none
Comment faire...sur Windows Server 2008 (1)

All replies

  • 1. Comment puis-je déployer le nombre, la devise, la date et l'heure du format via la stratégie de groupe?

     Vous pouvez utiliser les méthodes suivantes pour déployer le nombre, la monnaie, le format de la date et de l'heure  via stratégie de groupe:

     

     

    Méthode 1: Utiliser la préférence de la stratégie de groupe

    ======== ======================== ======== ========================

    S'il existe un serveur Windows Server 2008 ou Windows Vista SP1 avec une machine RSAT dans le  domaine  Windows Server 2003/2008, vous pouvez déployer les préférence de stratégie de groupe des options régionales pour gérer  le format du temps et de la date pour un ensemble d'utilisateurs.

     

     

    [ User Configuration\Preferences\Control Panel Settings\Regional Options ]
    [Configuration utilisateur \ Preferences \ Control Panel Settings \ Options régionales]

     

    Pour de plus amples renseignements, vous pouvez vous référez aux articles suivants de TechNet:

    Extension Options régionales

    http://technet.microsoft.com/fr-fr/library/cc754496.aspx  

    Activer et désactiver les paramètres d'un élément de préférence

    http://technet.microsoft.com/fr-fr/library/cc754299.aspx  

     

    Vue d'ensemble de préférences

    http://technet.microsoft.com/fr-fr/library/cc732027.aspx

     

    Vous n'avez pas besoin de mettre à niveau vers Windows Server 2008 pour utiliser la stratégie de groupe des politiques de préférence.

    Vous pouvez configurer un élément de préférence pour une stratégie de groupe dans un environnement Windows Server 2003 soit auprès d'un serveur Windows Server 2008 ou un ordinateur Windows Vista, Service Pack 1 client avec mise la  mise à jour RSAT installée.Si vous ne possédez pas Windows Server 2008 Server, vous pouvez télécharger et installer Remote Server Administration Tools sur Windows Vista avec SP1 sur un client  Vista  pour les  gérer et les configurer.

     

    Les extensions options client  pour la nouvelle  fonctionnalité  de préférence de la stratégie de groupe sont tenues dans Windows XP Service Pack 2 (SP2), Windows Server 2003 Service Pack 1 (SP1) et Windows Vista pour le traitement de ces éléments de préférence. Pour télécharger et installer les  extensions options client  , vous pouvez vous référer à l’article:

     

    Information sur les nouvelles préférences de stratégie de groupe dans Windows Server 2008

    http://support.microsoft.com/kb/943729 http://support.microsoft.com/kb/943729/fr

     

    Méthode 2: Utiliser un script de démarrage

    ========= ============== ========= ==============

    Les entrées du registre pour les préférences régionales  se trouvent à l’emplacement suivant:

     

    HKEY_CURRENT_USER \ Control Panel \ International

     

    Si vous ne disposez pas d’un serveur Windows Server 2008 ou d’une machine Windows Vista SP1 avec RSAT , vous pouvez déployer un script  qui s’applique à l'ouverture de session ou vous pouvez créer un fichier personnalisé custom.adm pour configurer l'entrée de Registre.

     

    Vous pouvez exécuter les étapes suivantes pour déployer ces paramètres via le script qui s’applique à l'ouverture de session:

     

    1.  Ouvrez une OuvrezOuOsession en tant qu'administrateur et configurez les paramètres régionaux  selon vos besoins.  

    2. Exportez la  clé  de registre [HKEY_CURRENT_USER \ Control Panel \ International] dans un fichier de registre et de mettez ce  fichier registre dans un dossier de partage

    3. Créez un nouveau fichier script (Windows Batch File) avec  la commande suivante:

     regedit / s <Voie vers le fichier registre>

     

    Par exemple, si le chemin vers le fichier de Registre est \ \ server \ share \ RegionalSetting.reg, vous pouvez inclure la commande suivante dans le fichier batch:

     

     regedit s \ \ server \ share \ RegionalSetting.reg

     

    4. Créer un GPO pour déployer le script de démarrage  pour exécuter le fichier batch nouvellement créé pour les utilisateurs.

     

    Si vous ne souhaitez pas déployer ces paramètres via un script de démarrage, vous pouvez également créer un modèle d'administration personnalisé (anglais : ‘’custom administrative template‘’), et déployer ces paramètres par ce modèle. Pour créer un modèle d'administration, vous pouvez faire référence à l'article suivant:

     

    Comment créer des modèles d'administration personnalisés dans Windows 2000 (s'appliquent à Windows Server 2003)

    http://support.microsoft.com/kb/323639/fr


    Roxana Panait, MSFT
    Thursday, December 10, 2009 3:26 PM
  • 2.  Comment puis-je déployer l’option de sécurité renforcée Internet Explorer dans Windows Server 2008 par la politique du groupe?

     

    Le modèle d'administration inetesc.adm fichier peut également être utilisé pour déployer l’option de sécurité renforcée d'Internet Explorer sur Windows Server 2008.

    Pour faire cela, vous pouvez télécharger le fichier ADM à partir du lien ci-dessous et l'importer dans un GPO.

    http://www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&DisplayLang=en  

    Voici les étapes détaillées:

     

    1. Créez un nouveau GPO ou utiliser un GPO existant pour configurer l’option de sécurité renforcée d’Internet Explorer

     2. Click-droit sur un GPO et sélectionnez Modifier.

    3. Développez Configuration ordinateur \ Politiques, cliquez droit sur Modèles d'administration, puis sélectionnez Ajout / Suppression de modèles.

    4. Cliquez sur le bouton Ajouter, puis double-cliquez sur le fichier  *.adm pour l'importer.

    5. Après cela, vous devriez voir Classic Administrative Templates (ADM) dans le cadre des Modèles d'administration.

    6. Développez  cet élément, et ensuite vous pourrez configurer les politiques de sécurité renforcée d’Internet Explorer comme dans le domaine Windows 2003 .


    Roxana Panait, MSFT
    Thursday, December 10, 2009 3:31 PM
  • 3. Comment puis-je faire en sorte que la barre de langue soit visible via une stratégie de groupe?

    Pour le moment, il n'existe pas de stratégie de groupe disponible pour contrôler si la barre de langue est visible. Toutefois, les paramètres de la barre de langue sont stockés dans la clé de registre suivante:

     

    HKEY_CURRENT_USER \ Software \ Microsoft \ CTF \ LangBar

     

    La valeur showStatus devient 0 lorsque nous choisissons l'option "flottante sur le bureau"

    La valeur showStatus devient "3" si est "Cachée" (valeur qui est celle défaut).

