DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 821546 - Dernière mise à jour: mardi 30 janvier 2007 - Version: 7.0

Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).

Sommaire

Résumé

Cet article décrit les droits de l'utilisateur "Emprunter l'identité d'un client après l'authentification" et "Créer des objets globaux". Ces nouveaux paramètres de sécurité ont été introduits pour la première fois dans le Service Pack 4 (SP4) Windows 2000 afin d'améliorer la sécurité dans Windows 2000. Outre les nouveaux paramètres de sécurité, cet article donne des informations sur certains problèmes connus qui peuvent survenir et sur la façon de les résoudre.

Important Vous devez prendre en compte les problèmes suivants lorsque vous appliquez les droits de l'utilisateur "Emprunter l'identité d'un client après l'authentification" et "Créer des objets globaux" en utilisant la Stratégie de domaine par défaut ou la Stratégie de groupe :
  • Les droits de l'utilisateur "Emprunter l'identité d'un client après l'authentification" et "Créer des objets globaux" ne s'appliquent qu'aux ordinateurs Windows 2000 avec Service Pack 4 installé ou version ultérieure.
  • Vous pouvez utiliser la Stratégie de domaine par défaut ou la Stratégie de groupe pour appliquer les paramètres de sécurité "Emprunter l'identité d'un client après l'authentification" et "Créer des objets globaux" aux ordinateurs de votre environnement si le Service Pack 2 (SP2) Windows 2000 ou version ultérieure est installé sur ces ordinateurs. Même si vous pouvez déployer ces paramètres de sécurité dans un environnement d'ordinateurs Windows 2000 avec Service Pack 2 ou Service Pack 3 installé, ils s'appliquent uniquement aux ordinateurs Windows 2000 avec Service Pack 4 installé. Ils ne s'appliquent pas aux ordinateurs Windows 2000 avec Service Pack 2 ou Service Pack 3 installé.
  • Vous ne devez pas utiliser la Stratégie de domaine par défaut ni aucune autre Stratégie de groupe pour appliquer l'un de ces nouveaux droits de l'utilisateur (ou les deux) à des ordinateurs Windows 2000 ou Windows 2000 avec Service Pack 1 installé. Si vous utilisez la Stratégie de domaine par défaut ou une autre Stratégie de groupe pour appliquer ces droits de l'utilisateur à des ordinateurs Windows 2000 ou Windows 2000 avec Service Pack 1 installé, la propagation desparamètres de sécurité de la stratégie échoue. Cela signifie que la stratégie n'est pas propagée aux ordinateurs Windows 2000 ou Windows 2000 avec Service Pack 1 installé et que les droits de l'utilisateur ne s'affichent pas dans le composant logiciel enfichable Paramètres de sécurité locaux. Les scénarios suivants peuvent se produire si vous utilisez la Stratégie de domaine par défaut ou une autre Stratégie de groupe pour appliquer l'un de ces nouveaux droits de l'utilisateur (ou les deux) à des ordinateurs Windows 2000 ou Windows 2000 avec Service Pack 1 installé :
    • Les paramètres de sécurité supplémentaires qui sont regroupés dans le même objet Stratégie de groupe et qui ciblent des systèmes Windows 2000 ou Windows 2000 avec Service Pack 1 installé ne sont pas propagés aux périphériques de destination.
    • Les paramètres de sécurité supplémentaires qui sont appliqués par l'intermédiaire d'autres Stratégies de groupe du chemin d'accès SDOU (Site, Domaine, Unité d'organisation) aux systèmes Windows 2000 ou Windows 2000 avec Service Pack 1 installé seront propagés.
    • Si l'un de ces nouveaux paramètres de sécurité (ou les deux) est ciblé sur des systèmes Windows 2000 ou Windows 2000 avec Service Pack 1 installé, le composant logiciel enfichable de sécurité MMC local de ces systèmes ne peut pas afficher correctement les paramètres de sécurité. Cependant, tous les paramètres de sécurité appliqués aux systèmes cibles à partir d'autres objets Stratégie de groupe côté domaine (qui ne contiennent pas les nouveaux paramètres) seront encore appliqués à ces systèmes cibles.
  • De même, vous pouvez utiliser la stratégie de sécurité par défaut des contrôleurs de domaine pour appliquer les paramètres de sécurité "Emprunter l'identité d'un client après l'authentification" et "Créer des objets globaux" aux contrôleurs de domaine de votre environnement si le Service Pack 2 (SP2) Windows 2000 ou version ultérieure est installé sur ces contrôleurs. Même si vous pouvez déployer ces paramètres de sécurité dans un environnement de contrôleurs de domaine Windows 2000 avec Service Pack 2 ou Service Pack 3 installé, ils s'appliquent uniquement aux contrôleurs de domaine Windows 2000 avec Service Pack 4 installé. Ils ne s'appliquent pas aux contrôleurs de domaine Windows 2000 avec Service Pack 2 ou Service Pack 3 installé.

Droit de l'utilisateur "Emprunter l'identité d'un client après l'authentification" (SeImpersonatePrivilege)

Le droit de l'utilisateur "Emprunter l'identité d'un client après l'authentification" (SeImpersonatePrivilege) est un paramètre de sécurité Windows 2000 qui a été introduit pour la première fois dans le Service Pack 4 (SP4) Windows 2000. Par défaut, les membres du groupe Administrateurs local et le compte de service local du système possèdent le droit de l'utilisateur "Emprunter l'identité d'un client après l'authentification". Les composants suivants possèdent également ce droit :
  • services démarrés par le Gestionnaire de contrôle des services ;
  • serveurs COM (Component Object Model) démarrés par l'infrastructure COM et configurés pour s'exécuter sous un compte spécifique.
Lorsque vous attribuez le droit "Emprunter l'identité d'un client après l'authentification" à un utilisateur, vous autorisez les programmes qui s'exécutent pour le compte de cet utilisateur à emprunter l'identité d'un client. Ce paramètre de sécurité permet d'empêcher les serveurs non autorisés d'emprunter l'identité des clients qui utilisent des appels de procédure distants (RPC) ou des canaux nommés pour se connecter. Pour plus d'informations sur la fonction SeImpersonatePrivilege, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://msdn2.microsoft.com/en-us/library/aa375728.aspx (http://msdn2.microsoft.com/en-us/library/aa375728.aspx)
Pour plus d'informations sur les fonctions d'emprunt d'identité (telles que ImpersonateClient, ImpersonateLoggedOnUser et ImpersonateNamedPipeClient), recherchez SeImpersonatePrivilege dans la documentation du Kit de développement Microsoft Platform SDK. Pour afficher cette documentation, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://msdn2.microsoft.com/en-us/library/aa375728.aspx (http://msdn2.microsoft.com/en-us/library/aa375728.aspx)

Dépannage

  • Certains programmes qui utilisent l'emprunt d'identité peuvent ne pas fonctionner correctement après l'installation du Service Pack 4 (SP4) Windows 2000

    Une fois que vous avez installé le Service Pack 4 (SP4) Windows 2000 sur votre ordinateur, certains programmes qui utilisent l'emprunt d'identité peuvent ne pas fonctionner correctement.

    Ce problème peut se produire lorsque le compte d'utilisateur qui sert à exécuter le programme ne possède pas le droit "Emprunter l'identité d'un client après l'authentification".

    Sur les ordinateurs Windows 2000 avec Service Pack 3 installé ou version antérieure, il n'est pas nécessaire de posséder un droit d'utilisateur pour emprunter l'identité d'un client. Par conséquent, certains programmes qui utilisent l'emprunt d'identité peuvent ne pas fonctionner correctement après l'installation du Service Pack 4 (SP4) Windows 2000.

