W2000 SP4 et la gestion des droits et permission

W2000 SP4 et la gestion des droits et permission - Win NT/2K/XP - Windows & Software

Marsh Posté le 02-03-2004 à 21:40:44    

je vais de problème en problème avec ma migration SP4.  
maintenant j'ai des droits sur des objets qui sautent.
en gros sur un groupe de user qui est dans une OU j'avais des droits bien particulier et bien ils ont saute.
si je veux les remmettre a la main au bout d'un certain temps ils sautent.
 
ma question :
y a t il eu un changement dans la gestion des droits, permissions, ACE, ACL dans le sp3 ou le sp4 ??
je suis aussi preneur de liens sur les eventuelles modifications apporté sur ce sujet apres le SP4.
 
Par avance merci;
:jap: :jap:


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 02-03-2004 à 21:40:44   

Reply

Marsh Posté le 02-03-2004 à 21:54:45    

Le SP4 c'est correction de bugs only, rien n'a changé dans la gestion des droits, et heureusement, c'est pas quelque chose a changer comme ca.
 
C'est uniquement avec les droits sur les OU que tu as ce genre de probleme ? Quand tu dis "ca saute", il se passe quoi exactement ?

Reply

Marsh Posté le 02-03-2004 à 22:07:19    

ben les droits que j'ajoute dans l'onglet securite sur mon groupe de user via dsa.msc disparaissent au bout d'un certains temps (entre 20 min et 40 min je dirais grossierement)
d'apres un rapide audit c'est le groupe system qui vient repropager des droits.
 
de meme j'ai un outil pour creer des utilisateurs. les user ainsi crees doivent ont des securités particuliere et la case d'heritage est cochée.
et la pareil au bout d'un certain temps la case est decoche et les securités sont modifiées.
 
ca fait un peu fantome comme ca mais ca se passe vraiment et je pense que c'est lié a des restrictions ou "amelioration" de securité apporte dans le SP4.  
je sais par exemple que dans le SP4 il y a une gestion differente des profils itinerants. Ainsi si les permissions du dossier contenant le profil du user ne correspond pas a ce qui est attendu par windows il bloque l'ouverture de session.
ceci est parametrable (desactivable) par strategie
 
D'ou ma question pour savoir si il n'y a pas une autre modif de secu qui me mettrait dedans :cry:


Message édité par boisorbe le 02-03-2004 à 22:07:54

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 02-03-2004 à 22:08:47    

T'as qu'un seul serveur ?

Reply

Marsh Posté le 02-03-2004 à 22:10:09    

un seul serveur par domaine :D
135 serveurs en tout :(  
d'ou la cata, on vient de s'en rendre compte trop tard (reste 5 serveur en SP2 et eux n'ont pas le pb)
 
et au vu de ta question je pensais aussi a un pb de replication mais je vois pas avec quoi et pourquoi


Message édité par boisorbe le 02-03-2004 à 22:10:58

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 02-03-2004 à 22:11:37    

T'as le probleme sur tous les 131 autres serveurs ?   :??:  :heink:


Message édité par El Pollo Diablo le 02-03-2004 à 22:12:03
Reply

Marsh Posté le 02-03-2004 à 22:11:55    

oui
enfin pas encore fait le tour mais 15 identifies


Message édité par boisorbe le 02-03-2004 à 22:12:12

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 02-03-2004 à 22:13:03    

Ha ouais quand meme  [:w3c compliant]  

Reply

Marsh Posté le 02-03-2004 à 22:16:12    

bon je vais me lire les quelques centaines de corrections apportées par le SP3 + SP4 :(
 
deja qu'on a vu trop tard un bug dans le msi de deploiement du SP4 (deja present dans celui du SP3 qu'on avait pas mis), la je vais en vouloir a crosoft si ca continu :O


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 02-03-2004 à 22:19:45    

Y'a keud dans les observateur d'evenement ? T'as essaye d'activer l'audit sur tes groupes pour essayer de voir ce qui se passe ?

Reply

Marsh Posté le 02-03-2004 à 22:19:45   

Reply

Marsh Posté le 02-03-2004 à 22:26:51    

rien dans les journaux d'evenement.
 
comme dit dans ma reponse plus haut j'ai mis en place un audit qui ma permis de definir le temps et le "coupable" : system (je m'en doutais un peu.
 
j'ai pas les ref de l'audit mais je les mettrais demain (quand j'aurais mon serveur sous les doigts :D )mais il parle de replication ou re application ou affectation ...
 
suis con j'aurais du me le copier dans un coin


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 03-03-2004 à 10:36:13    

voila ce que me logue mon audit et ceci 15 min apres avoir appliqué les droits à la main.
Apres ce message les droits ont sauté.
:cry:
help
 

Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès Active Directory  
ID de l'événement : 565
Date :  02/03/2004
Heure :  16:18:44
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : S-QUALIF
Description :
Objet Ouverture :
  Objet Serveur : DS
  Objet Type : DomainDNS
  Objet Nom : DC=qualif,DC=fr
  Nº du nouveau handle : 0
  Nº d'opération : {0,24235100}
  Nº de processus : 284
  Nom d'utilisateur principal : S-QUALIF$
  Domaine principal : QUALIF
  Nº de session principale : (0x0,0x3E7)
  Nom d'utilisateur du client : S-QUALIF$
  Domaine du client : QUALIF
  Nº de session du client : (0x0,0x314F9)
  Accès  Contrôler l'accès  
   
  Privilèges  -
 
 Propriétés :
Contrôler l'accès  
  replicating Directory Changes
 


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 03-03-2004 à 22:46:07    

je pense qu'un collegue a mis le doigt là ou ca fait mal
ce soir il (g-die du forum avec qui je bosse) m'a envoye ce lien qui fait peur:
http://support.microsoft.com/defau [...] ;fr;817433
 
je creuse et je vous tiens au courant


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 04-03-2004 à 09:12:43    

 [:rarules]

Reply

Marsh Posté le 04-03-2004 à 19:53:16    

bon on fait les tests lundi et mardi mais c'est clair c'est ca. En effet notre groupe à problème fait partie du groupe operateur d'impression qui est un nouveau groupe protege depuis W2000 SP3, W2000 SP4 et W2003
merci g-die ;)


Message édité par boisorbe le 04-03-2004 à 20:03:54

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 04-03-2004 à 19:57:53    

A savoir effectivement, merci pour le suivi  :jap:

Reply

Marsh Posté le 06-03-2004 à 12:29:15    

Attend, j'essaie de comprendre. Ca t'arrivait dans le cas d'une délégation ou quoi ?
Et quel est le but de cette protection des users appartenant aux groupes protégés ? Qu'ils aient tjrs les memes droits (ni plus, ni moins) où qu'une GPO ne puisse par exemple enlever à des opérateur d'imprimante le droit de gérer une imprimante ?

Reply

Marsh Posté le 06-03-2004 à 12:31:41    

Ok, si je lisais un peu plus.. Ca arrive lors des délégations ou des héritages de privilèges par les OU.

Reply

Marsh Posté le 06-03-2004 à 12:36:09    

Reply

Marsh Posté le 10-03-2004 à 01:09:11    

bon notre problème est bien celui decrit dans l'article suivant
http://support.microsoft.com/defau [...] ;fr;817433
 
nous sommes en train (enfin G-die est en train :D ) de mettre en oeuvre la methode 1 avec une personnalisation du script pour nos domaines et pour reinitialiser nos groupes à problème.
 
Nous allons également essayer de modifier le fait que operateur de serveur est un groupe protege en modifiant sa propriete admincount (passage de 1 à 0) pour pouvoir laisser nos user operateur d'impression sans avoir de reinitialisation de droit.
 
Pour le moment la solution a l'air viable (ca parait meme trop simple :D apres avoir vu nos permissions sauter comme par magie).
 
bon on finalise les tests et on mets en oeuvre
 
Si qq a deja fait joujou avec les propietes admincount ou avec adminSDHolder ou a eu affaire a notre problème je susi preneur de toute reflexion sur le sujet.
merci :jap:


Message édité par boisorbe le 10-03-2004 à 01:10:10

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 10-03-2004 à 07:52:22    

En tout cas, merci du retour... -> fav

Reply

Marsh Posté le 06-04-2004 à 16:10:53    

J?ai eu le même problème et la solution est sur cet article. http://support.microsoft.com/default.aspx?kbid=318180
 
Si les gens qui font parti d?un des groupes privilégiés d?écrits dans l?article, c?est la raison pour laquelle ils perdent l?héritage. Chez moi, il y avait tous nos gens en autorité (reset mot de passe, account Locked-out , etc,) sur des groupes utilisateur, qui faisaient aussi parti du groupe « Print Opérator ». Tous ceux et celles faisant parti d?un de ces groupes privilège d?écrit dans l?article ont le problème de « la case vide ». Retire quelques un de ce groupe privilège et vérifie au bout d?une heure. Bonne chance.


---------------
StarTech
Reply

Marsh Posté le 06-04-2004 à 20:05:59    

startech > merci pour ton post
la soluce et plutot dans le l'article que je citais juste au dessus http://support.microsoft.com/defau [...] ;fr;817433
et l'explication dans celui que tu donnes ;)
et si tu enleve des comptes du groupe protege cela  ne retablie pas leur etat initiale.
d'ou l'utilité du script propose par microsoft dans son article 817433.  
Nous l'avons adapte a notre AD et mis en oeuvre avec succes (enfin pour l'instant pas de retour).
 
notre probleme etait comme toi une appartenance au groupe operateurs d'impression


Message édité par boisorbe le 06-04-2004 à 20:06:28

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed