Numéro d'article: 294257 - Dernière mise à jour: lundi 19 septembre 2005 - Version: 4.1

Message d'erreur "Impossible d'ouvrir l'objet Stratégie de groupe" lorsque vous tentez d'accéder à une stratégie en tant qu'administrateur de domaine

Voir les produits auxquels s'applique cet article

Sommaire

Agrandir tout | Réduire tout

Symptômes

Lorsque vous ouvrez une session en utilisant un compte Administrateur de domaine, si vous essayez d'accéder à une stratégie, le message d'erreur suivant peut s'afficher :
Objet Stratégie de groupe inaccessible - Accès refusé.
Lorsque vous essayez d'ouvrir les propriétés de cet objet Stratégie de groupe (GPO), vous pouvez recevoir le message d'erreur suivant :
Erreur de stratégie de groupe :

Impossible d'ouvrir l'objet Stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.
Retour au début

Cause

Ce problème peut se produire si l'une des conditions suivantes est remplie :
  • Le groupe Administrateurs de domaine s'est vu refuser l'accès à l'objet Stratégie de groupe.
  • Le maître d'opérations du contrôleur de domaine principal (PDC) (également connu comme les opérations à maître unique flottant ou FSMO) de votre domaine Windows 2000 ne fonctionne pas.
Retour au début

Résolution

Pour résoudre ce problème, appliquez la méthode adaptée à la cause.
Retour au début

Le groupe Administrateurs de domaine s'est vu refuser l'accès à l'objet Stratégie de groupe

Utilisez un compte qui dispose des autorisations appropriées pour restaurer les autorisations sur l'objet Stratégie de groupe. Si aucun autre compte ne possèdent les autorisations de restaurer les autorisations sur l'objet Stratégie de groupe, réinitialisez les autorisations pour le compte ou le groupe dont l'accès à l'objet Stratégie de groupe a été refusé.

Vous pouvez utiliser l'outil DSACLS qui est fourni dans les outils de support de Windows 2000 et Windows Server 2003 afin de supprimer les autorisations Refuser l'accès à partir du groupe Administrateurs de domaine. Vous devez connaître le nom unique de l'objet Stratégie de groupe pour utiliser cet outil. Utilisez l'outil ADSIEdit.msc qui est fourni dans les outils de support de Windows 2000 et de Windows Server 2003 afin de déterminer le nom unique de l'objet Stratégie de groupe dans Active Directory.

Pour réinitialiser les autorisations :
  1. Démarrez ADSIEdit.msc sur l'émulateur du contrôleur de domaine principal.

    REMARQUE : pour déterminer le propriétaire du rôle de maître des opérations d'émulation du contrôleur de domaine principal, cliquez avec le bouton droit sur le nom de domaine dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur Maîtres d'opérations, puis cliquez sur l'onglet CDP.
  2. Sous ADSIEdit, cliquez sur Contexte de nom du domaine, puis recherchez le conteneur suivant :
    conteneur nom_domaine conteneur \CN=System\CN=Policies
    Le volet droit répertorie les identificateurs globaux uniques (GUID) de tous les objets Stratégie de groupe dans le domaine.
  3. Recherchez la stratégie qui a été restreinte, puis notez le nom unique de cet objet, par exemple :
    cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com
    REMARQUE : La stratégie restreinte est affichée avec une icône Bloc-notes, les autres stratégies avec des icônes de dossier.
  4. Utilisez DSACLS pour supprimer les autorisations Refuser l'accès qui ont été assignées au groupe Administrateurs de domaine. Utilisez la syntaxe suivante :
    dsacls nom_unique /R "nom_domaine\domain admins"
    Par exemple :
    dsacls cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com /R "JLC\Domain Admins"
  5. Utilisez DSACLS avec le commutateur /g pour accorder l'accès au groupe Administrateurs de domaine. Utilisez la syntaxe suivante :
    dsacls nom_unique /G "nom_domaine\domain admins":GA
  6. Sur l'émulateur du contrôleur de domaine principal, démarrez Microsoft Windows Explorer, puis naviguez jusqu'au dossier Winnt\Sysvol\Sysvol\nom_domaine\Policies. Le GUID de l'objet Stratégie de groupe restreint figure dans ce dossier.
  7. Cliquez avec le bouton droit sur GUID de l'objet Stratégie de groupe, cliquez sur Propriétés, cliquez sur l'onglet Sécurité, puis octroyez au groupe Administrateurs de domaine les autorisations Contrôle total.
  8. Contrôlez le sous-dossiers sous cet objet Stratégie de groupe afin de vérifier que les administrateurs de domaine possèdent les mêmes autorisations sur ces dossiers.
Une fois cette procédure terminée, si vous ouvrez une session avec le compte Administrateurs de domaine, vous pouvez ouvrir et modifier cet objet Stratégie de groupe.
Retour au début

Le maître d'opérations PDC de votre domaine Windows 2000 ne fonctionne pas

Résolvez ce problème qui a rendu indisponible le maître d'opérations PDC de votre domaine Windows 2000.
Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
Retour au début
Mots-clés : 
kbprb KB294257
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Traductions disponibles