Comment faire pour modifier les autorisations par défaut sur les objets stratégie de groupe dans Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000 Server

Traductions disponibles Traductions disponibles
Numéro d'article: 321476 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Vous souhaiterez renforcer la sécurité sur les objets de stratégie de groupe (GPO) pour empêcher tout mais un groupe d'administrateurs de modifier la stratégie de groupe approuvé. Vous pouvez le faire en modifiant l'attribut DefaultSecurityDescriptor sur l'objet classScema conteneur de stratégie de groupe. Toutefois, la modification affecte uniquement les objets stratégie de groupe nouvellement créé. Pour les objets de stratégie de groupe existants, vous pouvez modifier les autorisations directement sur le conteneur Stratégie de groupe (CN = {GPO_GUID}, CN = System, DC = domain...) et le modèle de stratégie de groupe (\\domain\SYSVOL\Policies\{GPO_GUID)}. Cette procédure peut également empêcher des modèles d'administration (fichiers ADM) dans les modèles de stratégie de groupe par inadvertance mise à jour par les fichiers ADM sur des stations de travail non managées.

Plus d'informations

Lorsqu'un nouvel objet Active Directory est créé, les autorisations qui sont spécifiées dans l'attribut DefaultSecurityDescriptor de son objet classSchema dans le schéma sont appliquées pour elle. De ce fait, lorsqu'un GPO est créé, son objet groupPolicyContainer reçoit son ACL à partir de l'attribut DefaultSecurityDescriptor dans le CN = conteneur Stratégie de groupe-, CN = Schema, CN = Configuration, DC = forestroot... objet. L'éditeur de stratégie de groupe s'applique également ces autorisations pour le dossier, les sous-dossiers et fichiers de modèle de stratégie de groupe (SYSVOL\Policies\ {GPO_GUID}).

Vous pouvez utiliser le processus suivant pour modifier l'attribut DefaultSecurityDescriptor pour l'objet classSchema conteneur Stratégie de groupe. Notez que parce qu'il s'agit d'un changement de schéma, il démarre une réplication complète pour tous les catalogues globaux dans la forêt. Autorisations de schéma sont écrits à l'aide de la définition du langage SDDL (Security Descriptor). Pour plus d'informations sur SDDL, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://msdn2.Microsoft.com/en-us/library/aa379567.aspx
Pour modifier l'attribut DefaultSecurityDescriptor pour l'objet classSchema conteneur Stratégie de groupe :
  1. Ouvrez une session sur le contrôleur de domaine maître de schéma de forêt avec un compte qui est membre du groupe Administrateurs du schéma.
  2. Démarrez Mmc.exe et ajoutez le composant logiciel enfichable Schéma.
  3. Cliquez droit sur Schéma Active Directory, puis cliquez sur maître d'opérations.
  4. Cliquez sur Le schéma peut être modifié sur ce contrôleur de domaine, puis cliquez sur OK.
  5. Utilisez l'Éditeur ADSI pour ouvrir le contexte de nommage de schéma, puis recherchez le CN = conteneur de stratégie de groupe objet de type classSchema .
  6. Afficher les propriétés de l'objet et recherchez l'attribut defaultSecurityDescriptor .
  7. Coller la chaîne suivante dans la valeur pour supprimer écrire des autorisations pour les administrateurs de domaine afin que seuls les administrateurs de l'entreprise aurait des autorisations en écriture :
    D:P(A;CI ;RPLCLOLORC ;; DA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;EA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;CO)(A;CI ;RPWPCCDCLCLORCWOWDSDDTSW ; ;SY) (A ;CI ;RPLCLORC ; ;UA) (OA ;CI ;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ;UA)
    Pour donner des autorisations d'écriture d'un groupe supplémentaire, ajoutez le texte suivant à la fin du texte précédent :
    (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;Group_SID)
    Notez que Group_SID est le SID du groupe auquel vous accordez des autorisations.

    Remarque : Pour Windows Server 2003, collez la chaîne de suivi dans l'attribut defaultSecurityDescriptor :
    D:P(A;CI ;RPLCLOLORC ;; DA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;EA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;CO)(A;CI ;RPWPCCDCLCLORCWOWDSDDTSW ; ;SY) (A ;CI ;RPLCLORC ; ;UA) (OA ;CI ;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ;UA) (A ;CI ;LCRPLORC ; ;ED)


    Remarque : Modification de l'attributdefaultSecurityDescriptor ne modifie pas les descripteurs de sécurité pour les objets de stratégie de groupe préexistants. Vous pouvez, toutefois, utiliser la chaîne complète ci-dessus pour remplacer l'ACL sur les objets stratégie de groupe préexistant conjointement avec un outil tel que sdutil.exe.
  8. Coller la nouvelle chaîne dans le modifier l'attribut zone, cliquez sur définir, cliquez sur Appliqueret puis cliquez sur OK.
Remarque :Si vous voulez restreindre l'accès aux administrateurs de domaine ou administrateurs d'entreprise vous devez placer un refus dans les autorisations de schéma par défaut pour l'objet Grouppolicycontainer. Ces groupes ajoutera une ACL plus à l'objet de stratégie de groupe lorsqu'il est créé. Pour les administrateurs de domaine, vous devez ajouter Admins du domaine et ajouter un administrateur d'entreprise aux administrateurs. Ajout d'un refus est le seul moyen de restirict de ces groupes.

Support technique pour x 64 en versions de Microsoft Windows

Le fabricant de votre matériel fournit une assistance pour x 64 de Windows. Le fabricant de votre matériel prend en charge, car une version x 64 de Windows était fournie avec votre matériel. Le fabricant de votre matériel peut avoir personnalisé l'installation de Windows avec des composants uniques. Des composants uniques peuvent inclure des pilotes de périphériques spécifiques ou peuvent inclure des paramètres facultatifs afin d'optimiser les performances du matériel. Microsoft fournira une assistance raisonnable si vous avez besoin d'aide technique avec votre version x 64 de Windows. Toutefois, vous devrez peut-être contacter directement votre fabricant. Le fabricant de votre est le mieux qualifié pour prendre en charge le logiciel le fabricant de votre installé sur le matériel.

Pour plus d'informations sur Microsoft Windows XP Professionnel Édition x 64, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.Microsoft.com/windowsxp/64bit/default.mspx
Pour plus d'informations sur x 64 en les versions de Microsoft Windows Server 2003, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.Microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Propriétés

Numéro d'article: 321476 - Dernière mise à jour: vendredi 25 mai 2012 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Mots-clés : 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 321476
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com