    La valeur showStatus devient "4" lorsqu'il est réglé à "Epinglée à la barre des tâches"

     

    Par conséquent, vous pouvez contrôler la barre des langues en utilisant un script qui s’applique à l'ouverture de session pour définir la valeur showStatus.Voici un exemple de script pour activer la barre de langue:

     

    Dim WshShell

     

    Set WshShell = WScript.CreateObject("WScript.Shell")

     

    WshShell. RegWrite" HKCU\Software\Microsoft\CTF\LangBar\ShowStatus", 4, "REG_DWORD"

    Note. Vous avez besoin de fermer la session et de la rouvrir pour que le changement prenne effet, même si vous le modifiez en utilisant le script de démarrage.

     

    Si vous ne souhaitez pas déployer ces paramètres via un script de démarrage, vous pouvez également créer un modèle d'administration personnalisé, puis déployer ces paramètres . Pour créer un modèle d'administration, vous pouvez vous référez à l’article suivant :

     

    Comment créer des modèles d'administration personnalisés dans Windows 2000 (s'applique aussi à Windows Server 2003)  ‘’

     http://support.microsoft.com/kb/323639/fr

     


    Roxana Panait, MSFT
    Thursday, December 10, 2009 3:35 PM
  • 4. Comment puis-je déplacer une instance AD LDS d'un ordinateur à un autre?


    Vous pouvez déplacer une instance AD LDS d'un serveur à un autre avec une sauvegarde effectuée avec Dsdbutil.exe. Pour ce faire, vous pouvez effectuer les étapes suivantes:

    Sur l'ordinateur source

    ---------------------------- ----------------------------

    les étapes décrites dans le lien suivant pour créer une instance de sauvegarde AD LDS :

     

    Étape 1: Sauvegarde des données AD LDS

    http://technet.microsoft.com/fr-fr/library/cc816727(WS.10).aspx

     

    Sur l'ordinateur cible

    ---------------------------- ----------------------------

    Vous pouvez suivre les étapes suivantes:

     

    1.      Créer une nouvelle instance AD LDS en utilisant les mêmes paramètres qui ont été spécifiés lors de l'installation de l'instance AD LDS que vous souhaitez récupérer ou déplacer. In this case, do not create an application directory partition during setup. Dans ce cas, ne créez pas une partition de répertoire de l'application pendant l'installation. Vous pouvez restaurer votre partition originale de répertoire d'applications à partir de votre sauvegarde. Par conséquent, sur la page de la partition de répertoire d'application dans l'Active Directory Lightweight Directory Services Setup Wizard, cliquez sur Non, ne pas créer une partition de répertoire d'application.

    2.       Restaurer l'instance avec la sauvegarde prise avec Dsdbutil.exe. Pour les étapes détaillées, consultez:

     

    Etape 2: Restauration des données d'instance AD LDS

    http://technet.microsoft.com/fr-fr/library/cc725903(WS.10).aspx


    Roxana Panait, MSFT
    Thursday, December 10, 2009 3:47 PM
  • 5. Comment puis-je exporter une liste de comptes d'utilisateurs qui sont activés à partir d'Active Directory?

    UserAccountControl. Quand un compte d'utilisateur est désactivé, le drapeau suivant est fixé:

     

    Propriété ‘flag’

    Valeur en hexadécimal

    Valeur en décimal

    ACCOUNTDISABLE 

    0x0002

    2

     


    Pour exporter tous les comptes activés, on pourrait préciser le filtre suivant:

    (&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))

    Par exemple, nous pourrions exporter tous les comptes utilisateur activés via la commande suivante,

    csvde -d "dc=<Domain>,dc=<com>" -r "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -f enabled.csv

    De même, on pourrait exporter tous les comptes utilisateurs désactivés via la commande suivante.

     

    csvde -d " dc=<Domain>,dc=<com>" -r "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))" -f disabled.csv

    REMARQUE: Il n'y a pas de "!" avant "userAccountControl".

     

    Pour plus d'informations sur les indicateurs UserAccountControl et comment les manipuler, vous pouvez consulter l'article suivant: 

    Comment utiliser les indicateurs UserAccountControl pour manipuler les propriétés du compte utilisateur
    http://support.microsoft.com/kb/305144/fr

     

    Comment faire pour interroger Active Directory en utilisant un filtre au niveau du bit

    http://support.microsoft.com/kb/269181/fr


    Roxana Panait, MSFT
    Thursday, December 10, 2009 3:50 PM
  • 6. Comment puis-je contrôler la composition d’un groupe d'utilisateurs local via une stratégie de groupe?


    Vous pouvez utiliser la stratégie de groupes limités pour contrôler l'appartenance à un groupe pour les clients de domaine. Les groupes restreints permettent à un administrateur de définir les propriétés suivantes pour les  groupes limités

    Membres  (Members )

    Membre du (Member Of )

     

     

    La liste des "membres" définit qui doivent et qui ne doivent pas appartenir au groupe limité. La liste  ‘’Member of ‘’ précise à quels autres groupes devrait appartenir le groupe limité.  

    Par exemple, si vous souhaitez ajouter un groupe global pour devenir membre du groupe Administrateurs sur tous les postes de travail, vous pouvez configurer la stratégie de groupe ‘’Groupes Limités ‘’. Pour les étapes détaillées, vous pouvez consulter l'article suivant:  

    Comment faire pour configurer un groupe global pour être membre du groupe Administrateurs sur tous les postes de travail

    http://support.microsoft.com/kb/320065/fr  

    Pour plus d'informations sur la stratégie de groupe pour les groupes limités, vous pouvez consulter les articles suivants :

     

    Description des groupes de stratégie de groupe restreint

    http://support.microsoft.com/kb/279301/fr  

    Mises à jour du comportement de Groupes restreints (« Membre de ») des groupes locaux définis par l'utilisateur

    http://support.microsoft.com/kb/810076/fr  

    Lorsque vous utilisez la  fonctionnalité des groupes restreints "Membre de",  les objets de la stratégie de groupe dans Windows Server 2003 peuvent ne pas être traités dans l'ordre prévu

    http://support.microsoft.com/kb/925443/fr


    Roxana Panait, MSFT
    Thursday, December 10, 2009 3:55 PM
  • 7. Comment puis-je utiliser le filtre WMI pour appliquer la stratégie de groupe aux versions spécifiques des systèmes d'exploitation et à un ordinateur de type serveur Core?


