Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Votre navigateur n’est pas pris en charge

Vous devez mettre à jour votre navigateur pour utiliser le site.

Mettre à jour vers la dernière version d’Internet Explorer

Comment faire pour modifier les autorisations par défaut sur les objets stratégie de groupe dans Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000 Server

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 321476
Résumé
Voulez-vous renforcer la sécurité sur les objets de stratégie de groupe (GPO) afin d'empêcher tout, mais un groupe d'administrateurs de modifier la stratégie de groupe approuvé. Vous pouvez le faire en modifiant l'attribut le DefaultSecurityDescriptor sur l'objet classScema du conteneur stratégie de groupe. Toutefois, la modification affecte uniquement les objets stratégie de groupe qui vient d'être créé. Pour les objets de stratégie de groupe existants, vous pouvez modifier les autorisations directement sur le conteneur stratégie de groupe (CN = {GPO_GUID}, CN = System, DC = domain...) et le modèle de stratégie de groupe (\\domain\SYSVOL\Policies\{GPO_GUID)}. Cette procédure peut également empêcher des modèles d'administration (fichiers ADM) dans les modèles de stratégie de groupe par inadvertance mise à jour par les fichiers ADM sur des stations de travail non managées.
Plus d'informations
Lors de la création d'un nouvel objet Active Directory, les autorisations qui sont spécifiées dans l'attribut le DefaultSecurityDescriptor de son objet classSchema dans le schéma sont appliquées à celui-ci. Pour cette raison, lorsqu'un GPO est créé, son objet groupPolicyContainer reçoit sa liste ACL à partir de l'attribut DefaultSecurityDescriptor dans l'objet CN=Group-Policy-Container,CN=Schema,CN=Configuration,DC=forestroot.... L'éditeur de stratégie de groupe s'applique également ces autorisations pour le dossier, les sous-dossiers et les fichiers de modèle de stratégie de groupe (SYSVOL\Policies\ {GPO_GUID}).

Vous pouvez utiliser la procédure suivante pour modifier l'attribut le DefaultSecurityDescriptor pour l'objet classSchema conteneur stratégie de groupe. Notez que dans la mesure où il s'agit d'un changement de schéma, elle commence une réplication complète pour tous les catalogues globaux dans la forêt. Autorisations de schéma sont écrits en utilisant le descripteur de définition du langage SDDL (Security). Pour plus d'informations sur SDDL, visitez le site Web de Microsoft à l'adresse suivante :Pour modifier l'attribut le DefaultSecurityDescriptor pour l'objet classSchema conteneur stratégie de groupe :
  1. Ouvrez une session sur le contrôleur de domaine maître du schéma forêt avec un compte qui est membre du groupe Administrateurs du schéma.
  2. Démarrez Mmc.exe et ajoutez le composant logiciel enfichable Schéma.
  3. Cliquez droit sur Schéma Active Directory, puis cliquez sur maître d'opérations.
  4. Cliquez sur le schéma peut être modifié sur ce contrôleur de domaine, puis cliquez sur OK.
  5. Utilisez l'éditeur ADSI pour ouvrir le contexte de nommage de schéma, puis recherchez l'objet CN=Group-Policy-Container avec le type classSchema.
  6. Afficher les propriétés de l'objet et recherchez l'attribut le defaultSecurityDescriptor .
  7. Coller la chaîne suivante dans la valeur pour supprimer des autorisations d'écriture pour les administrateurs de domaine afin que seuls les administrateurs d'entreprise possède des droits d'écriture :
    D:P(A;CI ;RPLCLOLORC ;; DA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;EA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;CO)(A;CI ;RPWPCCDCLCLORCWOWDSDDTSW ; ;SY) (A ;CI ;RPLCLORC ; ;AU) (OA ;CI ;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ;AU)
    Pour accorder des autorisations en écriture un groupe supplémentaire, ajouter le texte suivant à la fin du texte précédent :
    (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;Group_SID)
    Notez que Group_SID est le SID du groupe auquel vous accordez des autorisations.

    Remarque Pour Windows Server 2003, collez la chaîne suivante dans l'attribut le defaultSecurityDescriptor :
    D:P(A;CI ;RPLCLOLORC ;; DA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;EA) (A ;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW ; ;CO)(A;CI ;RPWPCCDCLCLORCWOWDSDDTSW ; ;SY) (A ;CI ;RPLCLORC ; ;AU) (OA ;CI ;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ;AU) (A ;CI ;LCRPLORC ; ;ED)


    Remarque Modification de l'attributle defaultSecurityDescriptor ne modifie pas les descripteurs de sécurité pour les objets de stratégie de groupe existants. Vous pouvez, toutefois, utiliser la chaîne complète ci-dessus pour remplacer l'ACL sur les objets stratégie de groupe existant en conjonction avec un outil tel que sdutil.exe.
  8. Coller la nouvelle chaîne dans la zone Modifier l'attribut et cliquez sur définir, cliquez sur Appliquer, puis cliquez sur OK.
Remarque Si vous voulez restreindre l'accès aux administrateurs du domaine ou administrateurs de l'entreprise, vous devez placer un refus dans les autorisations de schéma par défaut de l'objet Grouppolicycontainer. Ces groupes ajoutera une ACL plus à l'objet de stratégie de groupe lors de sa création. Pour les administrateurs de domaine, vous devez ajouter des administrateurs de domaine et d'entreprise aux administrateurs Ajouter administrateur. L'ajout d'un refus est la seule façon restirict ces groupes.

Support technique pour les versions x 64 de Microsoft Windows

Le fabricant de votre matériel fournit un support technique et l'assistance pour les versions x 64 de Windows. Le fabricant de votre matériel prend en charge, car une version x 64 de Windows était fournie avec votre matériel. Le fabricant de votre matériel peut avoir personnalisé l'installation de Windows avec des composants uniques. Composants uniques peuvent inclure des pilotes de périphériques spécifiques ou des paramètres facultatifs afin d'optimiser les performances du matériel. Microsoft fournira une assistance raisonnable si vous avez besoin d'aide technique avec votre version x 64 de Windows. Toutefois, vous devrez peut-être contacter directement votre fabricant. Le fabricant est le mieux qualifié pour prendre en charge les logiciels qu'il a installés sur le matériel.

Pour des informations produit sur Microsoft Windows XP Professionnel Édition x 64, visitez le site Web de Microsoft à l'adresse suivante : Pour plus d'informations sur les versions x 64 de Microsoft Windows Server 2003, visitez le site Web de Microsoft à l'adresse suivante :
Winx64 Windowsx64 64 bits 64-bi

Avertissement : cet article a été traduit automatiquement

Propriétés

ID d'article : 321476 - Dernière mise à jour : 01/18/2015 21:45:00 - Révision : 2.0

  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
  • kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtfr
Commentaires
//c1.microsoft.com/c.gif?DI=4050&did=1&t=">='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >ow.location.protocol) + "//c.microsoft.com/ms.js'><\/script>"); t=">