Comment faire pour désactiver le fait qu’un serveur de catalogue global doit être disponible pour valider les ouvertures de session utilisateur

Résumé

Placement de serveurs de catalogue Global dans des sites distants est généralement souhaité pour améliorer les performances dans les temps d’ouverture de session utilisateur, les recherches et les autres actions nécessitant des communications avec les serveurs de catalogue Global et de réduire le trafic du réseau (étendu WAN) étendu. Toutefois, pour réduire l’intervention de l’administrateur, configuration matérielle requise et d’autres des frais de gestion, dans certaines situations, que vous souhaiterez peut-être pas localiser un serveur de catalogue Global sur un site distant. Pour l’essentiel, vous dupliquez les fonctions du contrôleur de domaine de sauvegarde (BDC) dans l’environnement Microsoft Windows NT 4.0. Cela est particulièrement important dans les environnements qui présentent un grand nombre de sites, qui pourrait rencontrer matériel une augmentation substantielle des coûts lorsque la taille des sites ne justifie pas ce matériel et administration. Le problème comme indiqué précédemment dans cet article, est que les ouvertures de session nécessitent le contrôleur de domaine authentifiant l’utilisateur de contacter un serveur de catalogue Global pour déterminer si l’utilisateur est membre d’un groupe universel. Par conséquent, si le Bureau à distance ne dispose pas d’un serveur de catalogue Global et un serveur de catalogue Global ne peut pas être contacté (pour diverses raisons) demande d’ouverture de session de l’utilisateur peuvent ne pas fonctionne (selon les règles indiquées plus haut).


Windows 2003 offre une alternative au paramètre ci-dessous appelée mise en cache du groupe universel. Lorsque cette option est activée pour un site, les utilisateurs qui ouvrent une session sur un serveur de catalogue Global est en ligne peuvent continuer à le faire si le serveur de catalogue Global est en mode hors connexion à l’ouverture de session suivante.

Pour plus d’informations sur la mise en cache de groupe universel, lisez la section processus de catalogue Global et les Interactions sur le site Web de Microsoft à l’adresse suivante :

Plus d'informations

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Pour éliminer le besoin d’un serveur de catalogue Global à un site et éviter les potentiels de refus de demandes d’ouverture de session de l’utilisateur, utilisez les étapes suivantes pour activer les ouvertures de session lorsqu’un serveur de catalogue Global n’est pas disponible.

Pour Windows 2000

  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Recherchez, puis cliquez sur la clé suivante dans le Registre :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Dans le menu Edition , cliquez sur Ajouter une cléet ajoutez la clé de Registre suivante :

    Nom de la clé : IgnoreGCFailures
    Remarque : Windows 2000 fournit cette clé à des fins de Diagnostics. Il n’y a aucune valeur spécifique à spécifier pour cette clé. Seule la présence ou l’absence de cette clé est testé.
  4. Quittez l’Éditeur du Registre.
  5. Redémarrez le contrôleur de domaine.

Pour Windows 2003

  1. Démarrez l'Éditeur du Registre (Regedit.exe).
  2. Recherchez, puis cliquez sur la clé suivante dans le Registre :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Dans le menu Edition , cliquez sur Nouveauet cliquez sur Valeur DWORD, puis ajoutez la clé de Registre suivante :

    Nom de la clé : IgnoreGCFailures
    Valeur : 1
  4. Quittez l’Éditeur du Registre.
  5. Redémarrez le contrôleur de domaine.
Ce paramètre doit être défini sur le contrôleur de domaine qui effectue l’authentification initiale de l’utilisateur.

Remarque Ce paramètre entraîne des failles de sécurité potentielles si les groupes universels sont également utilisés.


Important Si ce paramètre est activé, les groupes universels ne doivent pas utilisés parce que si un utilisateur est membre d’un groupe universel et le groupe est refusé l’accès à une ressource, la clé s’éteint après l’énumération des groupes universels afin que le SID de groupe universel n’est pas ajouté au jeton de l’utilisateur et l’utilisateur peut avoir accès à la ressource.
Propriétés

ID d'article : 241789 - Dernière mise à jour : 9 janv. 2017 - Révision : 1

Commentaires