L’onglet autorisations « effectives » peut signaler des autorisations incorrectes dans Windows Server 2003

Description du problème

Lorsque vous utilisez l’onglet Autorisations effectives pour déterminer les autorisations dont dispose un utilisateur pour une certaine ressource du domaine sur un ordinateur Windows Server 2003, les résultats sont affichés dans l’interface utilisateur sont incompatibles avec les autorisations réelles de l’utilisateur pour cette ressource. En particulier, les cases à cocher pour permettre aux certaines autorisations peuvent apparaître non contrôlés. Ou bien, les cases à cocher pour des autorisations Refuser peut apparaître activés.

Ce problème se produit lorsqu’une des conditions suivantes est remplie :
  • Vous pouvez exécuter les outils d’administration à distance à partir du serveur de la ressource.
  • Le compte d’utilisateur que vous utilisez pour exécuter les outils d’administration n’est pas dans le même domaine que la ressource.
Par exemple, considérez le scénario suivant :
  • Vous avez un groupe global du domaine A.
  • Vous avez un groupe local de domaine dans domaine B.
  • Une ressource se trouve dans domaine B.
  • Le groupe local dispose d’un accès complet à la ressource. Cet accès inclut des autorisations de suppression.
  • Le groupe global est membre du groupe local. Toutefois, le groupe global n’a pas d’accès direct à la ressource.
  • Vous permet d’afficher les autorisations sur les ressources d’un utilisateur dans le groupe global à l’aide d’un compte d’utilisateur d’administration du domaine A. Vous prenez cette action à distance depuis un ordinateur qui a joint a de domaine.
Dans ce scénario, vous voyez que l’utilisateur ne dispose pas des autorisations de suppression de la ressource. Toutefois, l’utilisateur réellement dispose des autorisations de suppression de la ressource.

Si vous exécutez les outils d’administration Active Directory sur un membre d’un domaine et que vous vous connectez les outils d’administration à un contrôleur de domaine dans un autre domaine, vous pouvez également voir les résultats incorrectes autorisations effectives.

Remarque Étant donné que les résultats de différentes autorisations effectives sont affichés lorsque les objets sont accessibles via un serveur de catalogue global qui est en cours d’exécution dans un autre domaine, Microsoft déconseille la sécurisation des objets dans Active Directory à l’aide de groupes de domaine local.

Cause

La boîte de dialogue Propriétés utilise le moteur Runtime du Gestionnaire d’autorisations (le fichier AuthZ.dll). Ce moteur utilise un Kerberos Service pour transaction utilisateur (Kerberos S4U) pour obtenir un jeton de l’utilisateur. Toutefois, ce jeton n’est pas relatif au serveur de ressources. Ce jeton est plutôt par rapport à la station d’administration ou à l’utilisateur qui exécute l’outil de gestion. Par conséquent, un des scénarios suivants se produit :
  • Si la ressource est dans un autre domaine de la station d’administration ou à l’utilisateur d’administration, le jeton n’inclut pas de groupes locaux de domaine de l’ordinateur qui héberge la ressource.
  • Si la ressource possède des autorisations qui sont attribuées à des groupes prédéfinis, les groupes intégrés sont confondus avec les groupes de domaine.
Dans les deux cas, des résultats incorrects autorisations effectives sont affichés.

Résolution

Pour éviter ce problème, assurez-vous que vous effectuez les actions suivantes lorsque vous vérifiez les autorisations effectives d’un utilisateur d’une ressource :
  • Vérifiez toujours les autorisations effectives localement sur un ordinateur qui héberge la ressource.
  • Si votre configuration active Kerberos S4U, veillez à ce que l’utilisateur d’administration et les ressources sont dans le même domaine.
  • Si vous vérifiez les autorisations effectives sur un objet Active Directory, vous devez exécuter les outils d’administration sur un contrôleur de domaine qui possède une copie complète de l’objet sur un serveur de catalogue global.
  • Si vous vérifiez les autorisations effectives pour une ressource en cluster, vous pouvez exécuter les outils d’administration à partir de n’importe quel nœud du cluster.
En outre, le correctif logiciel qui est décrit plus loin dans cette section présente une entrée de Registre UseGroupRecursion qui vous permet de forcer la méthode de la récurrence du groupe.

Pour utiliser le correctif logiciel

Vous devez appliquer ce correctif sur l’ordinateur sur lequel vous souhaitez exécuter les outils d’administration.