    Si vous souhaitez contrôler l'application des politiques du groupe par la version du système d'exploitation de l'ordinateur, vous pouvez envisager d'utiliser le  filtre WMI dans ce scénario. Les filtres Windows Management Instrumentation (WMI) vous permettent de déterminer dynamiquement le scope des objets de stratégie de groupe (GPO) basé sur des attributs de l'ordinateur cible. Pour plus d'informations sur les filtres WMI, vous pouvez consulter les liens suivants :

     

    Comment faire : les stratégies de type ‘’Leverage Groupe ‘’ avec les filtres WMI

    http://support.microsoft.com/kb/555253/fr-fr

     

    Filtrage WMI

    http://technet.microsoft.com/fr-fr/library/cc779036(WS.10).aspx  

     Pour différencier les systèmes d'exploitation d'ordinateurs, vous pouvez construire des filtres WMI en utilisant la version et les propriétés OperatingSystemSKU de la classe Win32_OperatingSystem WMI. Voici quelques exemples:

     

    SELECT Version FROM Win32_OperatingSystem WHERE Version < "6"

    Version < "6" <<- OS tout autre système en dehors de Vista / Windows Server 2008, qui sont la version 6.xx

     

    SELECT Version FROM Win32_OperatingSystem WHERE Version = "5.1.2600"

    Version = "5/1/2600" <<- OS est spécifiquement Windows XP SP2

     

    SELECT Version FROM Win32_OperatingSystem WHERE Version LIKE "6.0.%"

    Version LIKE "6.0.%" <<- OS est soit Vista ou Windows Server 2008 uniquement

     

    SELECT * FROM Win32_OperatingSystem WHERE Version LIKE “6.0.%” AND ProductType <> “1”

    Version LIKE "6.0.%" ET ProductType <> "1" <<- OS est spécifiquement Windows Server 2008 Server / DC seulement

     SELECT OperatingSystemSKU FROM Win32_OperatingSystem WHERE OperatingSystemSKU = 12

    OR OperatingSystemSKU = 39 OR OperatingSystemSKU = 14 OR OperatingSystemSKU = 41 OR

    OperatingSystemSKU = 13 OR OperatingSystemSKU = 40 OR OperatingSystemSKU = 29

     


    L’ordinateur Server Core. Ces valeurs de la carte sont associées aux valeurs HEX, qui s’associent à:

     

    PRODUCT_DATACENTER_SERVER_CORE

    PRODUCT_DATACENTER_SERVER_CORE_V

    PRODUCT_ENTERPRISE_SERVER_CORE

    PRODUCT_ENTERPRISE_SERVER_CORE_V

    PRODUCT_STANDARD_SERVER_CORE

    PRODUCT_STANDARD_SERVER_CORE_V

    PRODUCT_WEB_SERVER_CORE

    Plus d'information

    ------------------------- -------------------------

    http://msdn.microsoft.com/en-us/library/ms724358.aspx


    Roxana Panait, MSFT
    Thursday, December 10, 2009 4:01 PM
  • 8. Comment puis-je configurer différentes stratégies de mots de passe pour différents types d'utilisateurs de domaine?


    Dans Microsoft Windows 2000 et Windows Server 2003 des domaines Active Directory, une seule stratégie de mot de passe et une seule stratégie de verrouillage du compte pourraient être appliquées à tous les utilisateurs dans le domaine. Ces politiques ont été décrites dans la stratégie de domaine par défaut pour le domaine.Le système d'exploitation Windows Server 2008 fournit aux organisations un moyen de définir des stratégies de mots de passe différents et de verrouillage des comptes pour les différents ensembles d'utilisateurs dans un domaine. C’est la stratégie de mots de passe affinée, appelé ‘’ Fine-Grained ‘’. Par exemple, vous pouvez appliquer des paramètres plus stricts pour les comptes privilégiés et des paramètres moins stricts sur les comptes des autres utilisateurs. Dans d'autres cas, vous voulez appliquer une politique de mot de passe spécial pour les comptes dont les mots de passe sont synchronisés avec les autres sources de données.

     

    Pour plus d'informations sur la politique de mot de passe ‘’ Fine-Grained ‘’, vous pouvez consulter :

    Services de domaine Active Directory : stratégies de mot de passe affinées

     http://technet.microsoft.com/fr-fr/library/cc770394(WS.10).aspx


    Roxana Panait, MSFT
    Thursday, December 10, 2009 4:16 PM
  • 9. Comment puis-je configurer les utilisateurs d’avoir appliqués certaines  stratégies spécifiques de groupe seulement lorsqu’ils se connectent à certains ordinateurs, tels que terminal server?


    Généralement, la stratégie de groupe s'applique aux utilisateurs ou ordinateurs d'une manière qui dépend de l'endroit où les objets utilisateur et ordinateur sont situés dans Active Directory. Toutefois, dans certains cas, les utilisateurs peuvent avoir besoin d'une stratégie de groupe qui leur soit appliquée seulement en fonction de l'emplacement de l'objet ordinateur. Vous pouvez utiliser la fonctionnalité de bouclage des stratégies de groupe pour appliquer des objets de stratégie de groupe (GPO) qui ne dépendent que de l'ordinateur sur lequel l'utilisateur ouvre une session.

     

    Pour définir la configuration de l’utilisateur par ordinateur, suivez ces étapes:

     

    Dans Microsoft Group Policy Management Console (GPMMC), cliquez sur Configuration ordinateur.

    Localisez Modèles d'administration, cliquez sur Système, cliquez sur Stratégie de groupe, puis activez l'option politique de bouclage (Loopback Policy).

     

    Cette politique oriente le système pour appliquer un ensemble des GPO pour l'ordinateur à tout utilisateur qui se connecte à un ordinateur affecté par cette politique. Cette politique est destinée aux ordinateurs à utilisation spéciale, où vous devez modifier la stratégie d'utilisateur sur l'ordinateur qui est utilisé, par exemple, des ordinateurs dans les lieux publics, dans les laboratoires, les salles de classe, etc

     

    Pour plus d'informations sur la politique de bouclage, vous pouvez consulter :

     Traitement en boucle de la stratégie de groupe :

    http://support.microsoft.com/kb/231287/fr  

    La politique de groupe de traitement en boucle est particulièrement utile dans un environnement Terminal Server. Les administrateurs veulent généralement verrouiller une session Terminal Server afin que tous les utilisateurs obtiennent un environnement restreint lorsqu'ils se connectent à la session de terminal, mais cette restriction ne devrait pas affecter les autres sessions ouvertes quand un utilisateur se connecte aux autres ordinateurs de domaine.  

