La stratégie de groupe doit pas être filtrée par groupes locaux de domaines

Traductions disponibles Traductions disponibles
Numéro d'article: 309172 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Résumé

Objets de stratégie de groupe filtrés par les groupes locaux de domaine ne sont pas appliquées lorsqu'un utilisateur ouvre une session sur une station de travail dans un autre domaine.

Plus d'informations

Dans Microsoft Windows NT 4.0 et les domaines en mode mixte, les groupes locaux sont uniquement efficaces lorsque vous ouvrez une session sur l'ordinateur qui héberge le groupe local. Groupes locaux définis sur un contrôleur de domaine (DC) sont répliqués sur tous les contrôleurs de domaine dans le domaine et sont donc efficaces lorsque vous ouvrez une session sur tous les contrôleurs de domaine.

Lorsque vous vous connectez à un domaine, le contrôleur de domaine authentification renvoie un jeton d'ouverture de session qui contient les groupe global identificateurs de sécurité (SID pour lequel l'utilisateur est) membre et groupes locaux sur les contrôleurs de domaine sont exclus en particulier. Autorité de sécurité locale (LSA l'ordinateur local) puis vérifie chaque SID dans le jeton d'ouverture de session et ajoute n'importe quel groupe local approprié SID.

En mode natif, Windows 2000 étend la fonctionnalité de groupes locaux qui sont définis sur les contrôleurs de domaine. l'appartenance dans les groupes locaux de domaine sera indiqué dans le jeton d'ouverture de session renvoyée par le contrôleur de domaine, condition que l'utilisateur se connecte à un ordinateur dans le même domaine. Si l'utilisateur se connecte à un ordinateur dans un autre domaine, SID du groupe local de domaine ne sont pas inclus.

De ce fait, en mode natif les groupes locaux de domaine peuvent servir à sécuriser les ressources dans le même domaine. Lorsqu'un utilisateur se connecte à une station de travail dans un autre domaine et tente d'accéder d'une ressource dans son domaine de base, NT LAN Manager (NTLM) ou mécanisme d'authentification Kerberos garantit que les groupes locaux de domaine approprié sont à nouveau inclus dans access vérifie la ressource appropriée.

Cependant, cela n'étend pas à stratégie de groupe que le moteur côté client obtient une liste d'objets de stratégie de groupe applicable (GPO) via recherches Active Directory dans le contexte système, puis les vérifications d'accès de contrôle d'accès liste ACL, Access Control (List de chaque objet stratégie de groupe) sur le jeton de l'utilisateur. Si l'utilisateur n'est pas connecté dans son propre domaine, le jeton ne contient pas d'appartenance au groupe local de domaine, et un filtrage de stratégie de groupe par groupes locaux de domaine ne fonctionne pas comme prévu.

Par conséquent, si les utilisateurs sont censés ouvrent une session sur des ordinateurs dans les autres domaines de la forêt, les objets de stratégie de groupe ne doivent pas être filtrées par groupes locaux de domaine.

Propriétés

Numéro d'article: 309172 - Dernière mise à jour: mardi 4 février 2014 - Version: 3.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 309172
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com