Comment accorder l’autorisation « Réplication des modifications d’annuaire » pour le compte de service ADMA microsoft Metadirectory Services

  • Article

Cet article explique comment accorder l’autorisation « Réplication des modifications d’annuaire » pour le compte de service ADMA microsoft Metadirectory Services.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 303972

Résumé

Lors de la découverte d’objets dans Active Directory à l’aide de l’agent de gestion Active Directory (ADMA), le compte spécifié pour la connexion à Active Directory doit avoir des autorisations d’administration de domaine, appartenir au groupe Administrateurs du domaine ou se voir accorder explicitement des autorisations de réplication des modifications d’annuaire pour chaque domaine de la forêt à laquelle cet agent de gestion accède. Cet article explique comment accorder explicitement à un compte d’utilisateur les autorisations Réplication des modifications d’annuaire sur un domaine.

Remarque

Dans Windows Server 2003, le nom de cette autorisation a été remplacé par « Répliquer les modifications d’annuaire ».

Plus d’informations

L’autorisation Réplication des modifications d’annuaire, appelée autorisation Répliquer les modifications d’annuaire dans Windows Server 2003, est une entrée Access Control (ACE) sur chaque contexte de nommage de domaine. Vous pouvez attribuer cette autorisation à l’aide de l’éditeur ACL ou de l’outil de prise en charge d’Adsiedit dans Windows 2000.

Définition d’autorisations à l’aide de l’éditeur de liste de contrôle d’accès

  1. Ouvrir le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory
  2. Dans le menu Affichage, cliquez sur Fonctionnalités avancées.
  3. Cliquez avec le bouton droit sur l’objet de domaine, par exemple «company.com », puis cliquez sur Propriétés.
  4. Sous l’onglet Sécurité , si le compte d’utilisateur souhaité n’est pas répertorié, cliquez sur Ajouter. si le compte d’utilisateur souhaité est répertorié, passez à l’étape 7.
  5. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs ou des groupes , sélectionnez le compte d’utilisateur souhaité, puis cliquez sur Ajouter.
  6. Cliquez sur OK pour revenir à la boîte de dialogue Propriétés .
  7. Cliquez sur le compte d’utilisateur souhaité.
  8. Cliquez pour sélectionner la zone Réplication des modifications du répertoire case activée dans la liste.
  9. Dans la zone Plan de numérotation (contexte téléphonique), cliquez sur Parcourir pour localiser le plan de numérotation de l’utilisateur.
  10. Fermez le composant logiciel enfichable.

Définition d’autorisations à l’aide d’Adsiedit

Avertissement

L’utilisation incorrecte d’Adsiedit peut entraîner des problèmes graves qui peuvent vous obliger à réinstaller votre système d’exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l’utilisation incorrecte d’Adsiedit peuvent être résolus. Utilisez Adsiedit à vos propres risques.

  1. Installez les outils de support windows 2000 s’ils n’ont pas déjà été installés.
  2. Exécutez Adsiedit.msc en tant qu’administrateur du domaine. Développez le nœud Domain Naming Context (DOMAIN NC). Ce nœud contient un objet qui commence par « DC= » et reflète le nom de domaine correct. Cliquez avec le bouton droit sur cet objet, puis cliquez sur Propriétés.
  3. Cliquez sur l’onglet Sécurité.
  4. Si le compte d’utilisateur souhaité n’est pas répertorié, cliquez sur Ajouter, sinon passez à l’étape 8.
  5. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs ou des groupes , sélectionnez le compte d’utilisateur souhaité, puis cliquez sur Ajouter.
  6. Cliquez sur OK pour revenir à la boîte de dialogue Propriétés .
  7. Dans la zone Plan de numérotation (contexte téléphonique), cliquez sur Parcourir pour localiser le plan de numérotation de l’utilisateur.
  8. Sélectionner le compte d’utilisateur souhaité
  9. Cliquez pour sélectionner la zone Réplication des modifications du répertoire case activée.
  10. Dans la zone Plan de numérotation (contexte téléphonique), cliquez sur Parcourir pour localiser le plan de numérotation de l’utilisateur.
  11. Fermez le composant logiciel enfichable.

Remarque

À l’aide de l’une ou l’autre méthode, la définition de l’autorisation Réplication des modifications d’annuaire pour chaque domaine de votre forêt permet la découverte d’objets dans le domaine dans la forêt Active Directory. Toutefois, l’activation de la découverte du répertoire connecté n’implique pas que d’autres opérations peuvent être effectuées.

Pour créer, modifier et supprimer des objets dans Active Directory à l’aide d’un compte non administratif, vous devrez peut-être ajouter des autorisations supplémentaires le cas échéant. Par exemple, pour que Microsoft Metadirectory Services (MMS) crée des objets utilisateur dans une unité d’organisation (UO) ou un conteneur, le compte utilisé doit recevoir explicitement l’autorisation Créer tous les objets enfants, car l’autorisation Répliquer les modifications d’annuaire n’est pas suffisante pour autoriser la création d’objets.

De la même façon, la suppression d’objets nécessite l’autorisation Supprimer tous les objets enfants.

Il est possible qu’il existe des limitations sur d’autres opérations, telles que le flux d’attributs, en fonction des paramètres de sécurité spécifiques affectés à l’objet en question et de la question de savoir si l’héritage est ou non un facteur.