    Pour résoudre ce problème, identifiez le compte d'utilisateur qui sert à exécuter le programme, puis attribuez-lui le droit "Emprunter l'identité d'un client après l'authentification". Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Stratégie de sécurité locale.
    2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
    3. Dans le volet droit, double-cliquez sur Emprunter l'identité d'un client après l'authentification.
    4. Dans la boîte de dialogue Paramètre de stratégie de sécurité locale, cliquez sur Ajouter.
    5. Dans la boîte de dialogue Sélectionner Utilisateurs ou Groupes, cliquez sur le compte d'utilisateur à ajouter, sur Ajouter, puis sur OK.
    6. Cliquez sur OK.
    Remarque Dans les situations où vous ne pouvez pas déterminer quel compte d'utilisateur sert à exécuter le programme et où vous voulez vérifier que les symptômes sont bien dus au droit de l'utilisateur, attribuez le droit "Emprunter l'identité d'un client après l'authentification" au groupe Tout le monde, puis démarrez le programme. Si le programme fonctionne correctement, cela signifie que le nouveau paramètre de sécurité peut être la cause du problème.
  • Un message "Erreur lors de l'exécution du projet" s'affiche lorsque vous déboguez une application Web dans Visual Studio .NET

    Pour plus d'informations sur la façon de résoudre ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    821255  (http://support.microsoft.com/kb/821255/ ) Un message "Erreur lors de l'exécution du projet" s'affiche lorsque vous déboguez une application Web dans Visual Studio .NET

Droit de l'utilisateur "Créer des objets globaux" (SeCreateGlobalPrivilege)

Le droit de l'utilisateur "Créer des objets globaux" (SeCreateGlobalPrivilege) est un paramètre de sécurité Windows 2000 qui a été introduit pour la première fois dans le Service Pack 4 (SP4) Windows 2000. Pour qu'un compte d'utilisateur puisse créer des objets globaux dans une session des services Terminal Server, il doit posséder ce droit. Notez que les utilisateurs peuvent toujours créer des objets spécifiques à une session sans posséder obligatoirement ce droit. Par défaut, les membres du groupe Administrateurs, le compte Système et les services démarrés par le Gestionnaire de contrôle des services possèdent le droit "Créer des objets globaux".

Dépannage

  • Certains programmes peuvent ne pas fonctionner correctement après l'installation du Service Pack 4 (SP4) Windows 2000

    Une fois que vous avez installé le Service Pack 4 (SP4) Windows 2000 sur votre ordinateur, certains programmes peuvent ne pas fonctionner correctement. Ce problème peut se produire lorsque le compte d'utilisateur qui sert à exécuter le programme ne possède pas le droit "Créer des objets globaux".

    Pour résoudre ce problème, identifiez le compte d'utilisateur qui sert à exécuter le programme, puis attribuez-lui le droit "Créer des objets globaux". Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Stratégie de sécurité locale.
    2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
    3. Dans le volet droit, double-cliquez sur Créer des objets globaux.
    4. Dans la boîte de dialogue Paramètre de stratégie de sécurité locale, cliquez sur Ajouter.
    5. Dans la boîte de dialogue Sélectionner Utilisateurs ou Groupes, cliquez sur le compte d'utilisateur à ajouter, sur Ajouter, puis sur OK.
    6. Cliquez sur OK.
    Remarque Dans les situations où vous ne pouvez pas déterminer quel compte d'utilisateur sert à exécuter le programme et où vous voulez vérifier que les symptômes sont bien dus au droit utilisateur, attribuez le droit "Créer des objets globaux" au groupe Tout le monde, puis démarrez le programme. Si le programme fonctionne correctement, cela signifie que le nouveau paramètre de sécurité peut être la cause du problème.
  • Un message d'erreur "Mémoire insuffisante" s'affiche lorsque vous cherchez des clips dans un document Office XP au cours d'une session des services Terminal Server

    Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    821257  (http://support.microsoft.com/kb/821257/ ) Un message d'erreur "Mémoire insuffisante" s'affiche lorsque vous cherchez des clips dans un document Office XP au cours d'une session des services Terminal Server
  • L'ordinateur Windows 2000 Server cesse de répondre (se bloque) lors du redémarrage après l'installation du contrôle parental McAfee

    Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    823043  (http://support.microsoft.com/kb/823043/ ) L'ordinateur Windows 2000 Server cesse de répondre lors du redémarrage après l'installation du contrôle parental McAfee

Références

Pour plus d'informations sur la façon d'obtenir le dernier Service Pack Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910  (http://support.microsoft.com/kb/260910/ ) Comment faire pour obtenir le dernier Service Pack Windows 2000

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Service Pack 4
Mots-clés : 
kbfix kbbug KB821546
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store