Mises à jour du comportement de Groupes restreints (« Membre de ») des groupes locaux définis par l'utilisateur

Le support de Windows XP a pris fin

Microsoft a mis fin au support de Windows XP le 8 avril 2014. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

Résumé
Dans les versions de Microsoft Windows antérieures à Microsoft Windows 2000 Service Pack 4 (SP4), le paramètre de sécurité Membre de de Groupes restreints dans la stratégie de groupe ne peut pas être utilisé pour ajouter des groupes de domaines aux groupes locaux sur des ordinateurs membres. Le comportement de Groupes restreints a fait l'objet d'une mise à jour dans Windows 2000 SP4 et dans la famille Microsoft Windows Server 2003. Microsoft Windows XP Service Pack 1 (SP1) nécessite un correctif pour mettre à jour le comportement de Groupes restreints. Cet article décrit les modifications apportées à la fonction.
Plus d'informations
La fonction Membre de de Groupes restreints permet à présent d'ajouter des groupes de domaines aux groupes locaux. Pour plus d'informations sur la fonction Groupes restreints, notamment pour consulter des descriptions de Membres et Membre de, reportez-vous à la section « Groupes restreints » dans la documentation de Windows Server.

Windows XP

Informations sur les Service Packs

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows XP. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322389 Comment faire pour obtenir le dernier Service Pack Windows XP

Informations sur le correctif

Une fonction prise en charge qui modifie le comportement par défaut du produit est désormais disponible auprès de Microsoft, mais elle est uniquement destinée à modifier le comportement décrit dans cet article. Elle ne doit être appliquée qu'aux systèmes en ayant un besoin spécifique. Cette fonction peut être soumise à des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine version du Service Pack Windows XP qui contiendra cette fonction.

Pour obtenir cette fonction immédiatement, contactez les services de Support technique Microsoft. Pour obtenir la liste complète des numéros de téléphone des services de Support technique Microsoft et des informations sur les frais engendrés, reportez-vous au site Web de Microsoft à l'adresse suivante : La version anglaise de cette fonction dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.
   Date        Heure    Version      Taille   Nom de fichier   Plateforme   ------------------------------------------------------------------------   31/01/2003  02:53  5.1.2600.1163  849 408  Scesrv.dll       IA64   31/01/2003  02:53  5.1.2600.1163  307 712  Scesrv.dll       i386

Ajout de groupes de domaines aux groupes locaux

Une fois que vous avez vérifié que la fonction est installée sur tous les ordinateurs qui en ont besoin, vous pouvez utiliser le paramètre Membre de de Groupes restreints pour ajouter un groupe de domaines à un groupe local (prédéfini ou personnalisé). Vous pouvez définir des stratégies Membre de pour des groupes distincts dans plusieurs objets Stratégie de groupe qui sont liés à un site, un domaine ou une unité d'organisation quelconque. Toutes les stratégies sont appliquées. Par exemple, comme le montre le tableau ci-dessous, vous pouvez créer une stratégie qui ajoute Admins du domaine au groupe local Administrateurs et vous pouvez ajouter une stratégie qui ajoute le groupe Mes admins de gestion au groupe local Administrateurs. Ce groupe est lié à un objet Stratégie de groupe au niveau du domaine. Vous pouvez également créer une stratégie qui ajoute le groupe Mes admins régionaux d'unité d'organisation au groupe local Administrateurs. Ce groupe est lié à un objet Stratégie de groupe au niveau de l'unité d'organisation. Toutes les stratégies sont appliquées.

Tableau 1 : Ajout de groupes de domaines aux groupes locaux
Groupe de domaines pour lequel vous définissez une stratégie Groupes restreintsEntrée « Membre de » : groupe local sur les ordinateurs membresNiveau de l'objet Stratégie de groupe où la stratégie Groupes restreints est définieRésultat
Admins du domaine (prédéfini, domaine)Administrateurs (prédéfini local)Niveau du domaineLe groupe Administrateurs contient Admins du domaine, Mes admins de gestion et Mes admins régionaux d'unité d'organisation
Mes admins de gestion (personnalisé, domaine)Administrateurs (prédéfini local)Niveau du domaineLe groupe Administrateurs contient Admins du domaine, Mes admins de gestion et Mes admins régionaux d'unité d'organisation
Mes admins régionaux d'unité d'organisation (personnalisé, unité d'organisation régionale)Administrateurs (prédéfini local)Niveau de l'unité d'organisationLe groupe Administrateurs contient Admins du domaine, Mes admins de gestion et Mes admins régionaux d'unité d'organisation

Ajout du même groupe de domaines aux groupes locaux dans les objets Stratégie de groupe

