Vous recevez des erreurs d’accès refusé après vous être connecté à un compte de domaine d’administrateur local
Cet article vous aide à résoudre les erreurs d’accès refusé qui se produisent une fois que vous vous connectez à un compte de domaine administrateur local.
S’applique à : Windows Server 2019, Windows Server 2016
Numéro de la base de connaissances d’origine : 2738746
Symptômes
Prenons l’exemple du scénario suivant :
- Vous créez un compte d’administrateur local sur un ordinateur qui exécute le système d’exploitation Windows Server 2003 ou version ultérieure.
- Vous vous connectez en utilisant le compte d’administrateur local au lieu du compte Administrateur intégré, puis vous configurez le serveur pour qu’il soit le premier contrôleur de domaine dans un nouveau domaine ou une nouvelle forêt. Comme prévu, ce compte local devient un compte de domaine.
- Vous utilisez ce compte de domaine pour vous connecter.
- Vous essayez d’effectuer différentes opérations de services de domaine Active Directory (AD DS).
Dans ce scénario, vous recevez des erreurs d’accès refusé.
Cause
Lorsque vous configurez le premier contrôleur de domaine dans une forêt ou un nouveau domaine, le compte local de l’utilisateur est converti en principal de sécurité de domaine et est ajouté aux groupes intégrés de domaine correspondants, tels que Utilisateurs et Administrateurs. Étant donné qu’il n’y a pas d’administrateurs de schéma locaux intégrés, d’administrateurs de domaine ou d’administrateurs d’entreprise, ces appartenances ne sont pas mises à jour dans les groupes de domaines et vous n’êtes pas ajouté au groupe Administrateurs du domaine.
Solution de contournement
Pour contourner ce comportement, utilisez Dsa.msc, Dsac.exe ou le module Windows PowerShell Active Directory pour ajouter l’utilisateur aux groupes Administrateurs de domaine et Administrateurs d’entreprise si nécessaire. Nous vous déconseillons d’ajouter l’utilisateur au groupe Administrateurs de schéma, sauf si vous effectuez actuellement une mise à niveau ou une modification de schéma.
Une fois que vous vous êtes connecté, puis reconnecté, les modifications d’appartenance au groupe prennent effet.
Plus d’informations
Ce comportement est attendu et est par nature.
Bien que ce comportement ait toujours été présent dans AD DS, les procédures de sécurité améliorées dans les réseaux d’entreprise ont exposé le comportement aux clients qui suivent les meilleures pratiques de Microsoft pour l’utilisation du compte Administrateur intégré.
Le compte Administrateur intégré permet de s’assurer qu’au moins un utilisateur est membre complet du groupe d’administration dans une nouvelle forêt.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour