Connexion

Select the product you need help with

Restauration faisant autorit� des groupes peut entra�ner informations d'appartenance incoh�rentes entre les contr�leurs de domaine

Num�ro d'article: 280079 - Voir les produits auxquels s'applique cet article

ATTENTION : Cet article est issu du syst�me de traduction automatique

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

Agrandir tout | R�duire tout

Sympt�mes

Apr�s avoir effectu� une restauration faisant autorit� des utilisateurs et groupes, l'appartenance dans les groupes restaur�es peut-�tre ne pas entre les contr�leurs de domaine.

Si le groupe est vide sur le contr�leur de domaine restaur�, mais est rempli sur un contr�leur de domaine r�plica, puis lorsqu'un utilisateur est ajout� au groupe sur le contr�leur de domaine restaur�, les utilisateurs sont supprim�s � partir du groupe sur les contr�leurs de domaine r�plica.

Le m�me comportement peut se produire avec l'attribut ManagedBy, qui peut �tre vide apr�s une restauration faisant autorit�.

Pour plus d'informations sur ces types de probl�mes, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :

840001

(http://support.microsoft.com/kb/840001/ )

Comment restaurer des comptes d'utilisateurs supprim�s et leur appartenance aux groupes dans Active Directory

Remarque L'article 840001 remplace cet article.

Retour au d�but | Envoyer des commentaires

Cause

Ce probl�me peut se produire car l'appartenance au groupe est stock� en tant qu'attribut de membre sur l'objet de groupe. Lorsqu'une entit� de s�curit� (utilisateur, groupe ou ordinateur) est ajout� � un groupe, un backlink est ajout� � l'attribut MemberOf sur objet de l'entit� de s�curit�. Pendant une restauration faisant autorit�e, si l'objet de groupe est restaur� avant de l'objet utilisateur, puis Active Directory supprime la valeur de l'attribut de membre sur le groupe car un utilisateur n'existe pas poss�dant un backlink correspondante.

Apr�s la restauration faisant autorit�e, les informations de version sur l'attribut de membre des groupes restaur�es sont coh�rentes sur chaque contr�leur de domaine, m�me si les valeurs dans cet attribut ne sont pas. Chaque fois que l'appartenance au groupe est modifi�, le num�ro de version est incr�ment� et le contenu de ce groupe est r�pliqu� sur tous les contr�leurs de domaine. Si le groupe est modifi� sur un contr�leur de domaine qui poss�de une appartenance de groupe valide, puis le contenu complet du groupe est r�pliqu� et donn�es ne sont pas perdues. Toutefois, si le groupe est modifi� sur le contr�leur de domaine restaur�, puis uniquement les utilisateurs ajout�s sont r�pliqu�s et les utilisateurs sont retir�s du groupe sur les contr�leurs de domaine r�plica.

Remarque Ce probl�me peut se produire m�me si les utilisateurs sont restaur�s faisant autorit� et les groupes ne sont pas. Si une restauration de l'�tat du syst�me est effectu�e et seuls les utilisateurs sont marqu�s comme faisant autorit�, leur appartenance de groupe va �tre restaur�e sur le contr�leur de domaine o� la restauration a �t� effectu�e sur (car les liens vers l'avant dans le groupe d'objets, ont �t� restaur�s dans l'�tat du syst�me restaure). Si la liste des membres des groupes n'a pas chang� depuis la sauvegarde de l'�tat du syst�me a �t� effectu�e, aucune r�plication pour les groupes n'est effectu�e apr�s la restauration. Ainsi, l'appartenance � un groupe incoh�rentes entre les contr�leurs de domaine. Modifier l'appartenance au groupe sur un contr�leur de domaine va r�pliquer le contenu actuel de ce groupe sur ce contr�leur de domaine sur les autres contr�leurs de domaine.

Retour au d�but | Envoyer des commentaires

R�solution

Avertissement : lire attentivement les informations suivantes avant d'effectuer la proc�dure d�crite dans cette section. Informations sur les utilisateurs et les groupes peuvent �tre irr�m�diablement perdues si vous ne suivez pas cette proc�dure exactement. Pensez � effectuer et v�rifier un fichier de sauvegarde d'Active Directory sur le contr�leur de domaine faisant autorit� avant de continuer.

Pour r�soudre ce probl�me, des tous les objets d'entit�s de s�curit� (utilisateurs, groupes et ordinateurs) doivent �tre faisant autorit� restaur�es et r�pliqu�es hors sur tous les contr�leurs de domaine et tous les objets de groupe doivent �tre faisant autorit� restaur�es et r�pliqu�es hors sur tous les contr�leurs de domaine � nouveau. Lorsque vous utilisez cette proc�dure, le potentiel tous les membres du groupe (les utilisateurs, groupes et ordinateurs) sont dans la base de donn�es avant la deuxi�me restauration et les liens inverses sont g�r�s.

Lors de la restauration faisant autorit� des comptes d'utilisateur et leur appartenance aux groupes, trouver un contr�leur de domaine des informations suffisantes pour �tre marqu� comme faisant autorit� et puis d�connectez ce contr�leur de domaine � partir du r�seau. Ce serveur devient le contr�leur de domaine faisant autorit�.

