L'onglet «Effective Permissions» peut signaler des autorisations incorrectes dans Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 933071 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Description du problème

Lorsque vous utilisez l'onglet Autorisations effectives pour déterminer les autorisations dont dispose un utilisateur pour une certaine ressource dans le domaine sur un ordinateur Windows_Server_2003-based, les résultats qui sont affichées dans l'interface utilisateur sont incohérentes avec les autorisations réelles de l'utilisateur pour cette ressource. Plus précisément, les cases à cocher pour certains autoriser autorisations peuvent apparaître désactivées. Ou, cases à cocher pour certains Deny autorisations semblent activées.

Ce problème se produit lorsqu'une des conditions suivantes est remplie :
  • Vous exécutez les outils d'administration à distance à partir du serveur de ressources.
  • Le compte d'utilisateur que vous utilisez pour exécuter les outils d'administration n'est pas dans le même domaine que la ressource.
Par exemple, considérez le scénario suivant :
  • Vous avez un groupe global du domaine a.
  • Vous avez un groupe local de domaine dans domaine b.
  • Une ressource se trouve dans domaine b.
  • Le groupe local a accès complet à la ressource. Cet accès comprend des autorisations de suppression.
  • Le groupe global est membre du groupe local. Toutefois, le groupe global n'est un accès direct à la ressource.
  • Vous afficher les autorisations de ressource d'un utilisateur dans le groupe global en utilisant un compte d'utilisateur d'administration du domaine a. Vous effectuez cette action à distance sur un ordinateur qui a rejoint le domaine a.
Dans ce scénario, vous pouvez voir que l'utilisateur ne dispose pas supprimer les autorisations pour la ressource. Toutefois, l'utilisateur fait a supprimer les autorisations pour la ressource.

Si vous exécutez les outils d'administration Active Directory sur un membre d'un domaine et que vous connectez les outils d'administration à un contrôleur de domaine dans un autre domaine, vous pouvez également voir résultats incorrects autorisations effectives.

Remarque Parce que les résultats de différentes autorisations effectives sont affichés lorsque vous accédez à objets via un serveur catalogue global qui s'exécute dans un autre domaine, Microsoft permet de sécuriser des objets dans Active Directory combattre en utilisant des groupes locaux de domaine.

Cause

La boîte de dialogue de propriétés utilise le moteur Runtime de gestionnaire d'autorisations (AuthZ.dll). Ce moteur utilise un Service Kerberos pour l'utilisateur (Kerberos S4U) transaction pour obtenir un jeton de l'utilisateur. Toutefois, ce jeton n'est pas par rapport au serveur de ressources. Au lieu de cela, ce jeton est relatif à la station d'administration ou à l'utilisateur qui exécute l'outil de gestion. Par conséquent, un des scénarios suivants se produit :
  • Si la ressource est dans un domaine autre que la station d'administration ou que l'utilisateur d'administration, le jeton n'inclut pas les groupes locaux de l'ordinateur qui héberge la ressource de domaine.
  • Si la ressource a des autorisations sont affectées aux groupes intégrés, les groupes prédéfinis sont confondus avec les groupes de domaine.
Dans deux cas, les résultats incorrects autorisations effectives sont affichés.

Résolution

Pour éviter ce problème, assurez-vous de prendre les mesures suivantes lorsque vous vérifiez les autorisations effectives d'un utilisateur d'une ressource :
  • Vérifiez toujours les autorisations effectives localement sur un ordinateur qui héberge la ressource.
  • Si votre configuration Active Kerberos S4U, assurez-vous que l'utilisateur d'administration et les ressources sont dans le même domaine.
  • Si vous vérifiez les autorisations effectives pour un objet Active Directory, vous devez exécuter les outils d'administration sur un contrôleur de domaine ayant une copie complète de l'objet sur un serveur de catalogue global.
  • Si vous vérifiez les autorisations effectives pour une ressource en cluster, vous pouvez exécuter les outils d'administration d'un n?ud de cluster.
En outre, le correctif qui est décrit plus loin dans cette section présente une entrée de Registre UseGroupRecursion qui vous permet de forcer la méthode de la récursivité de groupe.

Pour utiliser le correctif

Vous devez appliquer ce correctif à l'ordinateur sur lequel vous souhaitez exécuter les outils d'administration.

Pour que nous puissions définir l'entrée de Registre UseGroupRecursion pour vous, accédez à la section «Fix it for me». Si vous devez définir l'entrée de Registre UseGroupRecursion vous-même, passez à la section «Let me fix it myself».

Correctif pour moi

Pour définir l'entrée de Registre UseGroupRecursion automatiquement, cliquez sur le lien résoudre ce problème . Ensuite, cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier et suivez les étapes de l'Assistant.

Résoudre ce problème
Microsoft Fix it 50241


Remarque cet Assistant peut être en anglais uniquement ; toutefois, la correction automatique fonctionne également pour les autres versions de langue de Windows.

Remarque Si vous n'êtes pas sur l'ordinateur qui a le problème, vous pouvez enregistrer la correction automatique sur un lecteur flash ou sur un CD-ROM et ensuite vous pouvez l'exécuter sur l'ordinateur qui a le problème.

Maintenant accéder à la «Did this fix the problem?» section.

