Vue d’ensemble de l’emprunt d’identité d’un client après l’authentification et des paramètres de sécurité créer des objets globaux

  • Article

Cet article décrit les droits d’utilisateur Emprunter l’identité d’un client après l’authentification et Créer des objets globaux .

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 821546

Résumé

Cet article décrit les droits d’utilisateur « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux ». Ces nouveaux paramètres de sécurité ont été introduits pour la première fois dans Windows 2000 Service Pack 4 (SP4) et contribuent à renforcer la sécurité dans Windows 2000. Cet article décrit les nouveaux paramètres de sécurité et contient également des informations sur certains problèmes connus qui peuvent se produire et sur la façon de les résoudre.

Importante

Tenez compte des problèmes suivants lorsque vous appliquez les droits d’utilisateur « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » à l’aide de la stratégie de domaine par défaut ou stratégie de groupe :

  • Les droits d’utilisateur « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » s’appliquent uniquement aux ordinateurs exécutant Windows 2000 SP4 ou version ultérieure.

  • Vous pouvez utiliser la stratégie de domaine par défaut ou stratégie de groupe pour appliquer les paramètres de sécurité « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » aux ordinateurs de votre environnement si les ordinateurs exécutent Windows 2000 Service Pack 2 (SP2) ou version ultérieure. Notez que bien que vous puissiez déployer les paramètres de sécurité dans un environnement contenant des ordinateurs Windows 2000 SP2 et Windows 2000 Service Pack 3 (SP3), les paramètres de sécurité s’appliquent uniquement aux ordinateurs Windows 2000 SP4. Les paramètres ne s’appliquent pas aux ordinateurs qui exécutent Windows 2000 SP2 ou Windows 2000 SP3.

  • N’utilisez pas la stratégie de domaine par défaut ou une autre stratégie de groupe pour appliquer l’un ou l’autre de ces nouveaux droits d’utilisateur aux ordinateurs exécutant Windows 2000 ou Windows 2000 Service Pack 1 (SP1). Notez que si vous utilisez la stratégie de domaine par défaut ou une autre stratégie de groupe pour appliquer ces droits utilisateur aux ordinateurs exécutant Windows 2000 ou Windows 2000 Service Pack 1 (SP1), la propagation des paramètres de sécurité de la stratégie échoue. Autrement dit, la stratégie n’est pas propagée aux ordinateurs Windows 2000 ou Windows 2000 SP1 et les droits utilisateur ne sont pas affichés dans le composant logiciel enfichable Paramètres de sécurité locaux. Les scénarios suivants peuvent se produire si vous utilisez la stratégie de domaine par défaut ou une autre stratégie de groupe pour appliquer l’un ou l’autre de ces nouveaux droits d’utilisateur aux ordinateurs exécutant Windows 2000 ou Windows 2000 Service Pack 1 (SP1) :

    • Les paramètres de stratégie de sécurité supplémentaires qui se trouvent dans le même objet stratégie de groupe et qui ciblent les appareils Windows 2000 ou Windows 2000 Service Pack 1 (SP1) ne sont pas propagés aux appareils de destination.

    • Paramètres de stratégie de sécurité supplémentaires appliqués à l’aide d’autres stratégies de groupe le long du chemin d’accès SDOU (Site, Domaine, Unité d’organisation) aux appareils Windows 2000 ou Windows 2000 Service Pack 1 (SP1) qui seront propagés.

    • Si l’un de ces nouveaux paramètres de sécurité ou les deux ciblent les appareils Windows 2000 ou Windows 2000 Service Pack 1 (SP1), le composant logiciel enfichable de sécurité MMC local sur ces appareils ne peut pas afficher correctement les paramètres de sécurité. Toutefois, tous les paramètres de sécurité appliqués aux appareils ciblés à partir d’autres objets stratégie de groupe côté domaine (qui ne contiennent pas les nouveaux paramètres) s’appliquent toujours à ces appareils ciblés.

  • De même, vous pouvez utiliser la stratégie de sécurité contrôleur de domaine par défaut pour appliquer les paramètres de sécurité « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » aux contrôleurs de domaine dans votre environnement si les contrôleurs de domaine exécutent Windows 2000 SP2 ou version ultérieure. Notez que bien que vous puissiez déployer les paramètres de sécurité dans un environnement qui contient des contrôleurs de domaine Windows 2000 SP2 et Windows 2000 SP3, les paramètres de sécurité s’appliquent uniquement aux contrôleurs de domaine Windows 2000 SP4. Les paramètres ne s’appliquent pas aux contrôleurs de domaine qui exécutent Windows 2000 SP2 ou Windows 2000 SP3.

Problème 1 : le droit d’utilisateur « Emprunter l’identité d’un client après authentification » (SeImpersonatePrivilege)

Le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » (SeImpersonatePrivilege) est un paramètre de sécurité Windows 2000 qui a été introduit pour la première fois dans Windows 2000 SP4. Par défaut, les membres du groupe Administrateurs local de l’appareil et du compte de service local de l’appareil se voient attribuer le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification ». Les composants suivants disposent également de ce droit d’utilisateur :

  • Services démarrés par le Gestionnaire de contrôle des services
  • Serveurs COM (Component Object Model) démarrés par l’infrastructure COM et configurés pour s’exécuter sous un compte spécifique

