Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Procédure de rétablissement des droits de l'utilisateur dans l'objet Stratégie de groupe des contrôleurs de domaine par défaut

Résumé
L'objet Stratégie de groupe (GPO) des contrôleurs de domaine contient de nombreux paramètres utilisateurs par défaut. Dans certains cas, la modification des paramètres par défaut est susceptible de produire des effets indésirables. Elle peut se traduire par une situation présentant des restrictions inattendues sur les droits de l'utilisateur. Si les modifications sont survenues de manière intempestive ou si elles n'ont pas été enregistrées de sorte qu'on ne sait pas quels ont été les changements apportés, il peut s'avérer nécessaire de rétablir la valeur par défaut de ces paramètres des droits de l'utilisateur.

Cette nécessité apparaît aussi parfois si le contenu du dossier Sysvol a été reconstruit manuellement ou a été restauré à partir d'une sauvegarde en utilisant les procédures de l'article suivant de la Base de connaissances Microsoft :
253268 Message d'erreur relatif à une stratégie de groupe dépourvue du contenu Sysvol approprié
Plus d'informations
Le rétablissement des droits de l'utilisateur pour le GPO (objet Stratégie de groupe) s'effectue obligatoirement en trois étapes :
  1. Édition du fichier GptTmpl.inf.
  2. Incrémentation de la version de la stratégie de groupe (cette modification est effectuée dans le fichier Gpt.ini).
  3. Application de la nouvelle stratégie de groupe.
REMARQUE : Procédez avec prudence et attention. Une mauvaise configuration du modèle GPO risque de rendre vos contrôleurs de domaine inopérationnels.
  1. Édition du fichier GptTmpl.inf. Les paramètres des droits de l'utilisateur peuvent être rétablis à leur valeur par défaut en modifiant le fichier GptTmpl.inf. Ce fichier se trouve dans le dossier Stratégie de groupe sous le dossier :
    cheminsysvol\sysvol\nomdedomaine\Stratégies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    REMARQUE : Le chemin par défaut du dossier Sysvol est %Racinesystème%\Sysvol

    Pour complètement rétablir les droits de l'utilisateur à leur valeur par défaut, remplacez les informations présentes dans le fichier GptTmpl.inf par les données par défaut relatives aux droits de l'utilisateur suivantes. Vous pouvez copier ci-dessous la partie appropriée et la coller dans votre fichier GptTmpl.inf.

    Veuillez noter les paramètres des autorisations pour chaque modèle. Vous devez utiliser le modèle correct pour votre installation en fonction des paramètres des droits de l'utilisateur souhaités.

    REMARQUE : Microsoft recommande vivement d'effectuer une sauvegarde du fichier GptTmpl.inf avant d'y apporter ces changements.

    Autorisations compatibles avec des utilisateurs Pre-Windows 2000

       [Unicode]   Unicode=yes   [Event audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    REMARQUE : si Internet Information Services est installé, vous devez annexer les comptes d'utilisateur suivants à la liste de ceux déjà associés à ces droits :
       SeBatchLogonRight = IWAM_%nomserveur%,IUSR_%nomserveur%   SeInteractiveLogonRight = IUSR_%nomserveur%   SeNetworkLogonRight = IWAM_%nomserveur%,IUSR_%nomserveur%					
    où la variable %nomserveur% est un paramètre substituable, et vous devez le modifier de sorte qu'il reflète les paramètres de l'ordinateur.

    En voici un exemple :
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    REMARQUE : si Terminal Services est installé, vous devez annexer le compte d'utilisateur suivant à la liste de ceux déjà associés à ce droit :
       SeInteractiveLogonRight = TsInternetUser					
    En voici un exemple :
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    - ou encore -
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    Autorisations compatibles uniquement avec des utilisateurs de Windows 2000

       [Unicode]   Unicode=yes    [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    REMARQUE : si Internet Information Services est installé, vous devez ajouter les droits d'utilisateur suivants. La variable nomserveur est un paramètre substituable, que vous devez modifier de sorte qu'elle reflète les paramètres de l'ordinateur :
       SeBatchLogonRight = IWAM_nomserveur,IUSR_nomserveur   SeInteractiveLogonRight = IUSR_nomserveur   SeNetworkLogonRight = IUSR_nomserveur					
    Enregistrez et fermez le nouveau fichier GptTmpl.inf.


  2. Incrémentation de la version de la stratégie de groupe. Vous devez attribuer un numéro supérieur à la version de la stratégie de groupe afin d'avoir la garantie que les modifications de stratégie sont retenues. Le fichier Gpt.ini contrôle les numéros des versions des modèles de stratégie de groupe.
    1. Ouvrez le fichier Gpt.ini à partir de l'emplacement suivant :
      cheminsysvol\sysvol\nomdedomaine\Stratégies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Augmentez le numéro de la version en lui donnant un numéro suffisamment grand pour garantir que la réplication normale ne transforme pas le nouveau numéro de version en numéro périmé avant que la stratégie puisse être rétablie. Il est préférable d'incrémenter le numéro en ajoutant le chiffre « 0 » à la fin du numéro de version ou le numéro « 1 » au début du numéro de version.
    3. Enregistrez et fermez le fichier Gpt.ini.
  3. Appliquez la nouvelle stratégie de groupe. Utilisez Secedit pour actualiser manuellement la stratégie de groupe. Pour ce faire, tapez la ligne suivante à l'invite de commande :
    secedit /refreshpolicy machine_policy /enforce
    Dans l'Observateur d'événements, recherchez le numéro d'événement « 1704 » dans le journal Applications pour vérifier si la diffusion de la stratégie s'est effectuée correctement. Pour plus d'informations, sur l'actualisation de la stratégie de groupe, cliquez sur le numéro d'article ci-dessous pour afficher le document correspondant de la Base de connaissances Microsoft :
    227448 Utilisation de Secedit.exe pour forcer la ré-application de la stratégie de groupe
Propriétés

ID d'article : 267553 - Dernière mise à jour : 01/15/2004 09:51:00 - Révision : 2.1

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbhowto kbgpo KB267553
Commentaires