    Pour verrouiller une session Terminal Server, vous pouvez consulter les articles suivants:  

    Comment faire pour verrouiller une session Terminal Server sur un ordinateur Windows Server 2003 ou Windows 2000

    http://support.microsoft.com/kb/278295/fr  

    Verrouiller les  sessions Windows Server 2003 Terminal Server

    http://www.microsoft.com/downloads/details.aspx?FamilyID=7f272fff-9a6e-40c7-b64e-7920e6ae6a0d&DisplayLang=en


    Roxana Panait, MSFT
    Thursday, December 10, 2009 4:52 PM
  • 10. Comment puis-je migrer vers ou reconstruire un domaine Windows Server 2008?


    Parfois, vous pouvez choisir de restructurer votre environnement existant et de migrer vers un nouveau domaine complète Windows Server 2008 en raison des considérations suivantes:

     

    • Pour optimiser l’arrangement des éléments dans la structure logique Active Directory

    • Pour aider à réaliser une fusion d'entreprise, acquisition ou cession

     

    La restructuration implique la migration des ressources entre des domaines Active Directory soit dans la même forêt ou dans des forêts différentes. Vous pouvez utiliser Active Directory Migration Tool Version 3.1 (ADMT v3.1) pour effectuer la migration des objets et pour transférer les options de sécurité nécessaires afin que les utilisateurs puissent conserver l'accès aux ressources réseau pendant le processus de migration. Pour télécharger l'outil ADMT v3.1, vous pouvez consulter :

     

    Active Directory Migration Tool version 3.1

    http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=ae279d01-7dca-413c-a9d2-b42dfb746059

     

    Comme la migration de domaine est une tâche assez complexe, vous pouvez lire le livre blanc suivant avant d'effectuer la tâche de migration:

     

    Guide: Migrating and Restructuring Active Directory Domains - Français

    http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=6d710919-1ba5-41ca-b2f3-c11bcb4857af

    Migration des rôles de serveur vers Windows Server 2008 R2

    http://technet.microsoft.com/fr-fr/library/dd365353(WS.10).aspx

    11 bonnes raison pour migrer vers Windows Server 2008

    http://download.microsoft.com/download/C/A/C/CAC53773-824B-4B94-955C-3145F8BC7297/Les_11_bonnes_raisons_de_migrer_a_Windows_Server_2008.pptx


    Roxana Panait, MSFT
    Thursday, December 10, 2009 4:55 PM
  • 11. Windows Server 2008  échoue dans l’authentification du compte utilisateur du domaine approuvé avec l'erreur en disant que «La base de données de sécurité sur le serveur ne dispose pas d'un compte d'ordinateur pour la relation de confiance poste de travail."


    Symptôme

    ========= =========

    Dans un environnement multi-domaine, vous pouvez trouver que l'ordinateur ne parvient pas à authentifier les comptes d'utilisateurs d'un domaine approuvé in Windows Server 2008 or Windows Vista Service Pack 1 based computer. dans Windows Server 2008 ou Windows Vista Service Pack 1 .

     

    Si vous essayez d'utiliser un compte utilisateur du domaine de confiance pour se connecter à cet ordinateur, l'erreur suivante peut se produire :

    "La base de données de sécurité sur le serveur ne dispose pas d'un compte d'ordinateur pour la relation de confiance avec ce poste de travail."  (http://support.microsoft.com/kb/325874 )

     

    Cause possible

    ============

    Ce comportement peut se produire si la relation de confiance entre ces deux domaines est celui du  de type «niveau inférieur - downlevel». Si le type de confiance est considéré comme de niveau inférieur et la tentative de connexion échoue avec Kerberos erreur "0xC000018B - STATUS_NO_TRUST_SAM_ACCOUNT", Windows Server 2008 ou Windows Vista SP1 ne reviendra pas à l'authentification NTLM.

     

    REMARQUE: Pour vérifier le statut de confiance, vous pouvez exécuter l'outil NLTEST.exe. Utilisez la commande suivante:

    nltest / domain_trusts

    La sortie pourrait ressembler à ce qui suit:

    0: <Domain 1> (NT 4) (Direct Inbound)
    1: <Domain 2> (NT 5) (Direct Inbound)
    2: <Domain 3> (NT 5) (Direct Inbound)

    Si le type est "NT 4", cela signifie que la confiance est la confiance de niveau inférieur.

     

    Résolution

    ========

    Pour résoudre ce problème, recréer la confiance entre les domaines Active Directory pour éliminer le type d'approbation de niveau inférieur.

    Après avoir recréé la confiance, lancez "nltest / domain_trusts" de nouveau pour vérifier que le type de confiance est "NT 5".

     

    Plus d'information

    ======== =======

    Lorsque le niveau de confiance est de niveau inférieur et quand Kerberos a échoué avec  l'erreur STATUS_NO_TRUST_SAM_ACCOUNT, Windows Server 2008 ou Vista SP1 se comporte différemment de Windows Server 2003 ou Vista RTM. Windows Server 2008 et Vista SP1 ne reviendra pas vers NTLM. C’est un changement de conception réalisé pour répondre aux préoccupations de sécurité concernant une attaque Downgrade.


    Roxana Panait, MSFT
    Thursday, December 10, 2009 4:58 PM
  • 12. Les stratégies de groupe de maintenance d’Internet Explorer ne s'appliquent pas pendant les procédures d'ouverture de session ultérieures.


    Symptôme

    =========

    Vous configurez Internet Explorer sur les ordinateurs clients Windows en utilisant  Active Directory Internet Explorer Maintenance Group Policies pour personnaliser la page d'accueil Internet Explorer.

     La stratégie est appliquée uniquement la première fois que l'utilisateur ouvre une session. Par exemple, la page d'accueil de l'utilisateur est changée à la page d'accueil qui est spécifiée dans l'objet Stratégie de groupe (GPO). Si l'utilisateur modifie plus tard sa page d'accueil vers une autre, le GPO ne remet jamais de nouveau à la page spécifiée dans l'objet GPO au cours d'une procédure de connexion ultérieure.