Lorsque vous attribuez le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » à un utilisateur, vous autorisez les programmes qui s’exécutent pour le compte de cet utilisateur à emprunter l’identité d’un client. Ce paramètre de sécurité permet d’empêcher les serveurs non autorisés d’emprunter l’identité des clients qui s’y connectent via des méthodes telles que des appels de procédure distante (RPC) ou des canaux nommés. Pour plus d’informations sur la fonction SeImpersonatePrivilege, visitez le site web Microsoft suivant :
Emprunter l’identité d’un client après l’authentification

Pour plus d’informations sur les fonctions Impersonate (telles que ImpersonateClient, ImpersonateLoggedOnUser et ImpersonateNamedPipeClient), recherchez SeImpersonatePrivilege dans la documentation du Kit de développement logiciel (SDK) de la plateforme Microsoft. Pour afficher cette documentation, visitez le site web Microsoft suivant :
Emprunter l’identité d’un client après l’authentification

Résolution des problèmes 1

  • Certains programmes qui utilisent l’emprunt d’identité peuvent ne pas fonctionner correctement après l’installation de Windows 2000 SP4.

    Après avoir installé Windows 2000 Service Pack 4 (SP4) sur votre ordinateur, certains programmes qui utilisent l’emprunt d’identité peuvent ne pas fonctionner correctement.

    Ce problème peut se produire dans des situations où le compte d’utilisateur utilisé pour exécuter le programme n’a pas le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification ».

    Sur les ordinateurs qui exécutent Windows 2000 Service Pack 3 (SP3) et versions antérieures, aucun droit d’utilisateur n’est requis pour emprunter l’identité d’un client. Par conséquent, certains programmes qui utilisent l’emprunt d’identité peuvent ne pas fonctionner correctement après l’installation de Windows 2000 SP4.

    Pour résoudre ce problème, identifiez le compte d’utilisateur utilisé pour exécuter le programme, puis attribuez le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » à ce compte d’utilisateur. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
    2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
    3. Dans le volet droit, double-cliquez sur Emprunter l’identité d’un client après l’authentification.
    4. Dans la boîte de dialogue Paramètre de stratégie de sécurité locale , cliquez sur Ajouter.
    5. Dans la boîte de dialogue Sélectionner des utilisateurs ou un groupe , cliquez sur le compte d’utilisateur que vous souhaitez ajouter, cliquez sur Ajouter, puis sur OK.
    6. Cliquez sur OK.

    Remarque

    Pour résoudre les situations où vous ne pouvez pas déterminer le compte d’utilisateur utilisé pour exécuter le programme et où vous souhaitez vérifier que les symptômes que vous rencontrez sont causés par le droit d’utilisateur, attribuez le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » au groupe Tout le monde, puis démarrez le programme. Si le programme fonctionne correctement, le problème que vous rencontrez peut être dû au nouveau paramètre de sécurité.

  • Vous recevez un message d’erreur « Erreur lors de la tentative d’exécution du projet » lorsque vous déboguez une application web dans Visual Studio .NET.

Problème 2 : le droit d’utilisateur « Créer des objets globaux » (SeCreateGlobalPrivilege)

Le droit d’utilisateur « Créer des objets globaux » (SeCreateGlobalPrivilege) est un paramètre de sécurité Windows 2000 qui a été introduit pour la première fois dans Windows 2000 SP4. Le droit d’utilisateur est requis pour qu’un compte d’utilisateur crée des objets de mappage de fichiers globaux et de liaison symbolique. Notez que les utilisateurs peuvent toujours créer des objets spécifiques à la session sans se voir attribuer ce droit d’utilisateur. Par défaut, les membres du groupe Administrateurs, du compte système et des services démarrés par service Control Manager se voient attribuer le droit d’utilisateur « Créer des objets globaux ».

Résolution des problèmes 2

  • Certains programmes peuvent ne pas fonctionner correctement après l’installation de Windows 2000 SP4.

    Après avoir installé Windows 2000 Service Pack 4 (SP4) sur votre ordinateur, certains programmes risquent de ne pas fonctionner correctement. Ce problème peut se produire dans des situations où le compte d’utilisateur utilisé pour exécuter le programme n’a pas le droit d’utilisateur « Créer des objets globaux ».

    Pour résoudre ce problème, identifiez le compte d’utilisateur utilisé pour exécuter le programme, puis attribuez le droit d’utilisateur « Créer des objets globaux » à ce compte d’utilisateur. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
    2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
    3. Dans le volet droit, double-cliquez sur Créer des objets globaux.
    4. Dans la boîte de dialogue Paramètre de stratégie de sécurité locale , cliquez sur Ajouter.
    5. Dans la boîte de dialogue Sélectionner des utilisateurs ou un groupe , cliquez sur le compte d’utilisateur que vous souhaitez ajouter, cliquez sur Ajouter, puis sur OK.
    6. Cliquez sur OK.

    Remarque

    Pour résoudre les situations où vous ne pouvez pas déterminer le compte d’utilisateur utilisé pour exécuter le programme et où vous souhaitez vérifier que les symptômes que vous rencontrez sont causés par le droit d’utilisateur, affectez le droit d’utilisateur « Créer des objets globaux » au groupe Tout le monde, puis démarrez le programme. Si le programme fonctionne correctement, le problème que vous rencontrez peut être dû au nouveau paramètre de sécurité.

  • Vous recevez un message d’erreur « Mémoire insuffisante » lorsque vous recherchez des clips dans un document Office XP dans une session des services Terminal Server.

  • L’ordinateur cesse de répondre (se bloque) lorsque vous redémarrez un ordinateur Windows 2000 Server après avoir installé Le contrôle parental McAfee.