Le service Terminal Server peut ne pas démarrer sur un serveur qui exécute Windows Server 2008

Symptômes

Sur un serveur qui exécute Windows Server 2008, le service Terminal Server est susceptible de ne pas démarrer.

Ce problème se produit généralement après la mise à niveau d'une ancienne version du système d'exploitation Windows vers Windows Server 2008. Par exemple, ce problème peut se produire après une mise à niveau de Windows Server 2003 vers Windows Server 2008.

Lorsque ce problème se produit, des événements semblables aux suivants sont consignés dans le journal système :

Cause

Ce problème se produit parce que les droits utilisateur suivants ne sont pas accordés au compte SERVICE RÉSEAU :
  • Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege) ;
  • Générer des audits de sécurité (SeAuditPrivilege) ;
  • Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege).
Remarque Tout service qui est configuré pour démarrer à l'aide du compte SERVICE RÉSEAU peut rencontrer des problèmes semblables.

Résolution

Pour résoudre ce problème, accordez au compte SERVICE RÉSEAU les droits utilisateur décrits à la section « Cause ».

Remarque Vous pouvez utiliser le composant logiciel enfichable MMC (Microsoft Management Console) Secpol.msc pour afficher les droits utilisateur qui sont en vigueur sur l'ordinateur local.

Si le serveur n'est pas un contrôleur de domaine, utilisez la Méthode 1 ou la Méthode 2. Dans le cas contraire, utilisez la Méthode 3 ou la Méthode 4.

Méthode 1 : octroi des droits utilisateur dans les paramètres de stratégie de sécurité locale

Pour effectuer cette opération, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez Secpol.msc, puis cliquez sur OK.
  2. Dans la console Stratégie de sécurité locale, développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
  3. Double-cliquez sur le droit utilisateur Ajuster les quotas de mémoire pour un processus.
  4. Dans la boîte de dialogue Propriétés, cliquez sur Ajouter un utilisateur ou un groupe.
  5. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez SERVICE RÉSEAU sous Entrez les noms des objets à sélectionner, puis cliquez sur OK.
  6. Dans la boîte de dialogue Propriétés, cliquez sur OK.
  7. Répétez les étapes 3 à 6 pour le droit utilisateur Générer des audits de sécurité et pour le droit utilisateur Remplacer un jeton au niveau du processus.
  8. Cliquez sur Démarrer, sur Exécuter, tapez Gpupdate, puis cliquez sur OK.

Méthode 2 : octroi des droits utilisateur dans un objet de stratégie de groupe (GPO) qui est appliqué aux serveurs membres

Pour effectuer cette opération, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez Gpmc.msc, puis cliquez sur OK.
  2. Dans la console Gestion de stratégie de groupe, développez Forêt : nom_domaine, Domaines, nom_domaine, Objets de stratégie de groupe, cliquez avec le bouton droit sur l'objet GPO qui est appliqué aux serveurs membres, puis cliquez sur Modifier.
  3. Dans la console Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
  4. Double-cliquez sur le droit utilisateur Ajuster les quotas de mémoire pour un processus.
  5. Dans la boîte de dialogue Propriétés, cliquez sur Ajouter un utilisateur ou un groupe.
  6. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, tapez SERVICE RÉSEAU sous Noms d'utilisateurs et de groupes, puis cliquez sur OK.
  7. Dans la boîte de dialogue Propriétés, cliquez sur OK.
  8. Répétez les étapes 4 à 7 pour ajouter le compte SERVICE RÉSEAU pour le droit utilisateur Générer des audits de sécurité et le droit utilisateur Remplacer un jeton au niveau du processus.
  9. Cliquez sur Démarrer, sur Exécuter, tapez Gpupdate, puis cliquez sur OK.

Méthode 3 : octroi des droits utilisateur dans les paramètres de stratégie de groupe

Pour effectuer cette opération, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez Gpmc.msc, puis cliquez sur OK.
  2. Dans la console Gestion de stratégie de groupe, développez Forêt : nom_domaine, Domaines, nom_domaine, Objets de stratégie de groupe, cliquez avec le bouton droit sur Stratégie Contrôleurs de domaine par défaut, puis cliquez sur Modifier.
  3. Dans la console Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
  4. Double-cliquez sur le droit utilisateur Ajuster les quotas de mémoire pour un processus.
  5. Dans la boîte de dialogue Propriétés, cliquez sur Ajouter un utilisateur ou un groupe.
  6. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, tapez SERVICE RÉSEAU sous Noms d'utilisateurs et de groupes, puis cliquez sur OK.
  7. Dans la boîte de dialogue Propriétés, cliquez sur OK.
  8. Répétez les étapes 4 à 7 pour ajouter le compte SERVICE RÉSEAU pour le droit utilisateur Générer des audits de sécurité et le droit utilisateur Remplacer un jeton au niveau du processus.
  9. Cliquez sur Démarrer, sur Exécuter, tapez Gpupdate, puis cliquez sur OK.

Méthode 4 : mise à jour du fichier GptTmpl.inf

Pour effectuer cette opération, procédez comme suit :
  1. Dans un éditeur de texte tel que le Bloc-notes, ouvrez le fichier GptTmpl.inf.

    Remarque Ce fichier se trouve dans le dossier suivant :
    %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
  2. Mettez à jour les droits utilisateur dans le paramètre par défaut suivant :
    SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
    SeAuditPrivilege = *S-1-5-19,*S-1-5-20
    SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
  3. Cliquez sur Démarrer, sur Exécuter, tapez Gpupdate, puis cliquez sur OK.

Statut

Ce comportement est inhérent au produit.

Plus d'informations

Par défaut, dans Windows 2000 Server et dans Windows Server 2003, le service Terminal Server démarre à l'aide du compte Système local. Dans Windows 2008 Server, le service Terminal Server démarre à l'aide du compte SERVICE RÉSEAU pour une meilleure sécurité. Si vous n'accordez pas au compte SERVICE RÉSEAU les droits utilisateur décrits à la section « Cause », le service Terminal Server ne peut pas démarrer.

Si vous supprimez ces droits utilisateur du compte SERVICE RÉSEAU dans la stratégie des contrôleurs de domaine par défaut, le service Terminal Server ne peut pas démarrer sur les contrôleurs de domaine qui exécutent Windows Server 2008. Toutefois, le service Terminal Server peut démarrer sur les contrôleurs de domaine qui exécutent Windows 2000 Server ou Windows Server 2003.

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants de la Base de connaissances Microsoft.

245207 Comment faire pour déterminer des noms et des significations NTRIGHTS

243330 Identificateurs de sécurité connus dans les systèmes d'exploitation Windows

Propriétés

ID d'article : 946399 - Dernière mise à jour : 19 févr. 2008 - Révision : 1

Commentaires