     

    This behavior is applicable to all Internet Explorer Maintenance Policies Ce comportement est applicable pour toutes les politiques de maintenance d'Internet Explorer.

     

    Cause possible

    ============

    Il y a deux causes possibles:

     

    1. Pendant les procédures d'ouverture de session ultérieure, Gpt.ini est interrogée et la version est bien vérifiée. Le client ‘pense’ que le GPO a déjà été appliqué et donc le fichier l'IEAK \ Install.ins n'est pas demandé lors de la deuxième procédure de connexion. Parce que le fichier Install.ins n'est pas demandé, la valeur Home_page n'est pas traitée et n'est pas remise à la page d'accueil qui est spécifiée dans le GPO.

    2. La politique de maintenance d’Internet Explorer est configurée en Mode Préférence. Le mode préférence de maintenance d’Internet Explorer est conçu pour fournir des paramètres initiaux pour un utilisateur sans forcer l'application de ces paramètres. Par exemple, l'utilisateur peut définir la page du portail intranet de l'entreprise comme page d'accueil. Si aucune autre restriction ne s'applique, l'utilisateur peut modifier ces paramètres. Quand la politique de maintenance d’Internet Explorer est en mode préférence, la politique sera appliquée  de nouveau à un ordinateur client seulement si la politique a changé. A ce moment-là, les nouvelles préférences seront introduites sur l'ordinateur client.

     

    Résolution

    ========

    1. Activez la stratégie " Traitement de la  stratégie  de maintenance d’Internet Explorer" sous [Computer Configuration \ Administrative Templates \ System \ Group Policy] et cochez l'option "Traiter même si les objets Stratégie de groupe n'ont pas changé". Cette option met à jour et réapplique de nouveau les politiques même si les politiques n'ont pas changé. Pour ce faire, suivez les étapes suivantes:

     

    a. Ouvrez la stratégie de groupe correspondant dans l'éditeur de stratégie de groupe (Group Policy Editor).

    b. Recherchez la  stratégie de groupe [Computer Configuration \ Administrative Templates \ System \ Group Policy \  Internet Explorer Maintenance Policy Processing], double-cliquez dessus pour ouvrir la boîte de dialogue Propriétés.

    c. Sélectionnez l'option "Activé" et cochez l’option : "Traiter même si les objets Stratégie de groupe n'ont pas changé". This option updates and reapplies the policies even if the policies have not changed.

    d. Cliquez sur OK.

    e. Actualisez la stratégie de groupe pour tester de nouveau ce problème.

     

    2. Veillez à ce que la politique ne soit pas configurée en Mode Préférence.

     

    a. Ouvrez et éditez le GPO où vous avez configuré les paramètres de maintenance IE.

    b. Ouvrez [Configuration utilisateur \ Paramètres Windows \  Maintenance Internet Explorer].

    c. Cliquez droit sur l’élément au-dessus du point "Internet Explorer Maintenance", et vérifiez si le "Mode Préférence" est coché.

    d. Si l’option est cochée, il faut réinitialiser les paramètres et désactiver le "Mode Préférence". Pour ce faire,

     

      - Notez tous les paramètres que vous avez configurés. We need to re-configure them later. Nous avons besoin de reconfigurer plus tard.

      - Clic droit sur l’élément "Internet Explorer Maintenance» dans le volet gauche et cliquez sur "Réinitialiser les paramètres du navigateur.

      - Clic droit sur l’élément "Maintenance d’Internet Explorer" dans le volet de gauche, et veillez à décocher la case "Mode Préférence".

      - Reconfigurer vos paramètres. 

      - Actualiser la stratégie de groupe et attendez jusqu'à ce que cette modification ait été répliquée sur tous les autres DCs et puis vérifiez de nouveau cette question.


    Roxana Panait, MSFT
    Thursday, December 10, 2009 5:03 PM
  • 13. Le service Serveur DHCP ne démarre pas sur Windows Server 2008  contrôleur de domaine en lecture seule (Read-Only Domain Controller).


    Symptôme

    =========

    Sur un  Windows Server 2008 Read-Only Domain Controller (RODC), le service Serveur DHCP ne démarre pas. Lorsque vous essayez de démarrer le service, le message d'erreur suivant apparait:

    Une erreur est survenue en essayant de démarrer le service Serveur DHCP sur <computername.domainname.com>.Pour plus d'informations sur l'erreur, consultez l'Observateur d'événements.  

    La demande n'est pas pris en charge.

    Dans le journal des événements système, les événements suivants peuvent être enregistrés:

     

    Produit: Système d'exploitation Windows
    ID: 1035
    Source: Microsoft-Windows-DHCP-Server
    Version: 6.0
    Nom symbolique: EVENT_SERVER_READ_ONLY_GROUP_ERROR
    Message: Le service DHCP a été incapable de créer ou de rechercher le groupe local des utilisateurs DHCP sur cet ordinateur. Le code d'erreur est dans les données.

     

    Produit: Système d'exploitation Windows
    ID: 1036
    Source: Microsoft-Windows-DHCP-Server
    Version: 6.0
    Nom symbolique: EVENT_SERVER_ADMIN_GROUP_ERROR
    Message: Le serveur DHCP a été incapable de créer ou de rechercher  le groupe local des utilisateurs DHCP sur cet ordinateur. Le code d'erreur est dans les données.

     

    Cause possible

    ============

    Ce comportement est attendu. Le service DHCP essaie de créer et de lire les  groupes "Utilisateurs DHCP" et "Administrateurs DHCP" dans Active Directory. Toutefois, cela ne peut pas se faire sur Read-Only Domain Controllers. Les objets ne peuvent être répliqués dans un RODC à partir d'un DC en écriture.

     

    Résolution

    ========

    Pour contourner ce problème, appliquez l'une des méthodes suivantes:

     

    Méthode 1

    -------------

    Créez les groupes manuellement sur un contrôleur de domaine accessible en écriture et répliquez -les sur le RODC.

     

    Méthode 2

    --------------

    1. Installez DHCP sur un contrôleur de domaine accessible en écriture pour permettre aux groupes d'être créés automatiquement, puis permettez-le de se répliquer sur le RODC.
    2. Désinstaller le service serveur DHCP du DC en écriture et les groupes resteront.