Permettez-moi de résoudre le problème moi-même


important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, les problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que ces étapes avec soin. Pour ajouter une protection, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre de Windows
Pour utiliser l'entrée de Registre UseGroupRecursion, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez regedit et appuyez sur ENTRÉE.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. Dans le menu Edition , pointez sur Nouveau et cliquez sur Valeur DWORD .
  4. Tapez UseGroupRecursion et appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur UseGroupRecursion , puis cliquez sur Modifier .
  6. Dans la zone données de la valeur , tapez 1 et puis cliquez sur OK .
  7. Quittez l'Éditeur du Registre.
Remarque Par défaut, lorsque la valeur dans la zone données de la valeur est définie à 0, l'exécution du Gestionnaire d'autorisations moteur utilise la méthode Kerberos. Lorsque cette valeur est définie à 1, le moteur Authorization Manager Runtime utilise la méthode récursive.

Maintenant accéder à la «Did this fix the problem?» section.

Le problème est-il résolu ?

Après avoir utilisé l'entrée de Registre pour modifier la méthode la récursivité de groupe, vous devez effectuer les actions suivantes :
  • Vérifiez toujours les autorisations effectives localement sur un ordinateur qui héberge la ressource.
  • Assurez-vous que l'utilisateur d'administration a accès en lecture au compte d'utilisateur pour lequel vous voulez vérifier les autorisations effectives.
Remarque L'utilisateur d'administration et la ressource ne doivent pas se trouver dans le même domaine.

Vérifiez si le problème est résolu. Si le problème est résolu, vous avez terminé avec cet article. Si le problème n'est pas résolu, vous pouvez contact support.

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant le problème décrit dans cet article. Ce correctif va peut-être subir des tests. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contient ce correctif.

Si le correctif est disponible pour téléchargement, il existe une section «Téléchargement de correctif logiciel disponible» en haut de cet article de base de connaissances. Si cette section n'apparaît pas, contactez le service clientèle de Microsoft et de support pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si n'importe quelle résolution des problèmes sont requis, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes qui ne relèvent pas de ce correctif spécifique. Pour obtenir une liste complète de numéros de téléphone Microsoft Services de support technique ou à créer une demande de service distincte, site Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
Remarque Le formulaire «Téléchargement de correctif logiciel disponible» affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, il est, car un correctif n'est pas disponible pour cette langue.

Conditions préalables

Vous devez avoir Windows Server 2003 Service Pack 1 ou Windows Server 2003 Service Pack 2 installé pour appliquer ce correctif. Pour plus d'informations sur les service packs Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
889100Comment obtenir le dernier pack service pour Windows Server 2003

La nécessité de redémarrer

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace pas d'autres correctifs.

Informations sur les fichiers

La version anglaise de ce correctif dispose les attributs de fichier (ou version ultérieure fichier) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers figurent en temps universel (UTC). Lorsque vous affichez les informations du fichier, il est converti en heure locale. Pour connaître la différence entre l'UTC et l'heure locale, utilisez l'onglet fuseau horaire de l'élément date et heure dans le Panneau de configuration.
Windows Server 2003 avec Service Pack 1, versions x 86-en anglais
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-forme
Authz.dll5.2.3790.322072,19201-Oct-200814 : 54x 86
Windows Server 2003 avec Service Pack 2, versions x 86-en anglais
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-forme
Authz.dll5.2.3790.43837101-Oct-200815 : 08x 86
Windows Server 2003 avec Service Pack 1, versions Itanium
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeSP requisDossier
Authz.dll5.2.3790.3220237,56801-Oct-200812 : 51IA-64SP1Non applicable
Wauthz.dll5.2.3790.322072,19201-Oct-200812 : 51x 86SP1OUI
Windows Server 2003 avec Service Pack 2, versions Itanium
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeSP requisDossier
Authz.dll5.2.3790.4383237,56801-Oct-200812 : 55IA-64SP2Non applicable
Wauthz.dll5.2.3790.43837101-Oct-200812 : 55x 86SP2OUI
Windows Server 2003 avec Service Pack 1, versions x 64-en anglais
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeSP requisDossier
Authz.dll5.2.3790.3220175,61601-Oct-200812 : 51x 64SP1Non applicable
Wauthz.dll5.2.3790.322072,19201-Oct-200812 : 51x 86SP1OUI
Windows Server 2003 avec Service Pack 2, versions x 64-en anglais
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeSP requisDossier
Authz.dll5.2.3790.4383175,61601-Oct-200812 : 59x 64SP2Non applicable
Wauthz.dll5.2.3790.43837101-Oct-200812 : 59x 86SP2OUI

État

Microsoft a confirmé le que de ce problème dans les produits Microsoft répertoriés dans la section «S'applique à».

Plus d'informations

Pour plus d'informations sur la terminologie mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
824684Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft
Pour un autre symptôme spécifique de ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
884049Listes de contrôle d'accès peuvent signaler des informations incorrectes dans Windows Server 2003

Propriétés

Numéro d'article: 933071 - Dernière mise à jour: mercredi 29 juillet 2009 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
Mots-clés : 
kbmt kbfixme kbmsifixme kbautohotfix kbexpertiseinter kbbug kbfix kbhotfixserver kbqfe KB933071 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 933071
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com