Si vous créez plusieurs stratégies Groupes restreints pour le même groupe dans plusieurs objets Stratégie de groupe, une seule stratégie sera appliquée. Les stratégies Groupes restreints pour le même groupe ne fusionnent pas dans tous les objets Stratégie de groupe. L'ordre de traitement de Stratégie de groupe détermine la stratégie appliquée. Pour plus d'informations sur la hiérarchie Stratégie de groupe et l'ordre de traitement, reportez-vous au site Web MSDN (Microsoft Developer Network) (en anglais) à l'adresse suivante :Par exemple, comme le montre le tableau ci-dessous, deux stratégies Groupes restreints sont définies pour Admins du domaine. Une stratégie est définie au niveau du domaine et ajoute Admins du domaine au groupe local Administrateurs. La deuxième stratégie est définie au niveau de l'unité d'organisation et ajoute le groupe Admins du domaine à Mes admins de division régionale. Le groupe Admins du domaine sera uniquement ajouté au groupe Mes admins de division régionale (par défaut, les objets Stratégie de groupe qui sont liés au niveau de l'unité d'organisation remplacent ceux définis au niveau du domaine).

Tableau 2 : Ajout du même groupe de domaines aux groupes locaux dans les objets Stratégie de groupe
Groupe de domaines pour lequel vous définissez une stratégie Groupes restreintsEntrée « Membre de » : groupe local sur les ordinateurs membresNiveau de l'objet Stratégie de groupe où la stratégie Groupes restreints est définieRésultat
Admins du domaine (prédéfini, domaine)Administrateurs (prédéfini local)Niveau du domaineEn raison du mode de traitement des objets Stratégie de groupe, Admins du domaine ne sera ajouté qu'au groupe Mes admins de division régionale.
Admins du domaine (prédéfini, domaine)Mes admins de division régionale (personnalisé local)Unité d'organisationEn raison du mode de traitement des objets Stratégie de groupe, Admins du domaine ne sera ajouté qu'au groupe Mes admins de division régionale.

Contrôleurs de domaine

Dans les versions antérieures de Windows, si un contrôleur de domaine traite une stratégie Groupes restreints pour laquelle rien n'est indiqué dans la section Membres, tous les membres sont purgés du groupe lorsque la stratégie est appliquée, quel que soit le paramètre défini pour Membre de. Par exemple, si vous créez une stratégie Groupes restreints au niveau du domaine pour Admins du domaine avec une section Membres vide et si vous avez inclus le groupe local Administrateurs dans Membre de, lorsque la stratégie est appliquée, tous les membres du groupe Admins du domaine sont supprimés (y compris le compte prédéfini Administrateur) et un groupe Admins du domaine vide est ajouté au groupe local Administrateurs.

Le comportement a été corrigé dans Windows 2000 SP4, Windows XP Service Pack 2 (SP2) et Windows Server 2003. Sur un ordinateur exécutant une de ces versions de Windows, si vous appliquez une stratégie Groupes restreints qui définit Membre de, mais n'indique rien pour Membres, la section Membres est ignorée et l'appartenance au groupe n'est pas vidée.

Si vous envisagez d'utiliser la fonction Groupes restreints qui est activée par cette mise à jour pour configurer des contrôleurs de domaine, des serveurs membres ou des stations de travail, vérifiez qu'ils exécutent tous Windows 2000 SP4, Windows XP SP2 ou Windows Server 2003 pour que l'appartenance au groupe de domaines ne soit pas modifiée par inadvertance.

Pour les serveurs membres et les stations de travail, le comportement de ce scénario reste inchangé.

Application de stratégies Groupes restreints « Membres » et « Membre de » à un groupe local

Il est préférable de définir une stratégie Groupes restreints qui ajoute un groupe de domaines à un groupe local et de définir une autre stratégie Groupes restreints qui limite l'appartenance de ce groupe local. Il est impossible de prédire l'appartenance au groupe finale de ce groupe local, car l'ordre de traitement des deux stratégies Groupes restreints n'est pas défini. Par exemple, comme le montre le tableau ci-dessous, si vous créez une stratégie Groupes restreints qui ajoute Admins du domaine au groupe local Administrateurs et si vous créez une stratégie Groupes restreints qui limite l'appartenance du groupe local Administrateurs au compte Administrateur prédéfini, vous ne pouvez pas prédire quelle stratégie sera appliquée. Si Admins du domaine est ajouté au groupe local Administrateurs avant que l'appartenance Administrateurs ne soit limitée, Admins du domaine sera ajouté au groupe local Administrateurs, puis supprimé. Toutefois, si l'appartenance au groupe local Administrateurs est limitée avant l'ajout d'Admins du domaine au groupe Administrateurs, Admins du domaine sera conservé dans le groupe local Administrateurs.

