrateurs et Utilisateurs interactifs | Administrators and Interactive Users |
59103 | Périphériques : ne permettre l’accès aux disquettes qu’aux utilisateurs connectés localement | Devices: Restrict floppy access to locally logged-on user only |
59104 | Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit | Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings |
59105 | Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants | Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers |
59106 | Autoriser tout | Allow all |
59107 | Refuser tout | Deny all |
59108 | Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant | Network security: Restrict NTLM: Incoming NTLM traffic |
59110 | Refuser tous les comptes de domaine | Deny all domain accounts |
59111 | Refuser tous les comptes | Deny all accounts |
59112 | Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine | Network security: Restrict NTLM: NTLM authentication in this domain |
59113 | Désactiver | Disable |
59114 | Refuser pour les comptes de domaine vers des serveurs de domaine | Deny for domain accounts to domain servers |
59115 | Refuser pour les comptes de domaine | Deny for domain accounts |
59116 | Refuser pour les serveurs de domaine | Deny for domain servers |
59118 | Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveurs distants pour l’authentification NTLM | Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication |
59119 | Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveurs dans ce domaine | Network security: Restrict NTLM: Add server exceptions in this domain |
59120 | Sécurité réseau : Autoriser le retour à des sessions NULL avec SystèmeLocal | Network security: Allow LocalSystem NULL session fallback |
59121 | Sécurité réseau : Configurer les types de chiffrement autorisés pour Kerberos | Network security: Configure encryption types allowed for Kerberos |
59122 | DES_CBC_CRC | DES_CBC_CRC |
59123 | DES_CBC_MD5 | DES_CBC_MD5 |
59124 | RC4_HMAC_MD5 | RC4_HMAC_MD5 |
59125 | AES128_HMAC_SHA1 | AES128_HMAC_SHA1 |
59126 | AES256_HMAC_SHA1 | AES256_HMAC_SHA1 |
59127 | Futurs types de chiffrement | Future encryption types |
59129 | Sécurité réseau : autoriser les demandes d’authentification PKU2U auprès de cet ordinateur pour utiliser les identités en ligne.
|
Network security: Allow PKU2U authentication requests to this computer to use online identities.
|
59130 | Auditer tout | Audit all |
59131 | Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant | Network security: Restrict NTLM: Audit Incoming NTLM Traffic |
59132 | Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine | Network security: Restrict NTLM: Audit NTLM authentication in this domain |
59133 | Sécurité réseau : Autoriser Système local à utiliser l’identité de l’ordinateur pour NTLM | Network security: Allow Local System to use computer identity for NTLM |
59135 | Activer l’audit pour les comptes de domaine | Enable auditing for domain accounts |
59136 | Activer l’audit pour tous les comptes | Enable auditing for all accounts |
59138 | Activer pour les comptes de domaine vers des serveurs de domaine | Enable for domain accounts to domain servers |
59139 | Activer pour les comptes de domaine | Enable for domain accounts |
59140 | Activer pour les serveurs de domaine | Enable for domain servers |
59141 | Activer tout | Enable all |
59142 | Serveur réseau Microsoft : niveau de validation du nom de la cible de serveur SPN | Microsoft network server: Server SPN target name validation level |
59144 | Accepter si fourni par le client | Accept if provided by client |
59145 | Demandé au client | Required from client |
59146 | Serveur réseau Microsoft : tentative de S4U2Self d’obtenir des informations relatives aux revendications | Microsoft network server: Attempt S4U2Self to obtain claim information |
59147 | Par défaut | Default |
59150 | Comptes : bloquer les comptes Microsoft | Accounts: Block Microsoft accounts |
59151 | Cette stratégie est désactivée | This policy is disabled |
59152 | Les utilisateurs ne peuvent pas ajouter de comptes Microsoft. | Users can't add Microsoft accounts |
59153 | Les utilisateurs ne peuvent pas ajouter de comptes Microsoft, ni se connecter avec ces derniers. | Users can't add or log on with Microsoft accounts |
59154 | Ouverture de session interactive : seuil de verrouillage du compte d’ordinateur | Interactive logon: Machine account lockout threshold |
59155 | Ouverture de session interactive : limite d’inactivité de l’ordinateur | Interactive logon: Machine inactivity limit |
59156 | tentatives d’ouverture de session non valides | invalid logon attempts |
59157 | Accès réseau : restreindre les clients autorisés à effectuer des appels distants vers SAM | Network access: Restrict clients allowed to make remote calls to SAM |
59158 | Ouverture de session interactive : ne pas afficher le nom de l’utilisateur lors de la connexion | Interactive logon: Don't display username at sign-in |
File Description: | Module interface utilisateur de configuration de sécurité |
File Version: | 10.0.15063.0 (WinBuild.160101.0800) |
Company Name: | Microsoft Corporation |
Internal Name: | WSECEDIT |
Legal Copyright: | © Microsoft Corporation. Tous droits réservés. |
Original Filename: | WSecEdit.dll.mui |
Product Name: | Système d’exploitation Microsoft® Windows® |
Product Version: | 10.0.15063.0 |
Translation: | 0x40C, 1200 |