Pour r�soudre ce probl�me, proc�dez comme suit :

Effectuer une sauvegarde compl�te de l'�tat de l'ordinateur pour sauvegarder cette copie d'Active Directory faisant autorit�e au cas o� une erreur se produit au cours de cette proc�dure.
D�sactivez les deux intra-site et inter-sites de g�n�ration de topologie. Pour plus d'informations sur la fa�on de d�sactiver intra-site et de topologie inter-site, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
242780
(http://support.microsoft.com/kb/242780/EN-US/ )
Comment faire pour d�sactiver la base de connaissances coh�rence v�rificateur � partir de la cr�ation automatique de topologie de r�plication
D�marrer le Active Directory Sites et le composant logiciel enfichable Services, puis supprimez tous les objets de connexion sous l'objet Param�tres NTDS du contr�leur de domaine faisant autorit�.

Lorsque vous r�alisez cette �tape, le contr�leur de domaine ne peut pas r�pliquer les modifications au cours de cette proc�dure. Les partenaires de r�plication du contr�leur de domaine faisant autorit� ont toujours des objets de connexion qui pointent vers ce serveur qui permettent � extraire les donn�es faisant autorit�es du serveur.
Red�marrez l'ordinateur en mode de restauration de Active Directory.
Effectuez une restauration faisant autorit� chaque compte requis individuellement. Par exemple, pour restaurer le compte d'utilisateur de James Smith dans la comptabilit�, unit� d'organisation dans nwtraders.msft, utilisez la syntaxe suivante :
restauration faisant autorit� : restore subtree "cn = Jean Veunenkoor, ou = comptabilit�, dc = nwtraders, dc = msft"
Remarque : �tant donn� que l'outil Ntdsutil peut faire l'objet d'un script, vous pouvez g�n�rer une liste des comptes d'utilisateur pour �tre restaur�e et passer ensuite que votre script. Un exemple de script est d�crit dans la section �Informations compl�mentaires� dans cet article.

Vous pouvez �galement restaurer une unit� d'organisation enti�re ici s'il contient principalement des utilisateurs et groupes.
Red�marrez l'ordinateur en mode normal.
Autoriser les utilisateurs restaur�s � r�pliquer normalement.

Pour forcer les partenaires � r�pliquer � partir du contr�leur de domaine faisant autorit�, utilisez soit l'outil ReplMon, ou les sites et Active Directory composant logiciel enfichable Services.
Lorsque les utilisateurs sont r�pliqu�es sur tous les contr�leurs de domaine, red�marrez l'ordinateur en mode de restauration de Active Directory.
Effectuez une restauration faisant autorit� de chaque compte de groupe qui contenue les objets pr�c�demment restaur�s. Par exemple, pour restaurer l'administrateur Web groupe dans l'unit� d'organisation de ITG dans nwtraders.msft, utilisez la syntaxe suivante :
restauration faisant autorit� : restore subtree "cn = Web Administrator, ou = le groupe ITG, dc = nwtraders, dc = msft"
Remarque : �tant donn� que l'outil Ntdsutil peut faire l'objet d'un script, vous pouvez g�n�rer une liste de groupes � �tre restaur�s et passer ensuite que votre script. Un exemple de script est d�crit dans la section �Informations compl�mentaires� dans cet article.
Red�marrez l'ordinateur en mode normal.
Permettre � des groupes restaur�s de r�pliquer normalement.

Pour forcer les partenaires � r�pliquer � partir du contr�leur de domaine faisant autorit�, utilisez soit l'outil ReplMon, ou les sites et Active Directory composant logiciel enfichable Services.
Annuler les modifications sur l'objet du site que vous avez effectu�e � l'�tape deux de cette proc�dure.

Retour au d�but | Envoyer des commentaires

Statut

Microsoft a confirm� l'existence de ce probl�me dans les produits Microsoft r�pertori�s dans la section "S'applique �".

Retour au d�but | Envoyer des commentaires

Plus d'informations

Lorsque le contr�leur de domaine faisant autorit� a �t� d�branch� du r�seau, vous pouvez ex�cuter le script suivant avant le d�marrage de l'ordinateur en mode restauration de Active Directory pour obtenir la liste des utilisateurs :

List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next

Remarque : Assurez-vous que vous modifiez le chemin d'acc�s d'unit� d'organisation dans la premi�re ligne pour pointer vers le chemin d'acc�s qui contient les utilisateurs et les groupes � restaurer. En outre, vous pouvez utiliser ce m�me script pour cr�er une liste d'utilisateurs ou groupes.

Pour r�pertorier les groupes, modifiez le filtre dans la deuxi�me ligne � :

oU.Filter=Array("group")

Pour ex�cuter ce script et obtenir la sortie vers un fichier texte, tapez la commande suivante � l'invite de commande (ex�cutez cette commande dans le m�me dossier que le script) :

cscript //nologo list.vbs > users.txt

Une fois que vous avez cr�� la liste des utilisateurs et de la liste des groupes, vous pouvez utiliser Ntdsutil pour effectuer une restauration faisant autorit� chaque entr�e :

Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit

Pour ex�cuter ce script pour chaque entr�e dans la liste des utilisateurs ou groupes, utilisez la commande pour lire l'entr�e dans la liste et de les passer au fichier de commandes d�crit pr�c�demment. Tapez la commande suivante � la ligne de commande (cr�er ces fichiers dans le m�me dossier que les fichiers deux texte que vous avez cr�� pr�c�demment) :

pour /f "jetons = *" %i in (users.txt) faire authrest %i

Cette commande effectue une boucle dans chaque ligne du fichier texte et faisant autorit� restaure l'utilisateur.

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 280079 - Derni�re mise � jour: lundi 3 d�cembre 2007 - Version: 11.4

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server
Microsoft Windows Small Business Server 2003 Premium Edition
Microsoft Windows Small Business Server 2003 Standard Edition

kbmt kbprb KB280079 KbMtfr

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 280079

(http://support.microsoft.com/kb/280079/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires