DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 267553 - Dernière mise à jour: jeudi 15 janvier 2004 - Version: 2.1

Résumé

L'objet Stratégie de groupe (GPO) des contrôleurs de domaine contient de nombreux paramètres utilisateurs par défaut. Dans certains cas, la modification des paramètres par défaut est susceptible de produire des effets indésirables. Elle peut se traduire par une situation présentant des restrictions inattendues sur les droits de l'utilisateur. Si les modifications sont survenues de manière intempestive ou si elles n'ont pas été enregistrées de sorte qu'on ne sait pas quels ont été les changements apportés, il peut s'avérer nécessaire de rétablir la valeur par défaut de ces paramètres des droits de l'utilisateur.

Cette nécessité apparaît aussi parfois si le contenu du dossier Sysvol a été reconstruit manuellement ou a été restauré à partir d'une sauvegarde en utilisant les procédures de l'article suivant de la Base de connaissances Microsoft :
253268  (http://support.microsoft.com/kb/253268/ ) Message d'erreur relatif à une stratégie de groupe dépourvue du contenu Sysvol approprié

Plus d'informations

Le rétablissement des droits de l'utilisateur pour le GPO (objet Stratégie de groupe) s'effectue obligatoirement en trois étapes :
  1. Édition du fichier GptTmpl.inf.
  2. Incrémentation de la version de la stratégie de groupe (cette modification est effectuée dans le fichier Gpt.ini).
  3. Application de la nouvelle stratégie de groupe.
REMARQUE : Procédez avec prudence et attention. Une mauvaise configuration du modèle GPO risque de rendre vos contrôleurs de domaine inopérationnels.
  1. Édition du fichier GptTmpl.inf. Les paramètres des droits de l'utilisateur peuvent être rétablis à leur valeur par défaut en modifiant le fichier GptTmpl.inf. Ce fichier se trouve dans le dossier Stratégie de groupe sous le dossier :
    cheminsysvol\sysvol\nomdedomaine\Stratégies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    REMARQUE : Le chemin par défaut du dossier Sysvol est %Racinesystème%\Sysvol

    Pour complètement rétablir les droits de l'utilisateur à leur valeur par défaut, remplacez les informations présentes dans le fichier GptTmpl.inf par les données par défaut relatives aux droits de l'utilisateur suivantes. Vous pouvez copier ci-dessous la partie appropriée et la coller dans votre fichier GptTmpl.inf.

    Veuillez noter les paramètres des autorisations pour chaque modèle. Vous devez utiliser le modèle correct pour votre installation en fonction des paramètres des droits de l'utilisateur souhaités.

    REMARQUE : Microsoft recommande vivement d'effectuer une sauvegarde du fichier GptTmpl.inf avant d'y apporter ces changements.

    Autorisations compatibles avec des utilisateurs Pre-Windows 2000

       [Unicode]
       Unicode=yes
       [Event audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    REMARQUE : si Internet Information Services est installé, vous devez annexer les comptes d'utilisateur suivants à la liste de ceux déjà associés à ces droits :
       SeBatchLogonRight = IWAM_%nomserveur%,IUSR_%nomserveur%
       SeInteractiveLogonRight = IUSR_%nomserveur%
       SeNetworkLogonRight = IWAM_%nomserveur%,IUSR_%nomserveur%
    					
    où la variable %nomserveur% est un paramètre substituable, et vous devez le modifier de sorte qu'il reflète les paramètres de l'ordinateur.

    En voici un exemple :
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    REMARQUE : si Terminal Services est installé, vous devez annexer le compte d'utilisateur suivant à la liste de ceux déjà associés à ce droit :
       SeInteractiveLogonRight = TsInternetUser
    					
    En voici un exemple :
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - ou encore -
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Autorisations compatibles uniquement avec des utilisateurs de Windows 2000

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    REMARQUE : si Internet Information Services est installé, vous devez ajouter les droits d'utilisateur suivants. La variable nomserveur est un paramètre substituable, que vous devez modifier de sorte qu'elle reflète les paramètres de l'ordinateur :
       SeBatchLogonRight = IWAM_nomserveur,IUSR_nomserveur
       SeInteractiveLogonRight = IUSR_nomserveur
       SeNetworkLogonRight = IUSR_nomserveur
    					
    Enregistrez et fermez le nouveau fichier GptTmpl.inf.


  2. Incrémentation de la version de la stratégie de groupe. Vous devez attribuer un numéro supérieur à la version de la stratégie de groupe afin d'avoir la garantie que les modifications de stratégie sont retenues. Le fichier Gpt.ini contrôle les numéros des versions des modèles de stratégie de groupe.
    1. Ouvrez le fichier Gpt.ini à partir de l'emplacement suivant :
      cheminsysvol\sysvol\nomdedomaine\Stratégies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Augmentez le numéro de la version en lui donnant un numéro suffisamment grand pour garantir que la réplication normale ne transforme pas le nouveau numéro de version en numéro périmé avant que la stratégie puisse être rétablie. Il est préférable d'incrémenter le numéro en ajoutant le chiffre « 0 » à la fin du numéro de version ou le numéro « 1 » au début du numéro de version.
    3. Enregistrez et fermez le fichier Gpt.ini.
  3. Appliquez la nouvelle stratégie de groupe. Utilisez Secedit pour actualiser manuellement la stratégie de groupe. Pour ce faire, tapez la ligne suivante à l'invite de commande :
    secedit /refreshpolicy machine_policy /enforce
    Dans l'Observateur d'événements, recherchez le numéro d'événement « 1704 » dans le journal Applications pour vérifier si la diffusion de la stratégie s'est effectuée correctement. Pour plus d'informations, sur l'actualisation de la stratégie de groupe, cliquez sur le numéro d'article ci-dessous pour afficher le document correspondant de la Base de connaissances Microsoft :
    227448  (http://support.microsoft.com/kb/227448/ ) Utilisation de Secedit.exe pour forcer la ré-application de la stratégie de groupe

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhowto kbgpo KB267553
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store