W2000 SP4 et la gestion des droits et permission - Win NT/2K/XP - Windows & Software
Marsh Posté le 02-03-2004 à 21:54:45
Le SP4 c'est correction de bugs only, rien n'a changé dans la gestion des droits, et heureusement, c'est pas quelque chose a changer comme ca.
C'est uniquement avec les droits sur les OU que tu as ce genre de probleme ? Quand tu dis "ca saute", il se passe quoi exactement ?
Marsh Posté le 02-03-2004 à 22:07:19
ben les droits que j'ajoute dans l'onglet securite sur mon groupe de user via dsa.msc disparaissent au bout d'un certains temps (entre 20 min et 40 min je dirais grossierement)
d'apres un rapide audit c'est le groupe system qui vient repropager des droits.
de meme j'ai un outil pour creer des utilisateurs. les user ainsi crees doivent ont des securités particuliere et la case d'heritage est cochée.
et la pareil au bout d'un certain temps la case est decoche et les securités sont modifiées.
ca fait un peu fantome comme ca mais ca se passe vraiment et je pense que c'est lié a des restrictions ou "amelioration" de securité apporte dans le SP4.
je sais par exemple que dans le SP4 il y a une gestion differente des profils itinerants. Ainsi si les permissions du dossier contenant le profil du user ne correspond pas a ce qui est attendu par windows il bloque l'ouverture de session.
ceci est parametrable (desactivable) par strategie
D'ou ma question pour savoir si il n'y a pas une autre modif de secu qui me mettrait dedans
Marsh Posté le 02-03-2004 à 22:10:09
un seul serveur par domaine
135 serveurs en tout
d'ou la cata, on vient de s'en rendre compte trop tard (reste 5 serveur en SP2 et eux n'ont pas le pb)
et au vu de ta question je pensais aussi a un pb de replication mais je vois pas avec quoi et pourquoi
Marsh Posté le 02-03-2004 à 22:11:37
T'as le probleme sur tous les 131 autres serveurs ?
Marsh Posté le 02-03-2004 à 22:11:55
oui
enfin pas encore fait le tour mais 15 identifies
Marsh Posté le 02-03-2004 à 22:16:12
bon je vais me lire les quelques centaines de corrections apportées par le SP3 + SP4
deja qu'on a vu trop tard un bug dans le msi de deploiement du SP4 (deja present dans celui du SP3 qu'on avait pas mis), la je vais en vouloir a crosoft si ca continu
Marsh Posté le 02-03-2004 à 22:19:45
Y'a keud dans les observateur d'evenement ? T'as essaye d'activer l'audit sur tes groupes pour essayer de voir ce qui se passe ?
Marsh Posté le 02-03-2004 à 22:26:51
rien dans les journaux d'evenement.
comme dit dans ma reponse plus haut j'ai mis en place un audit qui ma permis de definir le temps et le "coupable" : system (je m'en doutais un peu.
j'ai pas les ref de l'audit mais je les mettrais demain (quand j'aurais mon serveur sous les doigts )mais il parle de replication ou re application ou affectation ...
suis con j'aurais du me le copier dans un coin
Marsh Posté le 03-03-2004 à 10:36:13
voila ce que me logue mon audit et ceci 15 min apres avoir appliqué les droits à la main.
Apres ce message les droits ont sauté.
help
Type de l'événement : Audit des succès |
Marsh Posté le 03-03-2004 à 22:46:07
je pense qu'un collegue a mis le doigt là ou ca fait mal
ce soir il (g-die du forum avec qui je bosse) m'a envoye ce lien qui fait peur:
http://support.microsoft.com/defau [...] ;fr;817433
je creuse et je vous tiens au courant
Marsh Posté le 04-03-2004 à 19:53:16
bon on fait les tests lundi et mardi mais c'est clair c'est ca. En effet notre groupe à problème fait partie du groupe operateur d'impression qui est un nouveau groupe protege depuis W2000 SP3, W2000 SP4 et W2003
merci g-die
Marsh Posté le 06-03-2004 à 12:29:15
Attend, j'essaie de comprendre. Ca t'arrivait dans le cas d'une délégation ou quoi ?
Et quel est le but de cette protection des users appartenant aux groupes protégés ? Qu'ils aient tjrs les memes droits (ni plus, ni moins) où qu'une GPO ne puisse par exemple enlever à des opérateur d'imprimante le droit de gérer une imprimante ?
Marsh Posté le 06-03-2004 à 12:31:41
Ok, si je lisais un peu plus.. Ca arrive lors des délégations ou des héritages de privilèges par les OU.
Marsh Posté le 06-03-2004 à 12:36:09
En passant si vous pouviez faire un tour
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
et
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
Marsh Posté le 10-03-2004 à 01:09:11
bon notre problème est bien celui decrit dans l'article suivant
http://support.microsoft.com/defau [...] ;fr;817433
nous sommes en train (enfin G-die est en train ) de mettre en oeuvre la methode 1 avec une personnalisation du script pour nos domaines et pour reinitialiser nos groupes à problème.
Nous allons également essayer de modifier le fait que operateur de serveur est un groupe protege en modifiant sa propriete admincount (passage de 1 à 0) pour pouvoir laisser nos user operateur d'impression sans avoir de reinitialisation de droit.
Pour le moment la solution a l'air viable (ca parait meme trop simple apres avoir vu nos permissions sauter comme par magie).
bon on finalise les tests et on mets en oeuvre
Si qq a deja fait joujou avec les propietes admincount ou avec adminSDHolder ou a eu affaire a notre problème je susi preneur de toute reflexion sur le sujet.
merci
Marsh Posté le 06-04-2004 à 16:10:53
J?ai eu le même problème et la solution est sur cet article. http://support.microsoft.com/default.aspx?kbid=318180
Si les gens qui font parti d?un des groupes privilégiés d?écrits dans l?article, c?est la raison pour laquelle ils perdent l?héritage. Chez moi, il y avait tous nos gens en autorité (reset mot de passe, account Locked-out , etc,) sur des groupes utilisateur, qui faisaient aussi parti du groupe « Print Opérator ». Tous ceux et celles faisant parti d?un de ces groupes privilège d?écrit dans l?article ont le problème de « la case vide ». Retire quelques un de ce groupe privilège et vérifie au bout d?une heure. Bonne chance.
Marsh Posté le 06-04-2004 à 20:05:59
startech > merci pour ton post
la soluce et plutot dans le l'article que je citais juste au dessus http://support.microsoft.com/defau [...] ;fr;817433
et l'explication dans celui que tu donnes
et si tu enleve des comptes du groupe protege cela ne retablie pas leur etat initiale.
d'ou l'utilité du script propose par microsoft dans son article 817433.
Nous l'avons adapte a notre AD et mis en oeuvre avec succes (enfin pour l'instant pas de retour).
notre probleme etait comme toi une appartenance au groupe operateurs d'impression
Marsh Posté le 02-03-2004 à 21:40:44
je vais de problème en problème avec ma migration SP4.
maintenant j'ai des droits sur des objets qui sautent.
en gros sur un groupe de user qui est dans une OU j'avais des droits bien particulier et bien ils ont saute.
si je veux les remmettre a la main au bout d'un certain temps ils sautent.
ma question :
y a t il eu un changement dans la gestion des droits, permissions, ACE, ACL dans le sp3 ou le sp4 ??
je suis aussi preneur de liens sur les eventuelles modifications apporté sur ce sujet apres le SP4.
Par avance merci;
---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate