Mises à jour du comportement de Groupes restreints (« Membre de ») des groupes locaux définis par l'utilisateur


Résumé


Dans les versions de Microsoft Windows antérieures à Microsoft Windows 2000 Service Pack 4 (SP4), le paramètre de sécurité Membre de de Groupes restreints dans la stratégie de groupe ne peut pas être utilisé pour ajouter des groupes de domaines aux groupes locaux sur des ordinateurs membres. Le comportement de Groupes restreints a fait l'objet d'une mise à jour dans Windows 2000 SP4 et dans la famille Microsoft Windows Server 2003. Microsoft Windows XP Service Pack 1 (SP1) nécessite un correctif pour mettre à jour le comportement de Groupes restreints. Cet article décrit les modifications apportées à la fonction.

Plus d'informations


La fonction Membre de de Groupes restreints permet à présent d'ajouter des groupes de domaines aux groupes locaux. Pour plus d'informations sur la fonction Groupes restreints, notamment pour consulter des descriptions de Membres et Membre de, reportez-vous à la section « Groupes restreints » dans la documentation de Windows Server.

Windows XP

Informations sur les Service Packs

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows XP. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322389 Comment faire pour obtenir le dernier Service Pack Windows XP

Informations sur le correctif

Une fonction prise en charge qui modifie le comportement par défaut du produit est désormais disponible auprès de Microsoft, mais elle est uniquement destinée à modifier le comportement décrit dans cet article. Elle ne doit être appliquée qu'aux systèmes en ayant un besoin spécifique. Cette fonction peut être soumise à des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine version du Service Pack Windows XP qui contiendra cette fonction.

Pour obtenir cette fonction immédiatement, contactez les services de Support technique Microsoft. Pour obtenir la liste complète des numéros de téléphone des services de Support technique Microsoft et des informations sur les frais engendrés, reportez-vous au site Web de Microsoft à l'adresse suivante :
La version anglaise de cette fonction dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.

Date Heure Version Taille Nom de fichier Plateforme
------------------------------------------------------------------------
31/01/2003 02:53 5.1.2600.1163 849 408 Scesrv.dll IA64
31/01/2003 02:53 5.1.2600.1163 307 712 Scesrv.dll i386

Ajout de groupes de domaines aux groupes locaux

Une fois que vous avez vérifié que la fonction est installée sur tous les ordinateurs qui en ont besoin, vous pouvez utiliser le paramètre Membre de de Groupes restreints pour ajouter un groupe de domaines à un groupe local (prédéfini ou personnalisé). Vous pouvez définir des stratégies Membre de pour des groupes distincts dans plusieurs objets Stratégie de groupe qui sont liés à un site, un domaine ou une unité d'organisation quelconque. Toutes les stratégies sont appliquées. Par exemple, comme le montre le tableau ci-dessous, vous pouvez créer une stratégie qui ajoute Admins du domaine au groupe local Administrateurs et vous pouvez ajouter une stratégie qui ajoute le groupe Mes admins de gestion au groupe local Administrateurs. Ce groupe est lié à un objet Stratégie de groupe au niveau du domaine. Vous pouvez également créer une stratégie qui ajoute le groupe Mes admins régionaux d'unité d'organisation au groupe local Administrateurs. Ce groupe est lié à un objet Stratégie de groupe au niveau de l'unité d'organisation. Toutes les stratégies sont appliquées.

Tableau 1 : Ajout de groupes de domaines aux groupes locaux
Groupe de domaines pour lequel vous définissez une stratégie Groupes restreintsEntrée « Membre de » : groupe local sur les ordinateurs membresNiveau de l'objet Stratégie de groupe où la stratégie Groupes restreints est définieRésultat
Admins du domaine (prédéfini, domaine)Administrateurs (prédéfini local)Niveau du domaineLe groupe Administrateurs contient Admins du domaine, Mes admins de gestion et Mes admins régionaux d'unité d'organisation
Mes admins de gestion (personnalisé, domaine)Administrateurs (prédéfini local)Niveau du domaineLe groupe Administrateurs contient Admins du domaine, Mes admins de gestion et Mes admins régionaux d'unité d'organisation
Mes admins régionaux d'unité d'organisation (personnalisé, unité d'organisation régionale)Administrateurs (prédéfini local)Niveau de l'unité d'organisationLe groupe Administrateurs contient Admins du domaine, Mes admins de gestion et Mes admins régionaux d'unité d'organisation

Ajout du même groupe de domaines aux groupes locaux dans les objets Stratégie de groupe

