Autorisations déléguées ne sont pas disponibles et l’héritage est désactivé automatiquement

Symptômes

Une fois que vous mettez à niveau vers Microsoft Windows Server 2003, vous pouvez rencontrer les problèmes suivants :

  • Autorisations déléguées ne sont pas disponibles pour tous les utilisateurs dans une unité d’organisation.

  • L’héritage est désactivé automatiquement sur des comptes d’utilisateur environ une fois toutes les heures

  • Les utilisateurs qui avaient déjà délégué des autorisations, n’ont plus les.

Ce problème peut également se produire après avoir appliqué le correctif décrit dans l’article 327825 de la Base de connaissances Microsoft pour Microsoft Windows 2000 Server ou après l’installation de Windows 2000 Service Pack 4 pour Microsoft Windows 2000 Server. Pour plus d’informations sur le correctif Windows 2000 327825, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

de nouvelle résolution des problèmes liés à l’authentification Kerberos lorsque les utilisateurs appartiennent à de nombreux groupes

Cause

Lorsque vous déléguez des autorisations à l’aide de l’Assistant Délégation de contrôle, ces autorisations reposent sur l’objet utilisateur qui hérite des autorisations du conteneur parent. Membres de groupes protégés n’héritent pas des autorisations du conteneur parent. Par conséquent, si vous définissez des autorisations à l’aide de l’Assistant Délégation de contrôle, ces autorisations ne sont pas appliquées aux membres de groupes protégés.

Remarque L’appartenance à un groupe protégé est défini sous la forme d’adhésion directe ou transitive appartenance à l’aide d’un ou plusieurs groupes de sécurité ou de distribution. Les groupes de distribution sont inclus dans la mesure où ils peuvent être convertis en groupes de sécurité.

Dans Windows Server 2003 et versions ultérieures, le nombre de groupes protégés a été augmenté pour améliorer la sécurité dans Active Directory (voir la section « Plus informations »). Le nombre de groupes protégés augmente également si vous appliquez le correctif 327825 vers Windows 2000.

Résolution

Pour résoudre ce problème, vous pouvez installer un correctif. Vous devez installer le correctif sur le contrôleur de domaine qui joue le rôle de maître d’opérations d’émulateur de contrôleur principal de domaine dans chaque domaine. En outre, vous devez installer le correctif sur tous les contrôleurs de domaine que vous pouvez utiliser pour prendre ce rôle si le détenteur de rôle de maître d’opérations d’émulateur PDC actuel n’est pas disponible. Si vous n’êtes pas sûr du contrôleur de domaine, vous permet de prendre le rôle, il est recommandé que vous envisagez d’installer le correctif sur tous les contrôleurs de domaine. Si un contrôleur de domaine sans le correctif suppose que le rôle de maître d’opérations émulateur PDC, les autorisations de l’utilisateur seront réinitialisées à nouveau.

Informations sur le correctif Windows 2000

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n’apparaît pas, soumettez une demande au Service Clients et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone service clientèle de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l’adresse suivante :

Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.

Informations sur le service pack Windows Server 2003

Pour résoudre ce problème, procurez-vous le dernier service pack pour Windows Server 2003. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

comment faire pour obtenir le dernier service pack pour Windows Server 2003

Informations sur le correctif Windows Server 2003

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone service clientèle de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l’adresse suivante :

Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue. Version l’anglaise de ce correctif possède les attributs de fichier (ou ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et d’heure dans le panneau de configuration.

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

Windows Server 2003, éditions 32 bits
Windows Server 2003, éditions 64 bits

Après avoir installé le correctif logiciel dans Windows 2000 et Windows Server 2003, vous pouvez définir à l’échelle de la forêt
dsHeuristic des indicateurs pour contrôler quels groupes d’opérateur sont protégés par adminSDHolder. À l’aide de cette nouvelle option, vous pouvez définir certains ou tous les groupes protégés quatre inscrits en différé pour le comportement de Windows 2000 d’origine. Position du caractère 16 est interprétée comme une valeur hexadécimale, où le caractère le plus à gauche est en position 1. Par conséquent, les seules valeurs valides sont « 0 » à « f ». Chaque groupe de l’opérateur a un bit spécifique comme suit :

  • Bits 0 : Opérateurs compte

  • Bits 1 : Opérateurs serveur

  • Bit 2 : Les opérateurs d’impression

  • Bit 3 : Les opérateurs de sauvegarde

Par exemple, une valeur de 0001 signifie exclure des opérateurs de compte. Une valeur de « c » exclut (0100) opérateurs d’impression et opérateurs de sauvegarde (1000), car la somme binaire 1100 reflète la valeur hexadécimale 0xC.

Pour activer les nouvelles fonctionnalités, vous devez modifier un objet dans le conteneur configuration. Ce paramètre est l’échelle de la forêt. Pour modifier l’objet, procédez comme suit :

  1. Localisez l’objet que vous souhaitez modifier.
    Pour plus d’informations sur la procédure à suivre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

    les opérations LDAP anonymes pour Active Directory sont désactivées sur les contrôleurs de domaine Windows Server 2003

  2. À l’invite de commande, tapez ldp.exeet appuyez sur ENTRÉE pour démarrer l’utilitaire LDP.

  3. Cliquez sur la connexion, cliquez sur
    se connecter , puis cliquez sur OK.

  4. Cliquez sur la connexion, cliquez sur
    Lier, tapez le nom d’utilisateur et le mot de passe d’un administrateur de la racine de la forêt, puis cliquez sur OK.

  5. Cliquez sur Afficheret cliquez sur arborescence, puis cliquez sur OK.

  6. À l’aide de View\Tree, ouvrez la NC de configuration suivante :

    CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC =domaine racine de la forêt

  7. Localisez l’objet de Service d’annuaire et double-cliquez dessus.

  8. Vérifiez l’attribut de l’objet de liste sur le côté droit pour déterminer si l’attribut dsHeuristics est déjà définie. Si elle est définie, copiez la valeur dans le Presse-papiers.

  9. Cliquez sur les objets du Service d’annuaire sur le côté gauche, puis cliquez sur Modifier.

  10. Comme le nom d’attribut, tapez
    dsHeuristics.

  11. En tant que valeur, tapez 000000000100000f. Avec ce qui est peut-être déjà dans dsHeuristics, remplacez les zéros dans la première partie de la valeur. Assurez-vous que vous avez le bon nombre de chiffres « f » ou les bits de tout ce que vous souhaitez définir.

    Remarque Pour vérifier que les caractères corrects sont en cours de modification, chaque dixième caractère doit être définie pour le nombre de caractères à que point divisés par dix. Par exemple, le dixième caractère doit être 1, le caractère vingtième doit être 2, le trentième caractère doit être de 3, et ainsi de suite.

  12. Si l’attribut existe déjà, cliquez sur
    Remplacer dans la zone de l’opération . Dans le cas contraire, cliquez sur Ajouter.

  13. Appuyez sur la touche entrée sur la droite pour le groupe d’opération pour l’ajouter à la transaction de LDAP.

  14. Cliquez sur exécuter pour appliquer la modification à l’objet. Une fois cette modification est répliquée sur les émulateurs de contrôleur principal de domaine dans la forêt, ceux qui exécute ce correctif logiciel ne protège pas les utilisateurs qui sont membres du groupe que vous avez défini les bits pour les opérateurs.

Solution de contournement

Pour contourner ce problème, appliquez l’une des méthodes suivantes.

Méthode 1 : Assurez-vous que les membres ne sont pas membres d’un groupe protégé

Si vous utilisez des autorisations qui sont déléguées au niveau de l’unité d’organisation, assurez-vous que tous les utilisateurs qui nécessitent des autorisations déléguées ne sont pas membres de l’un des groupes protégés. Pour les utilisateurs qui étaient déjà membres d’un groupe protégé, l’indicateur d’héritage n’est pas automatiquement réinitialisé lorsque l’utilisateur est supprimé d’un groupe protégé. Pour ce faire, vous pouvez utiliser le script suivant.

Remarque Ce script vérifie l’indicateur d’héritage pour tous les utilisateurs, dont AdminCount est défini sur 1. Si l’héritage est désactivé (SE_DACL_PROTECTED a), le script permettra à l’héritage. Si l’héritage est déjà activé, l’héritage restera activé. En outre, AdminCount sera remis à 0. Lorsque le thread adminSDHolder s’exécute à nouveau, il désactivera l’héritage et AdminCount la valeur 1 pour tous les utilisateurs qui restent dans les groupes protégés. Par conséquent, les AdminCount et l’héritage sont définies correctement pour tous les utilisateurs qui ne sont plus membres de groupes protégés.

