L’UAC (User Account Control) peut être particulièrement pénible, si ce n’est bloquant dans les tâches qui incombent à l’administrateur. Un exemple, Veracrypt a quelques soucis avec l’UAC. Pour rappel :
User Account Control (UAC, « contrôle du compte de l’utilisateur ») est un mécanisme de protection des données introduit dans les systèmes d’exploitation Windows Vista et 7.
UAC est aussi connu sous ses dénominations précédentes durant le développement de Windows Vista, à savoir UAP (User Account Protection) et LUP (Least User Privilege). La suite…

L’UAC pour l’Administrateur local peut être désactivé via le registre. La manipulation peut également être intégrée dans un processus de déploiement d’image Windows.

Méthode facile avec Regedit, on passe par le registre Windows

On désactive l’UAC uniquement sur la session de l’administrateur avec cette clé de registre (si elle n’existe pas, il faut la créer) :

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

Modifier la valeur de FilterAdministratorToken pour la mettre à « 0« .

Intégration au processus de déploiement avec la MDT :
On édite le fichier unattend.xml.
A l’étape
Specialize
amd64_Microsoft-Windows-Deployment_neutral
RunSynchronous/RunSynchronousCommand[Order="1"]

Dans la session Administrateur, on saisit en ligne de commande :
cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v FilterAdministratorToken /t REG_DWORD /d 0 /f

La modification de clé décrite sert à supprimer le mode protégé.
En modifiant cette clé, le compte « administrateur » local se comportera comme un véritable compte administrateur.
Par exemple, si tu ouvre un CMD avec le compte administrateur local, de base tu n’obtiendras pas un CMD admin, mais un CMD utilisateur classique. Si tu enlèves ce mode protégé, alors ton CMD sera un vrai CMD admin.
La clé Enable LUA sert à désactiver le contrôle de compte utilisateur. Ce n’est pas la même chose. Le contrôle de compte utilisateur est appliqué à tous les utilisateurs. Dans notre article, on ne parle que tu compte administrateur local.

Recommandations :

Dans le cadre d’une gestion au niveau d’un parc machine, il est important de bloquer le compte Administrateur. Par défaut, il est désactivé, mais les outils de déploiement, par exemple Microsoft Deployment Toolkit (MDT), le réactive et l’utilise. Il faut donc le désactiver afin d’empêcher les installations à risque.