L’outil Dcgpofix ne restaure pas les paramètres de sécurité de la stratégie de contrôleur de domaine par défaut à leur état d’origine
Cet article explique que l’outil Dcgpofix ne restaure pas les paramètres de sécurité de la stratégie de contrôleur de domaine par défaut à l’état où ils se trouvaient après l’exécution de Dcpromo et qu’il est préférable d’utiliser cet outil uniquement dans le scénario de récupération d’urgence.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 833783
Symptômes
La documentation de l’outil Dcgpofix.exe indique de manière incorrecte que l’outil Dcgpofix restaure les paramètres de sécurité de la stratégie de contrôleur de domaine par défaut dans le même état qu’ils étaient immédiatement après l’exécution de Dcpromo. Ce n’est pas le cas.
Il est préférable d’utiliser l’outil Dcgpofix uniquement dans les scénarios de récupération d’urgence. L’opération Dcpromo modifie la sécurité du domaine de manière incrémentielle, en fonction des paramètres de sécurité existants sur ce serveur. Par conséquent, après avoir exécuté Dcpromo, l’ensemble final de paramètres de sécurité dans la stratégie de contrôleur de domaine par défaut dépend à la fois de l’opération Dcpromo et de l’état de sécurité du système qui existait avant l’exécution de Dcpromo. Avant d’exécuter Dcpromo, l’état de sécurité du système peut être modifié par un certain nombre de mécanismes. Par exemple, lorsque vous installez des applications serveur, des modifications peuvent être apportées aux droits d’utilisateur accordés aux comptes d’utilisateur locaux, tels que le compte SUPPORT_388945a0.
Cause
L’outil Dcgpofix ne peut pas savoir dans quel état se trouvaient les paramètres de sécurité avant d’exécuter Dcpromo. Par conséquent, l’outil Dcgpofix ne peut pas retourner précisément les paramètres de sécurité à l’état d’origine. Au lieu de cela, l’outil Dcgpofix recrée les deux objets stratégie de groupe (GPO) par défaut et crée les paramètres en fonction des opérations effectuées uniquement pendant Dcpromo.
Si vous avez une nouvelle installation de Windows Server et qu’aucune modification de sécurité n’est apportée au système d’exploitation avant d’exécuter Dcpromo, la stratégie de contrôleur de domaine par défaut recréée créée par Dcgpofix sera presque identique à la stratégie de contrôleur de domaine par défaut juste après l’exécution de Dcpromo. Toutefois, il y aura des différences dans les paramètres de la stratégie de contrôleur de domaine par défaut dans ce cas.
Résolution
Pour la sauvegarde et la restauration générales de la stratégie de domaine par défaut et de la stratégie de contrôleur de domaine par défaut, ainsi que pour les autres objets de stratégie de groupe, Microsoft vous recommande d’utiliser la console de gestion stratégie de groupe (GPMC) pour créer des sauvegardes régulières de ces objets de stratégie de groupe. Vous pouvez ensuite utiliser la console GPMC conjointement avec ces sauvegardes pour restaurer les paramètres de sécurité exacts contenus dans ces objets de stratégie de groupe.
Si vous êtes dans un scénario de récupération d’urgence et que vous n’avez aucune version sauvegardée de la stratégie de domaine par défaut ou de la stratégie de contrôleur de domaine par défaut, vous pouvez envisager d’utiliser l’outil Dcgpofix. Si vous utilisez l’outil Dcgpofix, Microsoft recommande de passer en revue les paramètres de sécurité dans ces objets de stratégie de groupe et d’ajuster manuellement les paramètres de sécurité en fonction de vos besoins. La publication d’un correctif n’est pas prévue, car Microsoft vous recommande d’utiliser la console gpMC pour sauvegarder et restaurer tous les objets de stratégie de groupe dans votre environnement. L’outil Dcgpofix est un outil de récupération d’urgence qui restaure votre environnement à un état fonctionnel uniquement. Il est préférable de ne pas l’utiliser en remplacement d’une stratégie de sauvegarde à l’aide de gpMC. Il est préférable d’utiliser l’outil Dcgpofix uniquement lorsqu’il n’existe pas de sauvegarde d’objet de stratégie de groupe pour la stratégie de domaine par défaut et la stratégie de contrôleur de domaine par défaut.
Plus d’informations
Le tableau suivant répertorie les différences entre les paramètres de sécurité dans la stratégie de contrôleur de domaine par défaut après l’exécution de l’outil Dcgpofix et les paramètres d’une nouvelle installation de Windows Server après l’exécution de Dcpromo. Microsoft vous recommande d’ajuster ces paramètres de sécurité en fonction des exigences de votre environnement après avoir exécuté l’outil Dcgpofix.
| Paramètre dans la stratégie de contrôleur de domaine par défaut | Valeur après l’exécution de DCPromo sur Windows Server correctement installé | Valeur après l’exécution de DCGPOFIX |
|---|---|---|
| Paramètres d’audit | ||
| Auditer la gestion des comptes | Opération réussie | Aucun audit |
| Auditer l’accès au service d’annuaire | Opération réussie | Aucun audit |
| Auditer la modification de la stratégie | Opération réussie | Aucun audit |
| Auditer les événements système | Opération réussie | Aucun audit |
| Droits d’utilisateur | ||
| Créer des objets globaux | Non défini | SERVICE, Administrateurs |
| Refuser l’accès à l’ordinateur à partir du réseau | SUPPORT_388945a0 | (Vide) |
| Refuser l’ouverture de session localement | SUPPORT_388945a0 | (Vide) |
| Emprunter l’identité d’un client après l’authentification | Non défini | SERVICE, Administrateurs |
| Charger et décharger les pilotes de périphérique | Administrateurs, opérateurs d’impression | Administrateurs |
| Ouvrir une session en tant que tâche | SERVICE LOCAL, SUPPORT_388945a0 | (Vide) |
| Ouvrir une session en tant que service | SERVICE RÉSEAU | (Vide) |
| Arrêter le système | Administrateurs, opérateurs de sauvegarde, opérateurs de serveur, opérateurs d’impression | Opérateurs de compte, administrateurs, opérateurs de sauvegarde, opérateurs de serveur, opérateurs d’impression |
Les paramètres suivants changent après l’exécution de l’outil Dcgpofix :
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
En fonction des options de configuration, les paramètres suivants peuvent également modifier les éléments suivants :
- SeBatchLogonRight (uniquement LE SERVICE LOCAL, et non le compte SUPPORT_388945a0)
- SeServiceLogonRight
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour