Autorisations sont affectées après que vous rétrogradation d'un contrôleur de domaine

Traductions disponibles Traductions disponibles
Numéro d'article: 320230 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Après avoir rétrogradé un contrôleur de domaine, les groupes locaux de domaine ne sont pas utilisés pour fournir un accès aux ressources locales. Notez que ce comportement s'applique uniquement aux domaines qui sont en mode mixte. Le groupe local peut toujours être affiché dans la liste de contrôle d'accès (ACL). Toutefois, il ne peut pas être utilisé pour l'autorisation et Impossible d'ajouter les listes ACL. Lorsqu'un utilisateur dont l'accès est définie à l'aide d'un groupe local de domaine tente d'utiliser des ressources sur le serveur rétrogradé, l'utilisateur peut s'afficher une message d'erreur « Accès refusé » (ou messages d'erreur équivalent).

Cause

En mode mixte, la portée du groupe local du domaine est les contrôleurs de domaine. Lorsqu'un contrôleur de domaine rétrogradé, il est hors de la portée de ce type de groupe. Même si le groupe de SID reste dans la liste de contrôle d'accès et peut être résolu, ils ne peuvent pas être utilisés pour accorder l'accès. La raison est que le groupe local de domaine n'est pas dans le jeton d'accès des utilisateurs qui sont connectés à des ordinateurs membres. Cela se produit uniquement lorsque le domaine est en mode natif.

Résolution

Pour contourner ce problème, utilisez l'une des méthodes suivantes :
  • Modifier le mode de domaine en mode natif pour développer la portée des groupes à tous les membres de domaine. Notez que cela empêche également contrôleurs de domaine de sauvegarde 4.0 Windows NT réplication. Dans Windows Server 2003, Windows NT 4.0 n'est pas prise en charge par le niveau fonctionnel de Windows 2000. Uniquement Windows 2000 et Windows 2003 sont pris en charge au niveau fonctionnel Windows 2000.
    note Par défaut, les domaines dans un environnement Windows Server 2003 fonctionnent aux mixte niveau fonctionnel de Windows 2000. À ce niveau, Windows NT 4.0, Windows 2000 et la famille Windows Server 2003 sont pris en tout charge.
  • Créez un nouveau groupe local (ou un groupe global de domaine) et utiliser ensuite la version d'outil Active Directory Migration 2 pour traduire des références du groupe local de domaine pour le groupe nouvellement créé. Vous pouvez le faire Aide de la fonctionnalité Conversion de la sécurité avec un fichier de mappage de SID. Le fichier de mappage SID contient le SID du groupe local de domaine et le SID pour le groupe de remplacement. L'outil Active Directory Migration recherche et le SID par le nouveau ancien remplace (ou ajoute).
  • Vous pouvez utiliser l'outil subinacl à partir de Microsoft Windows NT Kit de ressources.

    Pour plus d'informations, reportez-vous au site de Web Microsoft suivant :
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en

Statut

Ce comportement est voulu par la conception même du produit.

Plus d'informations

Lorsque vous utilisez Windows 2000 Server et Windows 2000 Advanced Server en mode mixte, les limites pour les groupes locaux de domaine sont les contrôleurs de domaine pour le domaine actuel. Les groupes locaux uniquement utilisable pour affecter des autorisations Windows NT File System (NTFS) ou partager des autorisations, par exemple, sur les contrôleurs de domaine pour le domaine actuel.

Lorsqu'un contrôleur de domaine rétrogradé, les SID des groupes locaux de rester dans les listes de contrôle d'accès et peut toujours être résolu avec leur nom convivial. Toutefois, après la rétrogradation, ils ne peuvent pas être utilisés pour l'autorisation. En outre, ils Impossible d'ajouter à un fichier ou partagent des autorisations jusqu'à ce que le domaine est basculé en mode natif.

Basculer le domaine vers le mode natif offre la flexibilité de groupe pour ajouter des domaine local groupes aux ressources sur les contrôleurs de domaine non. Pour Windows 2000, cette règle s'applique aux contrôleurs de domaine Windows 2000 qui ont été rétrogradés et aux contrôleurs de domaine Windows NT 4.0 qui ont été serveurs membres mis à jour et de gauche en tant que pendant le processus de mise à niveau. Pour plus d'informations sur les groupes locaux de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
259392 Étendue du groupe local de domaine dans les modes d'opération de domaine Windows 2000

Propriétés

Numéro d'article: 320230 - Dernière mise à jour: vendredi 2 mars 2007 - Version: 5.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
Mots-clés : 
kbmt kbnetwork kbprb kbui KB320230 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 320230
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com