Partager via

  • Article

Les autorisations des utilisateurs authentifiés sont supprimées

Dernière rubrique modifiée : 2009-01-23

Dans un environnement AD DS (services de domaine Active Directory) verrouillé, les entrées de contrôle d'accès des utilisateurs authentifiés sont supprimées des conteneurs Active Directory par défaut, notamment Utilisateurs, Configuration ou Système, et des unités d'organisation où sont stockés les objets Utilisateur et Ordinateur. La suppression des entrées de contrôle d'accès des utilisateurs authentifiés empêche l'accès en lecture aux informations Active Directory. Toutefois, le fait de supprimer les entrées de contrôle d'accès crée des problèmes pour le serveur Office Communications Server, car celui-ci dépend de l'accès en lecture à ces conteneurs pour permettre aux utilisateurs d'exécuter la préparation d'un domaine.

Dans cette situation, l'appartenance au groupe DomainAdmins (Administrateurs du domaine), requise pour exécuter la préparation d'un domaine, l'activation du serveur et la création de pools, n'octroie plus l'accès en lecture aux informations Active Directory stockées dans les conteneurs par défaut. Vous devez octroyer manuellement les autorisations d'accès en lecture sur divers conteneurs du domaine racine de la forêt pour vérifier que la procédure préalable de préparation d'une forêt a abouti.

Pour permettre à un utilisateur d'exécuter la préparation d'un domaine, l'activation d'un serveur ou la création d'un pool dans un domaine autre que le domaine racine de la forêt, vous disposez des options suivantes :

  • Utilisez un compte qui est un membre du groupe EnterpriseAdmins (Administrateurs de l'entreprise) pour exécuter la préparation de domaine.
  • Utilisez un compte qui est un membre du groupe DomainAdmins (Administrateurs du domaine) et octroyez-lui des autorisations d'accès en lecture sur chacun des conteneurs suivants du domaine racine de la forêt :
    • Domaine
    • Configuration ou Système

Si vous ne voulez pas utiliser un compte qui est un membre du groupe EnterpriseAdmins (Administrateurs de l'entreprise) pour exécuter la préparation d'un domaine ou d'autres tâches de configuration, octroyez explicitement l'accès en lecture au compte que vous voulez utiliser sur les conteneurs concernés de la racine de la forêt.

Pour attribuer des autorisations d'accès en lecture sur les conteneurs dans le domaine racine de la forêt

  1. Ouvrez une session sur l'ordinateur lié au domaine racine de la forêt en utilisant un compte qui est un membre du groupe DomainAdmins (Administrateurs du domaine) pour le domaine racine de la forêt.

  2. Exécutez adsiedit.msc pour le domaine racine de la forêt.

    Si les entrées de contrôle d'accès des utilisateurs authentifiés ont été supprimées du conteneur Domaine, Configuration ou Système, vous devez octroyer des autorisations en lecture seule au conteneur, en procédant comme indiqué ci-après.

  3. Cliquez avec le bouton droit sur le conteneur, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Sécurité.

  5. Cliquez sur Avancé.

  6. Sous l'onglet Autorisations, cliquez sur Ajouter.

  7. Tapez le nom de l'utilisateur ou du groupe qui reçoit les autorisations en respectant le format suivant : domaine\nom du compte.

  8. Cliquez sur OK.

  9. Sous l'onglet Objets, dans S'applique à, cliquez sur Cet objet uniquement.

  10. Dans Autorisations, sélectionnez les entrées de contrôle d'accès suivantes en cliquant sur la colonne Autoriser : Lister le contenu, Lire toutes les propriétés et Autorisations de lecture.

  11. Cliquez sur OK à deux reprises.

  12. Répétez ces étapes pour tous les conteneurs concernés répertoriés à l'étape 2.