Important : Si vous exécutez ce script à partir d’un système en cours d’exécution Windows Vista et les versions ultérieures, ouvrez une invite de commandes avec des privilèges d’administration , puis exécutez ce script.

Utilisez la commande suivante pour exécuter le script :

cscript /nologo resetaccountsadminsdholder.vbs

Microsoft fournit des exemples de programmation à titre d'illustration uniquement, sans garantie expresse ou implicite. Ceci inclut, mais n'est pas limité à, les garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous êtes familiarisé avec le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les ingénieurs du support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne modifieront pas ces exemples pour fournir des fonctionnalités supplémentaires ou créer des procédures répondant à vos besoins spécifiques.

'********************************************************************
'*
'* File: ResetAccountsadminSDHolder.vbs
'* Created: November 2003
'* Version: 1.0
'*
'* Main Function: Resets all accounts that have adminCount = 1 back
'*to 0 and enables the inheritance flag
'*
'* ResetAccountsadminSDHolder.vbs
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
WScript.Echo "no accounts found"
WScript.Quit
End If

Do While Not oRst.EOF
WScript.Echo "found object " & oRst.Fields("ADsPath")
If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
WScript.Echo "=========================================="
oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

Dim oSD
Dim oDACL
Dim lFlag
Dim oIADs

Set oIADs = GetObject(DSObjectPath)

Set oSD = oIADs.Get("nTSecurityDescriptor")

If oSD.Control And SE_DACL_PROTECTED Then
oSD.Control = oSD.Control - SE_DACL_PROTECTED
End If

oIADs.Put "nTSecurityDescriptor", oSD
oIADs.SetInfo

If Err.Number <> 0 Then
SetInheritanceFlag = Err.Number
Else
SetInheritanceFlag = 0
End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

Dim oIADs
Dim iAdminCount

Set oIADs = GetObject(DSObjectPath)

iAdminCount = oIADs.Get("adminCount")

If iAdminCount = 1 Then iAdminCount = 0

oIADs.Put "adminCount", iAdminCount
oIADs.SetInfo
If Err.Number <> 0 Then
SetAdminCount = Err.Number
Else
SetAdminCount = 0
End If

End Function

Pour vous assurer que vous n'affectez pas négativement les utilisateurs, nous vous recommandons d'exporter tout d'abord les comptes qui ont AdminCount à 1 en utilisant Ldifde.exe. Pour ce faire, tapez la commande suivante à l'invite de commande et appuyez sur ENTRÉE :

Voir version US: de ldifde -f Admincount-1 - d =votre domaine - r "(& (objectcategory=person)(objectclass=user)(admincount=1))"Vérifier le fichier de sortie pour confirmer que tous les utilisateurs qui auront le bit de DACL protégé remis à 0 auront les autorisations correctes avec uniquement les entrées de contrôle d'accès (ACEs) héritées. Cette méthode est préférable et n'affaiblit pas la sécurité existante.

Méthode 2 : Activer l’héritage sur le conteneur adminSDHolder

Si vous activez l’héritage sur le conteneur adminSDHolder, tous les membres de groupes protégés sont héritées activé. En termes de fonctionnalités de sécurité, cette méthode rétablit le comportement du conteneur adminSDHolder dans fonctionnalités antérieurs au Service Pack 4.

L’activation de l’héritage sur le conteneur adminSDHolder

Si vous activez l’héritage sur le conteneur adminSDHolder, un des deux mécanismes de liste (ACL) contrôle access protection est désactivé. Les autorisations par défaut sont appliquées. Toutefois, tous les membres de groupes protégés héritent des autorisations de l’unité d’organisation et n’importe quelle unité d’organisation parent si l’héritage est activé au niveau de l’unité d’organisation.

Pour assurer la protection de l’héritage pour les utilisateurs administratifs, déplacer tous les utilisateurs d’administration (et les autres utilisateurs qui ont besoin de protection de l’héritage) dans leur propre unité d’organisation. Au niveau de l’unité d’organisation, supprimer l’héritage et définissez les autorisations pour correspondre à l’ACL en cours sur le conteneur adminSDHolder. Étant donné que les autorisations sur le conteneur adminSDHolder peuvent varier (par exemple, Microsoft Exchange Server ajoute des certaines autorisations ou l’ont peut-être été modifiées), passer en revue un membre d’un groupe protégé pour les autorisations en cours sur l’objet adminSDHolder conteneur. Gardez à l’esprit que l’interface utilisateur (IU) n’affiche pas toutes les autorisations sur le conteneur adminSDHolder. Utilisation de DSacls pour afficher toutes les autorisations sur le conteneur adminSDHolder.