     

    Plus d'information

    ============ ====

    Applications compatibles avec les contrôleurs de domaine en lecture seule

    http://technet.microsoft.com/fr-fr/library/cc732790(WS.10).aspx  


    Roxana Panait, MSFT
    Thursday, December 10, 2009 5:11 PM
  • 14. L’option " Enterprise root CA " n'est pas disponible lorsque vous essayez d'installer le composant Services de certificats dans Windows Server 2003.


    Symptôme

    =========

    Dans Microsoft Windows Server 2003, l’option Enterprise root CA n'est pas disponible. Ce problème se produit lorsque vous essayez d'installer le composant Services de certificats et mettre en place une autorité de certification.

     

    Cause possible

    ============

    Ce problème peut se produire si le conteneur Active Directory Public Key Services n’existe pas. Par exemple, ce problème peut se produire si l'outil ADSIEdit (Adsiedit.msc) a été utilisé pour supprimer le conteneur Public Key Services.

     

    Résolution

    ========

    Pour résoudre ce problème, vous pouvez consulter l’article :   

    « Dans Windows Server 2003, l'option " Enterprise root CA " n'est pas disponible lorsque vous essayez d'installer le composant services de certificats»

     

    http://support.microsoft.com/kb/938613/fr-fr


    Roxana Panait, MSFT
    Friday, December 11, 2009 7:16 AM
  • 15. Les paramètres de la stratégie de groupe ne sont pas appliqués sur les ordinateurs membres qui exécutent Windows Server 2008 ou Windows Vista SP1 lorsque certaines stratégies de signature SMB sont activés.


    Symptôme

    =========

    Consider the following scenario: Considérez le scénario suivant:

     

     • Les politiques suivantes sont activées sur un contrôleur de domaine qui exécute Windows Server 2003 dans un domaine:

     

     [Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité \ Serveur réseau Microsoft: communications signées numériquement (toujours)]

     [Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité \ Serveur réseau Microsoft: communications signées numériquement (lorsque le client l'accepte)]

     

    • Les politiques suivantes sont activées sur un ordinateur membre qui exécute Windows Vista Service Pack 1 ou Windows Server 2008 dans le même domaine:

     

     [Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité \ Client réseau Microsoft: communications signées numériquement (toujours)]

    [Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité \  Serveur réseau Microsoft: communications signées numériquement (si le serveur accepte) ]

     

    Dans ce scénario, les paramètres Stratégie de groupe ne sont pas appliqués sur l'ordinateur membre. En outre, l'événement suivant est enregistré dans le journal système sur l'ordinateur membre: 

    Date: Date

    Event ID: 1058

    Level: Error

    Mots-clés:

    User: UserSID

    Computer: NomOrdinateur

    Description:

    Le traitement de la stratégie de groupe a échoué. Windows a tenté de lire le fichier \ \ chemin \ gpt.ini à partir d'un contrôleur de domaine et n'a pas réussi. Les paramètres de la stratégie de groupe peuvent ne pas être appliqués jusqu'à ce que cet événement soit résolu. Cette question peut être transitoire et a pu être causée par un ou plusieurs des suivantes:

    a) Résolution du Nom / connectivité réseau au contrôleur de domaine en cours.

    b) Latence du service de réplication de fichiers (un fichier créé sur un autre contrôleur de domaine n'a pas été répliqué sur le contrôleur de domaine en cours).

    c) Le système de fichiers distribués (DFS) client a été désactivé.

     

    Note : Ce problème se produit uniquement sur les ordinateurs membres qui exécutent Windows Server 2008 ou Windows Vista Service Pack 1 (SP1). Il ne se produit pas sur les ordinateurs membres qui exécutent Windows Server 2003, Windows XP ou la version RTM de Windows Vista. 

    Possible Cause

    ============

     

    Lorsqu'un Server Message Block (SMB) version 1 client établit une session non hôte ou une session non anonyme avec un serveur, le client permet des signatures de sécurité pour le serveur. Les sessions suivantes héritent alors de séquence de signature de sécurité qui est déjà établie.
     
    Pour améliorer la sécurité, Windows Server 2008 et Windows Vista SP1 empêchent les connexions authentifiées au serveur  d'être rétrogradées à une session d'utilisateur ou à une session anonyme. Toutefois, cette amélioration de la sécurité ne traite pas le scénario qui est décrit dans la section «Symptômes».

     

    Résolution

    ========

    Pour résoudre ce problème, s'il vous plaît télécharger et installer le correctif décrit dans l'article suivant:

      

    Paramètres de stratégie de groupe ne sont pas appliqués sur les ordinateurs membres qui exécutent Windows Server 2008 ou Windows Vista SP1 lorsque certaines stratégies de signature SMB sont activées

    http://support.microsoft.com/kb/950876/fr

     

    Pour contourner ce problème, appliquez l'une des méthodes suivantes:

     

    Méthode 1

     

    Désactiver la politique suivante sur les ordinateurs membres qui exécutent Windows Server 2008 ou Windows Vista SP1:   

    Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité \ Client réseau Microsoft: communications signées numériquement (toujours)

     

    Méthode 2

    Sur les ordinateurs membres qui exécutent Windows Server 2008 ou Windows Vista SP1, procédez comme suit:

       

     1. Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, puis appuyez sur ENTRER.

     2. Recherchez l'entrée de registre RequireSecuritySignature sous la clé de registre suivante:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters  

     3. Clic droit sur la clé RequireSecuritySignature, puis cliquez sur Modifier.

     4. Dans la zone de la valeur, tapez 0, puis cliquez sur OK.

     5. Fermez l’éditeur de registres.

     

    Méthode 3

    Sur les ordinateurs membres qui exécutent Windows Server 2008 ou Windows Vista Service Pack 1, procédez comme suit:

      

     1. Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, puis appuyez sur ENTRER.