Tableau 3 : Ajout d'un groupe de domaines à un groupe local avec une appartenance restreinte
Groupe pour lequel vous définissez une stratégie Groupes restreintsEntrée « Membres »Entrée « Membre de » Appartenance au groupe obtenue
Admins du domaine (prédéfini, domaine)AucuneAdministrateurs (prédéfini local)Il est impossible de prédire l'appartenance au groupe finale du groupe local Administrateurs.
Administrateurs (prédéfini local)Administrateurs (prédéfini local)AucuneIl est impossible de prédire l'appartenance au groupe finale du groupe local Administrateurs.
Pour obtenir l'appartenance voulue, utilisez la stratégie Groupes restreints Membres ou Membre de de façon exclusive. Dans l'exemple du Tableau 3, pour obtenir l'appartenance au groupe Administrateurs voulue, ajoutez Admins du domaine à l'entrée Membres de la stratégie Groupes restreints du groupe local Administrateurs.

Windows 2000

Informations sur les Service Packs

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows 2000. Pour plus d'informations, cliquez sur le numéro suivant pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000

Informations sur le correctif

Une fonction prise en charge qui modifie le comportement par défaut du produit est désormais disponible auprès de Microsoft, mais elle est uniquement destinée à modifier le comportement décrit dans cet article. Elle ne doit être appliquée qu'aux systèmes en ayant un besoin spécifique. Cette fonction peut être soumise à des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine version du Service Pack Windows 2000 qui contiendra cette fonction.

Pour obtenir cette fonction immédiatement, contactez les services de Support technique Microsoft. Pour obtenir la liste complète des numéros de téléphone des services de Support technique Microsoft et des informations sur les frais engendrés, reportez-vous au site Web de Microsoft à l'adresse suivante : La version anglaise de ce correctif logiciel possède les attributs de fichier indiqués dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.
 Date        Heure   Version           Taille   Nom de fichier ------------------------------------------------------------- 07/11/2002  22:33   5.0.2195.6109    124 688   Adsldp.dll 07/11/2002  22:33   5.0.2195.5781    131 344   Adsldpc.dll 07/11/2002  22:33   5.0.2195.6109     62 736   Adsmsext.dll 07/11/2002  22:33   5.0.2195.6052    358 160   Advapi32.dll 07/11/2002  22:33   5.0.2195.6094     49 936   Browser.dll 07/11/2002  22:33   5.0.2195.6012    135 952   Dnsapi.dll 07/11/2002  22:33   5.0.2195.6076     96 016   Dnsrslvr.dll 15/11/2001  23:27                      5 149   Empty.cat 07/11/2002  22:33   5.0.2195.5722     45 328   Eventlog.dll 07/11/2002  22:33   5.0.2195.6059    146 704   Kdcsvc.dll 01/11/2002  18:52   5.0.2195.6112    204 048   Kerberos.dll 21/08/2002  16:27   5.0.2195.6023     71 248   Ksecdd.sys 07/11/2002  02:02   5.0.2195.6118    507 664   Lsasrv.dll 07/11/2002  02:02   5.0.2195.6118     33 552   Lsass.exe 27/11/2002  22:53   5.0.2195.6034    108 816   Msv1_0.dll 07/11/2002  22:33   5.0.2195.4594    307 472   Netapi32.dll 07/11/2002  22:33   5.0.2195.6075    360 720   Netlogon.dll 07/11/2002  22:33   5.0.2195.6100    920 848   Ntdsa.dll 07/11/2002  22:33   5.0.2195.6100    389 392   Samsrv.dll 07/11/2002  22:33   5.0.2195.6120    130 320   Scecli.dll 07/11/2002  22:33   5.0.2195.6120    303 888   Scesrv.dll 07/11/2002  01:56   5.0.2195.6118    139 264   Sp3res.dll 07/11/2002  00:05         5.3.9.0      4 096   Spmsg.dll 07/11/2002  00:06         5.3.9.0     87 040   Spuninst.exe 07/11/2002  22:33   5.0.2195.5859     48 912   W32time.dll 04/06/2002  21:32   5.0.2195.5859     57 104   W32tm.exe 07/11/2002  22:33   5.0.2195.6100    126 224   Wldap32.dll 07/11/2002  02:02   5.0.2195.6118    507 664   Lsasrv.dll     --   56 bits 
Pour plus d'informations sur la façon d'obtenir un correctif pour Windows 2000 Datacenter Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
265173 Le programme Datacenter et Windows 2000 Datacenter Server
Pour plus d'informations sur la façon d'installer plusieurs mises à jour ou correctifs Windows en ne redémarrant qu'une seule fois l'ordinateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
296861 Comment faire pour installer plusieurs mises à jour ou correctifs Microsoft Windows en un seul redémarrage
Propriétés

ID d'article : 810076 - Dernière mise à jour : 05/11/2011 21:22:00 - Révision : 3.0

Microsoft Windows 2000 Service Pack 4, Microsoft Windows Server 2003 Service Pack 2, , , , , Microsoft Windows XP Professional, , , , Windows 7 Professionnel, ,

  • kbqfe kbhotfixserver kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix KB810076
Commentaires