Si vous créez plusieurs stratégies Groupes restreints pour le même groupe dans plusieurs objets Stratégie de groupe, une seule stratégie sera appliquée. Les stratégies Groupes restreints pour le même groupe ne fusionnent pas dans tous les objets Stratégie de groupe. L'ordre de traitement de Stratégie de groupe détermine la stratégie appliquée. Pour plus d'informations sur la hiérarchie Stratégie de groupe et l'ordre de traitement, reportez-vous au site Web MSDN (Microsoft Developer Network) (en anglais) à l'adresse suivante :Par exemple, comme le montre le tableau ci-dessous, deux stratégies Groupes restreints sont définies pour Admins du domaine. Une stratégie est définie au niveau du domaine et ajoute Admins du domaine au groupe local Administrateurs. La deuxième stratégie est définie au niveau de l'unité d'organisation et ajoute le groupe Admins du domaine à Mes admins de division régionale. Le groupe Admins du domaine sera uniquement ajouté au groupe Mes admins de division régionale (par défaut, les objets Stratégie de groupe qui sont liés au niveau de l'unité d'organisation remplacent ceux définis au niveau du domaine).

Tableau 2 : Ajout du même groupe de domaines aux groupes locaux dans les objets Stratégie de groupe
Groupe de domaines pour lequel vous définissez une stratégie Groupes restreintsEntrée « Membre de » : groupe local sur les ordinateurs membresNiveau de l'objet Stratégie de groupe où la stratégie Groupes restreints est définieRésultat
Admins du domaine (prédéfini, domaine)Administrateurs (prédéfini local)Niveau du domaineEn raison du mode de traitement des objets Stratégie de groupe, Admins du domaine ne sera ajouté qu'au groupe Mes admins de division régionale.
Admins du domaine (prédéfini, domaine)Mes admins de division régionale (personnalisé local)Unité d'organisationEn raison du mode de traitement des objets Stratégie de groupe, Admins du domaine ne sera ajouté qu'au groupe Mes admins de division régionale.

Contrôleurs de domaine

Dans les versions antérieures de Windows, si un contrôleur de domaine traite une stratégie Groupes restreints pour laquelle rien n'est indiqué dans la section Membres, tous les membres sont purgés du groupe lorsque la stratégie est appliquée, quel que soit le paramètre défini pour Membre de. Par exemple, si vous créez une stratégie Groupes restreints au niveau du domaine pour Admins du domaine avec une section Membres vide et si vous avez inclus le groupe local Administrateurs dans Membre de, lorsque la stratégie est appliquée, tous les membres du groupe Admins du domaine sont supprimés (y compris le compte prédéfini Administrateur) et un groupe Admins du domaine vide est ajouté au groupe local Administrateurs.

Le comportement a été corrigé dans Windows 2000 SP4, Windows XP Service Pack 2 (SP2) et Windows Server 2003. Sur un ordinateur exécutant une de ces versions de Windows, si vous appliquez une stratégie Groupes restreints qui définit Membre de, mais n'indique rien pour Membres, la section Membres est ignorée et l'appartenance au groupe n'est pas vidée.

Si vous envisagez d'utiliser la fonction Groupes restreints qui est activée par cette mise à jour pour configurer des contrôleurs de domaine, des serveurs membres ou des stations de travail, vérifiez qu'ils exécutent tous Windows 2000 SP4, Windows XP SP2 ou Windows Server 2003 pour que l'appartenance au groupe de domaines ne soit pas modifiée par inadvertance.

Pour les serveurs membres et les stations de travail, le comportement de ce scénario reste inchangé.

Application de stratégies Groupes restreints « Membres » et « Membre de » à un groupe local

Il est préférable de définir une stratégie Groupes restreints qui ajoute un groupe de domaines à un groupe local et de définir une autre stratégie Groupes restreints qui limite l'appartenance de ce groupe local. Il est impossible de prédire l'appartenance au groupe finale de ce groupe local, car l'ordre de traitement des deux stratégies Groupes restreints n'est pas défini. Par exemple, comme le montre le tableau ci-dessous, si vous créez une stratégie Groupes restreints qui ajoute Admins du domaine au groupe local Administrateurs et si vous créez une stratégie Groupes restreints qui limite l'appartenance du groupe local Administrateurs au compte Administrateur prédéfini, vous ne pouvez pas prédire quelle stratégie sera appliquée. Si Admins du domaine est ajouté au groupe local Administrateurs avant que l'appartenance Administrateurs ne soit limitée, Admins du domaine sera ajouté au groupe local Administrateurs, puis supprimé. Toutefois, si l'appartenance au groupe local Administrateurs est limitée avant l'ajout d'Admins du domaine au groupe Administrateurs, Admins du domaine sera conservé dans le groupe local Administrateurs.