     2. Recherchez la clé de registre suivante AllowGuestAuthWhenSigningRequired :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters  

     3. Cliquez-droit sur AllowGuestAuthWhenSigningRequired, puis cliquez sur Modifier.

     4. Dans la zone de valeur, tapez 1, puis cliquez sur OK.

     5. Fermer l’éditeur de registres


    Roxana Panait, MSFT
    Friday, December 11, 2009 7:26 AM
  • 16.  L'événement 1091 est enregistré toutes les 5 minutes sur  les ordinateurs membres de domaine qui exécutent Windows Vista Service Pack 1 ou Windows Server 2008

     
    Symptôme

    =========

    L'événement 1091 est enregistré toutes les 5 minutes sur les ordinateurs membres de domaine qui exécutent Windows Vista Service Pack 1 ou Windows Server 2008

     

    Eventlog: System

    Source: Microsoft-Windows-GroupPolicy

    EventID: 1091

    Windows n'a pas pu enregistrer  d'information sur le jeu de stratégie résultant (RSoP) pour l'extension de stratégie de groupe <Group Policy Registry>. Les  paramètres de stratégie de groupe sont appliqués avec succès à l'ordinateur ou à l'utilisateur; mais, des outils de gestion peuvent ne pas rapporter avec précision.

     

    Cause possible

     ============

    1. Certains fichiers MOF qui sont nécessaires pour générer le résultat RSoP sont manquants.

    2. Vous configurez une politique de sécurité de fichier pour définir les permissions de fichiers sur un dossier. En outre, le chemin que vous avez spécifié pour le dossier contient quelques variables d'environnement. Par exemple, vous spécifiez le chemin d'accès suivant pour le dossier:

     

    %ALLUSERSPROFILE%\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP % ALLUSERSPROFILE% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

     

    Le moteur de la stratégie de groupe traduit les variables d'environnement de façon incorrecte

     

    Résolution

    ========

    1. Vérifiez que vous avez les fichiers suivants:

    %SYSTEMROOT%\system32\wbem\en-US\polprocl.mfl % SYSTEMROOT% \ System32 \ WBEM \ en- US\ polprocl.mfl

     

    NOTE: "en-US" devrait être remplacé par la langue actuelle qui est installé ( fr-fr)

     

    2. Si ces fichiers sont manquants, vous pouvez les copier à partir d’une installation Windows Server 2008 complètement fonctionnelle, puis exécutez la commande suivante pour recompiler le fichier .mof à partir d’une invite de commandes avec permissions administratives:

     

    mofcomp% SYSTEMROOT% \ System32 \ WBEM \ polprocl.mof

    gpupdate / force

     

    3. Si vous configurer la politique de sécurité des fichiers et vous utilisez des variables d'environnement dans le chemin du fichier, téléchargez et installez le correctif décrit dans l'article suivant:

     

    Le composant logiciel RSoP n'affiche pas certaines stratégies de sécurité des fichiers et l’ événement 1091 est enregistré sur les ordinateurs membres du domaine qui exécutent le Windows Vista Service Pack 1  ou Windows Server 2008

    http://support.microsoft.com/kb/955248/fr


    Roxana Panait, MSFT
    Friday, December 11, 2009 7:27 AM
  • 17. DCPROMO échoue avec l'erreur suivante: «Pour installer un contrôleur de domaine dans cette forêt Active Directory, vous devez d'abord préparer la forêt à l'aide de «adprep /forestprep».


    Symptôme

    =========

    Vous souhaitez installer un contrôleur de domaine Windows Server 2008 dans un domaine Windows Server 2003. Vous avez exécuté les commandes "adprep /forestprep" et "adprep /domainprep" en utilisant les fichiers "sources/adprep" depuis le serveur Windows server 2008. Toutefois, lorsque vous exécutez dcpromo sur le serveur de 2008, vous recevez toujours le message d'erreur suivant :

     

    Pour installer un contrôleur de domaine dans cette forêt Active Directory, vous devez d'abord préparer la forêt à l'aide de "adprep /forestprep"

     

    Cause possible

    ============

    Ce problème peut se produire si vous utilisez  médias pre - RTM pour ADPrep.

     

    Résolution

    ========

    Pour le vérifier, ouvrez adsiedit.msc sur le contrôleur de domaine qui joue le rôle principal d'opérations d'infrastructure, développez vers cn = ActiveDirectoryUpdate, cn = DomainUpdates, cn = system, DC = domaine, cliquez avec le bouton droit de la souris sur cn = ActiveDirectoryUpdate et puis vérifiez la valeur de la révision de l'attribut.

     

    Si vous utilisez des  médias pré-RTM, la révision est 2.

    Si vous utilisez un support média RTM, la révision est 3.

     

    S'il s'agit des médias pré-RTM, veuillez trouver une version RTM de médias de Windows Server 2008 pour exécuter de nouveau les commandes "adprep /forestprep" et "adprep /domainprep".


    Roxana Panait, MSFT
    Friday, December 11, 2009 7:29 AM
  • 18.  Le service ‘’ Services de certificats Active Directory ‘’ ne démarre pas sur un serveur d'autorité de certification Windows Server 2008 si le fournisseur de stockage des clés ne prend pas en charge la signature de hachage SHA1.

     


    Symptôme

    =========

    Envisagez le scénario suivant :

     

            Vous exécutez un ordinateur basé sur Windows Server 2008 qui a un fournisseur de stockage de clés de tiers (KSP) installé. 

            La KSP de tiers ne permet pas de signature de hachage SHA1. La KSP peut être configuré pour interdire la signature de hachage SHA1 ou peut ne pas prendre en charge la it.

            Vous installez le rôle des services de certificats Active Directory sur l'ordinateur. Lorsque vous effectuez cette opération, vous configurez les services de certificat à utiliser la KSP pour l’ autorité de certification de la clé privée.

     

    Dans ce scénario, le service de services de certificats Active Directory ne démarre pas. En outre, l'événement suivant est enregistré dans le journal système :

    Type d'événement : erreur

    Source de l'événement : CertSvc

    Catégorie d'événement : aucun

    ÉVÉNEMENT: 100

    Date : date

    Temps : temps

    Utilisateur: n/A

    Ordinateur : nom_ordinateur

    Description: "le service Services de Certificats Active Directory n'a pas pu démarrer : impossible de vérifier le certificat actuel. CAName ErrorDescription"

     

    Cause possible

    ============

    Lorsque le service Services de Certificats Active Directory démarre, il teste la clé privée en signant un hachage SHA1 aléatoire. Si la KSP qui est utilisé pour la clé privée ne permet pas  la signature de hachage SHA1, le service de services de certificats Active Directory ne démarre pas.