Vous pouvez activer l’héritage sur le conteneur adminSDHolder à l’aide de ADSI Edit ou Active Directory utilisateurs et ordinateurs. Le chemin d’accès du conteneur adminSDHolder est CN = adminSDHolder, CN = System, DC = < MyDomain >, DC = < Com >

Remarque Si vous utilisez Active Directory utilisateurs et ordinateurs, assurez-vous que
Fonctionnalités avancées est sélectionnée dans le menu affichage .

Pour activer l’héritage sur le conteneur adminSDHolder :

  1. Cliquez sur le conteneur, puis cliquez sur
    Propriétés.

  2. Cliquez sur l'onglet sécurité .

  3. Cliquez sur Avancé.

  4. Cliquez pour sélectionner la case à cocher permettre aux permissions héritables de se propager à cet objet et aux objets enfants .

  5. Cliquez sur OK, puis cliquez sur
    Fermer.

La prochaine fois que le thread SDProp s’exécute, l’indicateur d’héritage est défini sur tous les membres de groupes protégés. Cette procédure peut prendre jusqu'à 60 minutes. Autoriser le temps nécessaire pour que cette modification se réplique à partir du contrôleur principal de domaine (PDC).

Méthode 3 : Éviter l'héritage et modifier uniquement les ACL

Si vous ne souhaitez pas que les utilisateurs qui sont membres de groupes de protection d’hériter des autorisations du conteneur utilisateurs résident dans, et que vous souhaitez modifier la sécurité sur les objets utilisateur uniquement, vous pouvez modifier la sécurité sur le répertoire de conteneur adminSDHolder. Dans ce scénario, vous n’êtes pas obligé d’activer l’héritage sur le conteneur adminSDHolder. Vous ne devrez ajouter ce groupe ou modifier la sécurité des groupes de sécurité qui sont déjà définies sur le conteneur adminSDHolder. Après une heure, le thread SDProp s’appliquent à la modification apportée à l’ACL du conteneur adminSDHolder à tous les membres de groupes protégés. Les membres n’héritera pas de la sécurité du conteneur qu’ils se trouvent dans.

Par exemple, le Self compte requiert le droit d’Autoriser à lire toutes les propriétés . Modifier les paramètres de sécurité du conteneur adminSDHolder pour autoriser ce droit lui-même compte. Après une heure, ce droit puisse la Self du compte pour tous les utilisateurs qui sont membres de groupes protégés. L’indicateur d’héritage n’est pas modifié.

L’exemple suivant montre comment appliquer les modifications sur l’objet adminSDHolder uniquement. Cet exemple accorde des autorisations suivantes sur le
objet adminSDHolder :

  • Contenu de liste

  • Lire toutes les propriétés

  • Écrire toutes les propriétés

Pour accorder ces autorisations sur l’objet adminSDHolder , procédez comme suit :

  1. Dans Active Directory utilisateurs et ordinateurs, cliquez sur
    Fonctionnalités avancées dans le menu affichage.

  2. Localisez l’objet adminSDHolder . L’objet est à l’emplacement suivant pour chaque domaine dans la forêt Active Directory :
    CN = adminSDHolder, CN = System,DC = domaine, DC = com Ici,
    DC = domaine, DC = com est le nom unique du domaine.

  3. AdminSDHolderd’avec le bouton droit, puis cliquez sur
    Propriétés.

  4. Dans la boîte de dialogue Propriétés , cliquez sur le
    Sécurité onglet, puis cliquez sur Avancé.

  5. Dans la boîte de dialogue Paramètres de contrôle d’accès pour adminSDHolder , cliquez sur Ajouter dans le
    Onglet autorisations .

  6. Dans la boîte de dialogue Sélectionnez utilisateur, ordinateur ou groupe, cliquez sur le compte auquel vous souhaitez accorder les autorisations associées, puis cliquez sur OK.

  7. Dans la boîte de dialogue Entrée d’autorisation pour adminSDHolder, cliquez sur cet objet uniquement dans la zone appliquer à , puis cliquez sur Afficher le contenu, Lire toutes les propriétéset écrire toutes les propriétés droits.

