Description des modifications des paramètres de sécurité DCOM après l'installation de Windows Server 2003 Service Pack 1

Traductions disponibles Traductions disponibles
Numéro d'article: 903220 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Microsoft Windows Server 2003 Service Pack 1 (SP1) introduit des paramètres de sécurité par défaut améliorés pour le protocole DCOM. Spécifiquement, Windows Server 2003 Service Pack 1 introduit des droits accordant à un administrateur un contrôle indépendant sur les autorisations locales et distantes pour démarrer des serveurs COM, activer les paramètres de ces serveurs et accéder aux serveurs. Cet article décrit les modifications apportées aux paramètres de sécurité DCOM.

Plus d'informations

Les services de certificats Windows Server 2003 utilisent le protocole DCOM pour fournir des services d'inscription et d'administration. Les services de certificats offrent plusieurs interfaces DCOM pour rendre ces services disponibles. Pour assurer l'accès à ces services et leur utilisation correcte, les services de certificats supposent que ces interfaces DCOM sont configurées pour autoriser l'activation et l'accès à distance. Toutefois, en raison des paramètres de sécurité par défaut améliorés pour DCOM appliqués lors de la mise à niveau vers Windows Server 2003 Service Pack 1, vous devrez peut-être mettre à jour ces paramètres de sécurité afin d'assurer que les services d'inscription et d'administration restent disponibles.

Par défaut, toutes les interfaces DCOM dans Windows Server 2003 SP1 sont configurées pour accorder des autorisations d'accès à distance, de lancement à distance et d'activation à distance aux administrateurs. Toutefois, lorsque vous effectuez la mise à niveau vers Windows Server 2003 SP1, des modifications de configuration de la sécurité sont apportées à l'interface DCOM globale et à l'interface DCOM Demande de CertSrv. Ces modifications sont apportées pour permettre aux services de certificats de fonctionner correctement.

Remarque Toutes les modifications que vous avez apportées aux paramètres de sécurité de l'interface DCOM Demande de CertSrv avant l'installation de Windows Server 2003 Service Pack 1 seront perdues. Le programme d'installation de Windows Server 2003 SP1 restaure les valeurs par défaut de tous les paramètres de sécurité antérieurs de l'interface DCOM Demande de CertSrv.

Pendant la procédure d'installation de Windows Server 2003 SP1, les services de certificats mettent à jour automatiquement les paramètres de sécurité DCOM comme suit :
    Interface DCOM Demande de CertSrv
    • Le groupe de sécurité Tout le monde reçoit des autorisations d'accès local et à distance.
    • Le groupe de sécurité Tout le monde reçoit des autorisations d'activation locale et à distance.
    • Le groupe de sécurité Tout le monde ne reçoit pas d'autorisation de lancement local ou à distance.

  • Paramètres de restrictions d'ordinateurs DCOM
    • Un nouveau groupe de sécurité, CERTSVC_DCOM_ACCESS, est créé automatiquement.

      Si l'autorité de certification est installée sur un serveur membre, CERTSVC_DCOM_ACCESS est créé en tant que groupe local d'ordinateurs. Le groupe de sécurité Tout le monde est ajouté à CERTSVC_DCOM_ACCESS.

      Si l'autorité de certification est installée sur un contrôleur de domaine, CERTSVC_DCOM_ACCESS est créé en tant que groupe local de domaine. Les groupes de sécurité Utilisateurs du domaine et Ordinateurs du domaine pour le domaine de l'autorité de certification sont ajoutés à CERTSVC_DCOM_ACCESS. Si des contrôleurs de domaine nécessitent l'accès à cette interface pour demander des certificats à l'autorité de certification, vous devez ajouter le groupe de sécurité Contrôleurs de domaine. Cette étape est nécessaire car les contrôleurs de domaine ne font pas partie du groupe de sécurité Ordinateurs du domaine.
    • Le groupe de sécurité CERTSVC_DCOM_ACCESS reçoit des autorisations d'accès local et à distance.
    • Le groupe de sécurité CERTSVC_DCOM_ACCESS reçoit des autorisations d'activation locale et à distance.
    • Le groupe de sécurité CERTSVC_DCOM_ACCESS ne reçoit pas d'autorisation de lancement local ou à distance.
    Remarque Si l'autorité de certification est installée sur un contrôleur de domaine et que l'entreprise est composée de plusieurs domaines, les services de certificats ne peuvent pas mettre à jour automatiquement les paramètres de sécurité DCOM pour les utilisateurs inscrits en dehors du domaine de l'autorité de certification. Par conséquent, ces utilisateurs inscrits ne disposeront pas de l'accès d'inscription à l'autorité de certification.

    Pour résoudre ce problème, vous devez ajouter manuellement les utilisateurs au groupe de sécurité CERTSVC_DCOM_ACCESS. Étant donné que le groupe de sécurité CERTSVC_DCOM_ACCESS est un groupe local de domaine, vous pouvez ajouter uniquement des groupes de domaine à ce groupe. Par exemple, si des utilisateurs et des ordinateurs d'un autre domaine nommé Contoso doivent s'inscrire à l'autorité de certification, vous devez ajouter manuellement les groupes Contoso\Utilisateurs du domaine et Contoso\Ordinateurs du domaine au groupe de sécurité CERTSVC_DCOM_ACCESS.

    Si l'autorisation est refusée à un utilisateur inscrit qui devrait être autorisé par l'autorité de certification après l'installation de Windows Server 2003 Service Pack 1, vous pouvez demander aux services de certificats de mettre à jour à nouveau les paramètres de sécurité DCOM. Pour cela, tapez les commandes suivantes à l'invite en appuyant sur ENTRÉE après chaque commande :
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    L'indicateur DCOM_SECURITY_UPDATED_FLAG est un indicateur interne du Registre pour les services de certificats, qui indique que les paramètres de sécurité DCOM ont été correctement mis à jour. Les services de certificats vérifient cet indicateur à chaque démarrage. Les commandes ci-dessus réinitialisent l'indicateur, puis arrêtent et redémarrent les services de certificats. Cette procédure permet aux services de certificats de mettre à nouveau à jour les paramètres de sécurité DCOM.
Les événements ci-dessous peuvent être enregistrés après l'installation de Windows Server 2003 SP1.

Message d'événement 1
Type d'événement : Erreur
Source de l'événement : Inscription automatique
Catégorie de l'événement : Aucune
ID de l'événement : 13
Date : date
Heure : heure
Utilisateur : N/A
Ordinateur : nom_ordinateur
Description : L'inscription automatique de certificat pour le système local n'a pas pu inscrire un certificat Réplication de la messagerie de l'annuaire (0x80070005). Accès refusé. Pour plus d'informations, consultez le centre Aide et support à l'adresse http://support.microsoft.com.
Message d'événement 2
Type d'événement : Erreur
Source de l'événement : Inscription automatique
Catégorie de l'événement : Aucune
ID de l'événement : 13
Date : date
Heure : heure
Utilisateur : N/A
Ordinateur : nom_ordinateur
Description : L'inscription automatique de certificat pour le système local n'a pas pu inscrire un certificat Authentification de station de travail (0x80070005). Accès refusé. Pour plus d'informations, consultez le centre Aide et support à l'adresse http://support.microsoft.com.
Lorsque vous demandez manuellement un certificat à l'aide du composant logiciel enfichable Certificat, le message d'erreur suivant peut s'afficher :
La demande de certificat a échoué en raison d'une des conditions suivantes : - La demande de certificat a été envoyée à une autorité de certification qui n'a pas démarré. - Vous ne disposez pas des autorisations nécessaires pour demander des certificats à partir des autorités de certification disponibles.
Remarque Si ces erreurs se produisent sur un contrôleur de domaine, ajoutez les groupe Contrôleurs de domaine au groupe CERTSVC_DCOM_ACCESS. Les contrôleurs de domaine ne sont pas membres du groupe global Ordinateurs du domaine et ne disposeront pas d'autorisations DCOM suffisantes par défaut.

Si vous modifiez les membres du groupe pour inclure le groupe Contrôleurs de domaine, vous devez redémarrer le contrôleur de domaine pour que la modification prenne effet.

Support technique pour les versions x64 de Microsoft Windows

Si votre matériel a été fourni avec une édition x64 de Microsoft Windows déjà installée, c'est le fabricant de votre matériel qui assure le support technique pour l'édition x64 de Windows. Dans ce cas, le fabricant de votre matériel assure le support technique car il a ajouté une édition x64 de Windows à votre matériel. Le fabricant de votre matériel a pu personnaliser l'installation de l'édition x64 de Windows avec des composants uniques. Ceux-ci peuvent inclure des pilotes de périphériques spécifiques ou des paramètres facultatifs ayant pour but d'optimiser les performances du matériel. Microsoft pourra, dans une certaine limite, vous fournir une assistance technique sur l'édition x64 de Windows. Toutefois, vous devrez peut-être contacter directement le fabricant de votre matériel. Celui-ci est le plus qualifié pour assurer la prise en charge des logiciels qu'il a installés sur le matériel. Si vous avez acheté séparément une édition x64 de Windows telle que Microsoft Windows Server 2003 x64, contactez Microsoft pour obtenir un support technique.

Pour plus d'informations sur Microsoft Windows XP Professionnel Édition x64, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/windows/xp/64bits/default.mspx
Pour plus d'informations sur les versions x64 de Microsoft Windows Server 2003, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/windows/windowsserver2003/default.mspx
Pour plus d'informations sur les améliorations de sécurité DCOM introduites par Windows Server 2003 SP1, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=fr

Propriétés

Numéro d'article: 903220 - Dernière mise à jour: vendredi 16 mars 2007 - Version: 8.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbhowto kbinfo KB903220
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com