     

    Résolution

    ========

    Pour résoudre ce problème, téléchargez et installez le correctif décrit dans l'article suivant:

    Le service Services de certificats Active Directory ne démarre pas sur un serveur d'autorité de certification Windows Server 2008 si le fournisseur de stockage de clé ne prend pas en charge la signature de hachage SHA1

    http://support.microsoft.com/kb/952722/fr


    Roxana Panait, MSFT
    Friday, December 11, 2009 7:31 AM
  •  19. Vous recevez les erreurs event id 1030 et 1058 provenant d'userenv disant que "Windows ne peut pas accéder au fichier gpt.ini pour la GPO CN = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, CN = Policies, CN = System, DC = domainname, DC = com".


    Symptôme

    =========

    Vous rencontrez un ou plusieurs des symptômes suivants sur un ordinateur qui exécute Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000 :

     

    Les paramètres de stratégie de groupe ne sont pas appliqués aux ordinateurs.

    La réplication de la stratégie de groupe n'est pas achevée entre les contrôleurs de domaine du réseau.

    Vous ne pouvez pas ouvrir les composants logiciels (snap-ins) de la stratégie de groupe. Par exemple, vous ne pouvez pas ouvrir le composant logiciel enfichable Stratégie de sécurité du contrôleur de domaine, ou le composant logiciel enfichable Stratégie de sécurité de domaine

     

    Si vous affichez le journal des applications dans l'observateur d'événements sous Windows XP ou Windows Server 2003, vous verrez les événements qui sont semblables aux événements suivants :

     

    Type d'événement : erreur
    Source de l'événement : Userenv
    Catégorie d'événement : aucun
    ÉVÉNEMENT: 1058
    Date : date
    Temps : temps
    Utilisateur : nom_utilisateur
    Ordinateur : nom_ordinateur
    Description : Windows ne peut pas accéder au fichier gpt.ini pour la GPO CN = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, CN = Policies, CN = System, DC = domainname, DC = com. Le fichier doit être présent à l'emplacement < \\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini >. (Error_Message). Le traitement de la stratégie de groupe abandonnée. Pour plus d'informations, consultez le centre d'aide et de support à http://support.Microsoft.com.

     

    Type d'événement : erreur

    Source de l'événement : Userenv

    Catégorie d'événement : aucun

    ÉVÉNEMENT: 1030

    Date : date

    Temps : temps

    Utilisateur : nom_utilisateur

    Ordinateur : nom_ordinateur

    Description : Windows ne peut pas demander la liste des objets de stratégie de groupe. Un message qui décrit la raison en était précédemment connecté par le moteur de stratégie. Pour plus d'informations, consultez le centre d'aide et de support à l'adresse suivante : http://support.microsoft.com.

     

    Cause possible

    ============

    Ces problèmes se produisent si les ordinateurs qui se trouvent sur votre réseau ne peuvent pas se connecter à certains objets de stratégie de groupe. Plus précisément, ces objets sont dans les dossiers SYSVOL sur les contrôleurs de domaine de votre réseau.

     

    Résolution

    ========

    Étant donné qu'il y a plusieurs causes possibles de cette erreur de l'événement, nous suggérons que vous faites référence à l'article suivant de la base de connaissances pour résoudre la configuration de votre réseau pour affiner la cause et ensuite corriger la configuration :

     

    L'application de la stratégie de groupe provoque des erreurs Userenv et des événements sur vos ordinateurs Windows Server 2003, Windows XP ou Windows 2000

    http://support.microsoft.com/kb/887303/fr  

    Les principales étapes sont les suivantes :

     

    Étape 1 : Examinez les paramètres DNS et les propriétés réseau des serveurs et des ordinateurs clients

    Étape 2: Examinez les paramètres de signature  Server Message Block  sur les ordinateurs clients et les serveurs membres

    Étape 3: Assurez-vous que le service d'assistance TCP/IP NetBIOS est démarré sur tous les ordinateurs

    Étape 4: Assurez-vous que le système de fichiers distribués (DFS) est activé sur tous les ordinateurs

    Étape 5: Examinez le contenu et les autorisations du dossier SYSVOL

    Étape 6: Vérifiez que le  droit ‘’ Bypass traverse checking ‘’ soit accordé pour les groupes requis

    Étape 7: Vérifiez que les contrôleurs de domaine ne soient pas dans l’état ‘’ journal wrap state ‘’

    Étape 8: Exécutez la commande  Dfsutil /PurgeMupCache


    Roxana Panait, MSFT
    Friday, December 11, 2009 7:33 AM
  • 20. Un ordinateur Windows Vista ou Windows Server 2008 a besoin au moins de la permission de lecture pour les objets de stratégie de groupe dans AD DS si l'ordinateur est configuré pour le traitement de bouclage.

     

    Symptôme

    =========

    Si un ordinateur Windows Vista ou Windows Server 2008 est configuré pour le traitement de bouclage, l'ordinateur ne reçoit pas les paramètres du GPO dans AD DS.

     

    Cause possible

    ============

    Ce comportement dans Windows Vista et Windows Server 2008 est modifié en comparaison avec le comportement dans Windows XP et Windows Server 2003. Windows Vista et Windows Server 2008 tentent de récupérer les attributs d'objets de stratégie de groupe pour les utilisateurs à partir de l'ordinateur. Dans Windows Vista ou Windows Server 2008, la politique de bouclage ne s'applique pas si l'ordinateur n'a pas au moins l'autorisation lecture sur les objets de stratégie de groupe.

     

    Résolution

    ========

    Pour lire les attributs des GPO, l'ordinateur doit avoir au moins la permission de lecture pour les objets de stratégie de groupe. Assurez-vous que l'objet ordinateur dispose de la permission de lecture sur l'objet de stratégie de groupe.

    1. Ouvrez la console de gestion de stratégie de groupe, développez l'arborescence de la forêt et le domaine sur le panneau de gauche.

    2. Sélectionnez la stratégie de groupe de bouclage. Les paramètres seront affichés sur le côté droit du panneau.

    3. Dans l'onglet "Scope", vérifiez la configuration "Filtrage de sécurité" pour s'assurer que l'objet ordinateur a au moins autorisation de lecture. Par défaut, le groupe "Utilisateurs authentifiés" possède cette autorisation. Si vous n'avez pas personnalisé les paramètres de sécurité pour la stratégie de groupe, ce n’est un problème car un ordinateur d'un domaine appartient au groupe "Utilisateurs authentifiés".


    Roxana Panait, MSFT
    Friday, December 11, 2009 7:34 AM