  8. Cliquez sur OK pour fermer la boîte de dialogue Entrée d’autorisation pour adminSDHolder , la boîte de dialogue Paramètres de contrôle d’accès pour adminSDHolder et la boîte de dialogue Propriétés de adminSDHolder .

Dans l’heure, l’ACL sera mis à jour sur les objets utilisateur associés aux groupes protégés afin de refléter les modifications. Pour plus d’informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :

Description et la mise à jour de l’objet adminSDHolder de Active Directory

thread AdminSDHolder affecte les membres transitifs des groupes de distribution

État

Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés dans la section « S’applique à ». Ce problème a été corrigé dans Windows Server 2003 Service Pack 1.

Plus d'informations

Active Directory utilise un mécanisme de protection afin de vous assurer que les ACL est définies correctement pour les membres des groupes sensibles. Le mécanisme s’exécute une fois toutes les heures sur le maître d’opérations PDC. Le maître d’opérations compare la liste ACL sur les comptes d’utilisateurs qui sont membres de groupes protégés contre l’ACL sur l’objet suivant :

CN=adminSDHolder,CN=System,DC=<MyDomain>,DC=<Com>
Remarque « DC =< mondomaine >, DC =< Com >"représente le nom unique (DN) de votre domaine.

Si l’ACL est différent, l’ACL sur l’objet utilisateur est remplacée pour refléter les paramètres de sécurité de l’objet adminSDHolder (et l’héritage ACL est désactivé). Ce processus protège ces comptes à partir de toute modification par des utilisateurs non autorisés si les comptes sont déplacés vers un conteneur ou une unité d’organisation dans laquelle un utilisateur malveillant a été administrateur délégué pour modifier des comptes d’utilisateur. Sachez que lorsqu’un utilisateur est supprimé d’un groupe administratif, le processus n’est pas inversé et doivent être modifié manuellement.

Remarque Pour contrôler la fréquence à laquelle l’objet adminSDHolder met à jour des descripteurs de sécurité, de créer ou de modifier l’entrée AdminSDProtectFrequency dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersLorsque l’entrée de Registre AdminSDProtectFrequency n’est pas présente, l’objet adminSDHolder met à jour des descripteurs de sécurité toutes les 60 minutes (3600 secondes). Vous pouvez utiliser cette entrée de Registre pour définir cette fréquence à n’importe quel taux entre 1 minute (60 secondes) et de 2 heures (7 200 secondes), entrez la valeur en secondes. Toutefois, nous ne recommandons pas que vous modifiez cette valeur à l’exception de brèves périodes de tests. La modification de cette valeur peut augmenter de LSASS surcharge de traitement.

La liste suivante décrit les groupes protégés dans Windows 2000 :

  • Administrateurs

  • Admins du domaine

  • Administrateurs de l’entreprise

  • Administrateurs du schéma


La liste suivante décrit les groupes protégés dans Windows Server 2003 et Windows 2000 après avoir appliqué le correctif 327825 ou que vous installez Windows 2000 Service Pack 4 :

  • Opérateurs de compte

  • Administrateurs

  • Opérateurs de sauvegarde

  • Éditeurs de certificats

  • Admins du domaine

  • Contrôleurs de domaine *

  • Administrateurs de l’entreprise

  • Opérateurs d’impression

  • Replicator

  • Administrateurs du schéma

  • Opérateurs de serveur

En outre les utilisateurs suivants sont également considérés comme protégés :

  • Administrateur

  • Krbtgt


La liste suivante décrit les groupes protégés dans Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 :

  • Opérateurs de compte

  • Administrateurs

  • Opérateurs de sauvegarde

  • Admins du domaine

  • Contrôleurs de domaine *

  • Administrateurs de l’entreprise

  • Opérateurs d’impression

  • Contrôleurs de domaine en lecture seule *

  • Replicator

  • Administrateurs du schéma

  • Opérateurs de serveur

En outre les utilisateurs suivants sont également considérés comme protégés :

  • Administrateur

  • Krbtgt


* Un seul groupe est protégé, pas les membres.

Sachez que les membres de groupes de distribution ne remplit pas un jeton de l’utilisateur. Par conséquent, Impossible d’utiliser des outils tels que « whoami » correctement déterminer l’appartenance au groupe.

Pour plus d’informations sur l’administration déléguée, téléchargez le livre blanc Best Practices for Delegating Active Directory Administration . Pour ce faire, visitez le site Web de Microsoft à l'adresse suivante :

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×