Tableau 3 : Ajout d'un groupe de domaines à un groupe local avec une appartenance restreinte
Groupe pour lequel vous définissez une stratégie Groupes restreintsEntrée « Membres »Entrée « Membre de »
Appartenance au groupe obtenue
Admins du domaine (prédéfini, domaine)AucuneAdministrateurs (prédéfini local)Il est impossible de prédire l'appartenance au groupe finale du groupe local Administrateurs.
Administrateurs (prédéfini local)Administrateurs (prédéfini local)AucuneIl est impossible de prédire l'appartenance au groupe finale du groupe local Administrateurs.
Pour obtenir l'appartenance voulue, utilisez la stratégie Groupes restreints Membres ou Membre de de façon exclusive. Dans l'exemple du Tableau 3, pour obtenir l'appartenance au groupe Administrateurs voulue, ajoutez Admins du domaine à l'entrée Membres de la stratégie Groupes restreints du groupe local Administrateurs.

Windows 2000

Informations sur les Service Packs

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows 2000. Pour plus d'informations, cliquez sur le numéro suivant pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000

Informations sur le correctif

Une fonction prise en charge qui modifie le comportement par défaut du produit est désormais disponible auprès de Microsoft, mais elle est uniquement destinée à modifier le comportement décrit dans cet article. Elle ne doit être appliquée qu'aux systèmes en ayant un besoin spécifique. Cette fonction peut être soumise à des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine version du Service Pack Windows 2000 qui contiendra cette fonction.

Pour obtenir cette fonction immédiatement, contactez les services de Support technique Microsoft. Pour obtenir la liste complète des numéros de téléphone des services de Support technique Microsoft et des informations sur les frais engendrés, reportez-vous au site Web de Microsoft à l'adresse suivante :
La version anglaise de ce correctif logiciel possède les attributs de fichier indiqués dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.

Date Heure Version Taille Nom de fichier
-------------------------------------------------------------
07/11/2002 22:33 5.0.2195.6109 124 688 Adsldp.dll
07/11/2002 22:33 5.0.2195.5781 131 344 Adsldpc.dll
07/11/2002 22:33 5.0.2195.6109 62 736 Adsmsext.dll
07/11/2002 22:33 5.0.2195.6052 358 160 Advapi32.dll
07/11/2002 22:33 5.0.2195.6094 49 936 Browser.dll
07/11/2002 22:33 5.0.2195.6012 135 952 Dnsapi.dll
07/11/2002 22:33 5.0.2195.6076 96 016 Dnsrslvr.dll
15/11/2001 23:27 5 149 Empty.cat
07/11/2002 22:33 5.0.2195.5722 45 328 Eventlog.dll
07/11/2002 22:33 5.0.2195.6059 146 704 Kdcsvc.dll
01/11/2002 18:52 5.0.2195.6112 204 048 Kerberos.dll
21/08/2002 16:27 5.0.2195.6023 71 248 Ksecdd.sys
07/11/2002 02:02 5.0.2195.6118 507 664 Lsasrv.dll
07/11/2002 02:02 5.0.2195.6118 33 552 Lsass.exe
27/11/2002 22:53 5.0.2195.6034 108 816 Msv1_0.dll
07/11/2002 22:33 5.0.2195.4594 307 472 Netapi32.dll
07/11/2002 22:33 5.0.2195.6075 360 720 Netlogon.dll
07/11/2002 22:33 5.0.2195.6100 920 848 Ntdsa.dll
07/11/2002 22:33 5.0.2195.6100 389 392 Samsrv.dll
07/11/2002 22:33 5.0.2195.6120 130 320 Scecli.dll
07/11/2002 22:33 5.0.2195.6120 303 888 Scesrv.dll
07/11/2002 01:56 5.0.2195.6118 139 264 Sp3res.dll
07/11/2002 00:05 5.3.9.0 4 096 Spmsg.dll
07/11/2002 00:06 5.3.9.0 87 040 Spuninst.exe
07/11/2002 22:33 5.0.2195.5859 48 912 W32time.dll
04/06/2002 21:32 5.0.2195.5859 57 104 W32tm.exe
07/11/2002 22:33 5.0.2195.6100 126 224 Wldap32.dll
07/11/2002 02:02 5.0.2195.6118 507 664 Lsasrv.dll -- 56 bits
Pour plus d'informations sur la façon d'obtenir un correctif pour Windows 2000 Datacenter Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
265173 Le programme Datacenter et Windows 2000 Datacenter Server

Pour plus d'informations sur la façon d'installer plusieurs mises à jour ou correctifs Windows en ne redémarrant qu'une seule fois l'ordinateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
296861 Comment faire pour installer plusieurs mises à jour ou correctifs Microsoft Windows en un seul redémarrage