Afin que nous puissions définir l’entrée de Registre UseGroupRecursion pour vous, consultez la section «Aidez-moi». Si vous préférez définir l’entrée de Registre UseGroupRecursion vous-même, consultez la section «Je résous le problème moi-même».

Aidez-moi

Pour définir l’entrée de Registre UseGroupRecursion automatiquement, cliquez sur le lien résoudre ce problème . Cliquez sur exécuter dans la boîte de dialogue Téléchargement de fichier , puis suivez les étapes de l’Assistant.





Remarque cet Assistant peut exister en anglais uniquement. Toutefois, la résolution automatique fonctionne aussi pour d'autres versions linguistiques de Windows.

Remarque Si vous n'êtes pas sur l'ordinateur qui rencontre le problème, vous pouvez enregistrer la résolution automatique sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur qui rencontre le problème.

Maintenant, ouvrez le «le problème est-il résolu? » section.

Je résous le problème moi-même


Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows
Pour utiliser l’entrée de Registre UseGroupRecursion, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis appuyez sur ENTRÉE.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authz
  3. Dans le menu Edition , pointez sur
    De Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez UseGroupRecursionet appuyez sur ENTRÉE.
  5. Cliquez sur UseGroupRecursion, puis cliquez sur Modifier.
  6. Dans la zone données de la valeur , tapez
    1, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre.
Remarque Par défaut, lorsque la valeur dans la zone données de la valeur est définie sur 0, le moteur Runtime du Gestionnaire d’autorisations utilise la méthode Kerberos. Lorsque cette valeur est définie sur 1, le moteur Runtime du Gestionnaire d’autorisations utilise la méthode récursive.

Maintenant, ouvrez le «le problème est-il résolu? » section.

Le problème est-il résolu ?

Une fois l’entrée de Registre vous permet de modifier la méthode de la récursivité de groupe, vous devez effectuer les actions suivantes :
  • Vérifiez toujours les autorisations effectives localement sur un ordinateur qui héberge la ressource.
  • Assurez-vous que l’utilisateur d’administration dispose d’un accès en lecture au compte d’utilisateur pour lequel vous voulez vérifier les autorisations effectives.
Remarque L’utilisateur d’administration et les ressources n’ont pas à être dans le même domaine.

Vérifiez si le problème est résolu. Si le problème est résolu, vous avez terminé avec cet article. Si le problème n’est pas résolu, vous pouvez contacter le support technique.

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

Conditions préalables

Vous devez disposer de Windows Server 2003 Service Pack 1 ou Windows Server 2003 Service Pack 2 installé pour appliquer ce correctif.
Pour plus d’informations sur les service packs Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

889100 comment faire pour obtenir le dernier service pack pour Windows Server 2003

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.
Windows Server 2003 avec Service Pack 1, versions basées sur les x86
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Authz.dll5.2.3790.322072,19201-Oct-200814:54x86
Windows Server 2003 avec Service Pack 2, versions basées sur les x86
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Authz.dll5.2.3790.438371,68001-Oct-200815:08x86
Windows Server 2003 avec Service Pack 1, versions de basés sur Itanium
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateformeSP requisDossier
Authz.dll5.2.3790.3220237,56801-Oct-200812:51IA-64SP1Ne s'applique pas
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 avec Service Pack 2, versions de basés sur Itanium
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateformeSP requisDossier
Authz.dll5.2.3790.4383237,56801-Oct-200812:55IA-64SP2Ne s'applique pas
Wauthz.dll5.2.3790.438371,68001-Oct-200812:55x86SP2WOW
Windows Server 2003 avec Service Pack 1, versions basées sur les x64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateformeSP requisDossier
Authz.dll5.2.3790.3220175,61601-Oct-200812:51x64SP1Ne s'applique pas
Wauthz.dll5.2.3790.322072,19201-Oct-200812:51x86SP1WOW
Windows Server 2003 avec Service Pack 2, versions basées sur les x64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateformeSP requisDossier
Authz.dll5.2.3790.4383175,61601-Oct-200812:59x64SP2Ne s'applique pas
Wauthz.dll5.2.3790.438371,68001-Oct-200812:59x86SP2WOW

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft
Pour un autre symptôme spécifique de ce problème, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
884049 des listes de contrôle d’accès peuvent signaler des informations incorrectes dans Windows Server 2003

Propriétés

ID d'article : 933071 - Dernière mise à jour : 17 janv. 2017 - Révision : 1

Commentaires