Comment faire pour restreindre la recherche de noms isolés dans les domaines approuvés externes dans Windows Server

Traductions disponibles Traductions disponibles
Numéro d'article: 818024 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la façon de modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que vous savez comment restaurer le Registre si un problème survient. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Par défaut, lorsque la fonctionLookupAccountName ou LsaLookupNames résout Names isolé des identificateurs de sécurité (SID) dans Windows Server, un appel de procédure distante (RPC) est effectué sur les contrôleurs de domaine de domaines approuvés externes. (Un nom isolé est un compte d'utilisateur ambiguë, non qualifié du domaine). Dans les situations où le domaine principal a de nombreuses relations d'approbation externes avec d'autres domaines ou dans lequel de nombreuses recherches sont effectuées en même temps, les performances peuvent diminuer. Vous pouvez voir l'utilisation de mémoire accrue et une meilleure utilisation de l'UC sur le contrôleur de domaine.

La fonction LookupAccountName et la fonction LsaLookupNamespeuvent également être appelées par des scripts ou des outils de modification des paramètres de sécurité. Les noms de compte doivent être mappés vers SID. Cacls.exe, Xcacls.exe, icacls Dsacls.exe et Subinacl.exe sont des exemples d'outils que vous pouvez utiliser pour modifier les paramètres de sécurité.

Cet article décrit comment modifier le Registre de contrôle si la recherche de noms isolés est effectuée dans les domaines approuvés externes dans Windows Server.

Plus d'informations

Les fonctions de recherche acceptent des noms d'utilisent les formats suivants :
  • NetBIOSDomainName\Nom de compte
  • Nom_Domaine_Dns\Nom de compte
  • (UPN) Nom de compte@Nom_Domaine_Dns
  • (Isolé) Nom de compte
Pour les formats de trois nom premier dans la liste, les fonctions de recherche peuvent cibler directement un contrôleur de domaine sur le domaine approprié dans la mesure où ces formats de nom contiennent le domaine qui fait autorité pour l'entité de sécurité.

Le format du nom de quatrième, (isolé) Nom de compte, est ambigu. Les fonctions de recherche doivent systématiquement essayer de résoudre le nom d'un identificateur de sécurité en effectuant un appel RPC pour chaque domaine approuvé. Pour les environnements où plusieurs approbations externes existent, cette opération peut nécessiter une énumération des domaines approuvés série qui implique un appel RPC au contrôleur de domaine dans chaque domaine. Dans ce scénario, les performances dégradent en tant que le nombre de domaines de confiance augmente.

Si un script ou un programme essaie de résoudre un nom isolé, les performances peuvent être lentes. Par exemple, ce problème peut se produire si le script ou le programme est configuré pour s'exécuter au moment de l'ouverture de session. Le problème peut également se produire si le script ou le programme qui s'exécute sur de nombreux clients en même temps. Dans les environnements avec de nombreux domaines approuvés externes qui utilisent ces programmes, vous souhaiterez sans doute désactiver la recherche et la résolution de noms isolés et les SID de domaines approuvés externes.

Modifier le Registre pour désactiver (ou activer) la recherche de noms isolés dans les domaines approuvés externes

Important : Si vous exécutez Windows 2000 Server, vous devez d'abord installer le correctif logiciel qui est décrit dans la section « Informations de correctif Windows 2000 Server » plus loin dans cet article avant de pouvoir utiliser cette procédure.

Pour modifier le Registre de contrôle si la recherche de noms isolés est effectuée dans les domaines approuvés externes, créez l'entrée de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Si cette entrée n'existe pas, ou si la valeur est définie sur 0, recherche de noms isolés est effectuée sur des domaines approuvés externes.
  • Si cette entrée de Registre est définie sur 1, recherche de noms isolés n'est pas effectuée entre les domaines approuvés externes.
Par défaut, la recherche de noms isolés est effectuée sur des domaines approuvés externes et
LsaLookupRestrictIsolatedNameLevel
entrée n'est pas présente dans le Registre.

Pour créer le
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
entrée de Registre pour désactiver ou activer la recherche de noms isolés dans les domaines approuvés externes, procédez comme suit.

Remarque : Créer cette entrée de Registre uniquement sur les contrôleurs de domaine.

Avertissement : De graves problèmes peuvent survenir si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter que vous réinstallez le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Modifiez le Registre à vos propres risques.
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir , tapez Regedit, puis cliquez sur OK.
  3. Recherchez, puis cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. Dans le menu Edition , pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  5. Type LsaLookupRestrictIsolatedNameLevel, puis appuyez sur ENTRÉE.
  6. Dans le menu Edition , cliquez sur Modifier.
  7. Effectuez l'une des valeurs suivantes, selon votre situation :
    • Pour désactiver la recherche de noms isolés dans les domaines approuvés externes, tapez 1 dans la zone données de la valeur .
    • Pour activer la recherche de noms isolés dans les domaines approuvés externes, tapez 0 dans la zone données de la valeur .
  8. Cliquez sur OK et quittez l'éditeur du Registre.

Informations sur le correctif Windows 2000 Server

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour téléchargement, il existe une section « téléchargement de correctif logiciel disponible » en haut de cet article de la Base de connaissances. Si cette section n'apparaît pas, soumettez une demande au Support technique de Microsoft pour obtenir le correctif.

Remarque : Si des problèmes supplémentaires surviennent ou bien si une procédures de dépannage est requise, il est probable que vous ayez à effectuer une demande de service en parallèle. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour obtenir la liste complète des numéros de téléphone du Service clientèle de Microsoft et du Support vous permettant de créer une demande, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.Microsoft.com/contactus/?ws=support
Remarque : Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'un correctif logiciel n'est pas disponible pour cette langue.

Conditions préalables

Ce correctif requiert Microsoft Windows 2000 Service Pack 3 (SP3).

Redémarrage de l'ordinateur

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations fichiers

La version anglaise de ce correctif possède les attributs de fichier (ou attributs ultérieurs de fichier ) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont classées par rapport temps universel coordonné (UTC). Les informations du fichier sont converties en heure locale. Pour établir la différence entre l'UTC et l'heure locale, utilisez l'onglet fuseau horaire de l'onglet Date et l'heure du Panneau de configuration.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Propriétés

Numéro d'article: 818024 - Dernière mise à jour: mercredi 8 janvier 2014 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Mots-clés : 
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 818024
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com