Un utilisateur régulier se déconnecte en laissant certaines applications en cours. Ensuite, un administrateur entre dans le système et est capable de mettre fin aux processus de l'utilisateur.
Mais pouvait-il utiliser ces applications, y compris leurs interfaces graphiques ?
Avec des privilèges suffisants (notamment SeTcbPrivilege qui seulement SYSTEM ), il est possible de se connecter à n'importe quelle session sans mot de passe.
Si le système supporte les sessions multiples ("Fast user switching" et autres), l'administrateur peut se connecter à son propre compte, puis exécuter [psexec](http://technet.microsoft.com/en-us/sysinternals/bb897553) -si tscon _OldSessionID_ et accéder à la session de l'autre utilisateur sans avoir à la déverrouiller.
(J'ai testé ceci sur XP Pro, mais je ne suis pas sûr que cela fonctionne sur Vista/7 qui manipule les sessions légèrement différemment.)
Pour quitter la session de l'utilisateur, il suffit de verrouiller à nouveau l'écran à l'aide de la fonction Win + L ou exécuter tsdiscon .
La réponse simple est non, les administrateurs peuvent voir les processus en cours d'exécution, mais pas les applications elles-mêmes.
Cependant, un administrateur pourrait changer votre mot de passe et se connecter en tant que vous. Il pouvait alors voir ce que vous faisiez. Cela deviendrait bien sûr évident lorsque vous essayeriez de vous connecter et que votre mot de passe aurait été modifié.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
