locked
Upgrade DC/AD 2003SP2 vers 2008R2SP1: les nouveaux comptes créés ne peuvent pas ouvrir de session localement sur les postes RRS feed

  • Discussion générale

  • Bonjour à tous,

    J'ai effectué un upgrade d'un ancien DC 2003SP2 vers 2008R2SP1 en suivant les étapes indiquées sur différents forum: Préparation AD avec adprep32, Installation nouvelle machine 2008R2 (AD/DNS)+ vérification réplication, récupération des comptes utilisateurs + ordinateurs dans AD, dépromotion ancienne machine et retrait du réseau (le nouveau DC ayant un nom différent). 

    Depuis lors, je peux ajouter des nouvelles machines au domaine mais lorsque je crée des comptes dans la même OU à blanc ou par duplication d'un compte migré (déjà existant et qui lui peut ouvrir localement des sessions sur les postes du domaine sans problème), je recçois sous XP: "...La stratégie locale ne permet pas l'ouverture de session.." et un message moins explicite sous Windows 7 "...La méthode de connexion que vous utilisez n'est pas autorisée..."

    La GPO par défaut "Default Domaine Policy" curieusement mentionnait non défini sur "permettre l'ouverture d'une session locale" ainsi que toutes les options Attribution des droits utilisateur y figurant. Y a t il eu un loupé lors de l'upgrade ? Je n'ai pas le souvenir d'avoir reçu des messages d'erreurs graves. Normalement on devrait avoir à cet endroit des options usuelles par défaut non ?

    Sur les nouvelles machines ajoutées au domaine, seuls les administrateurs et opérateurs de sauvegarde peuvent ouvrir une session localement ce qui fait que si je rends mon nouveau compte utilisateur membre du groupe admins du domaine où que le rajoute localement comme étant membre du groupe local Opérateurs de sauvegarde sur la machine, l'ouverture de session fonctionne, mais ce n'est pas très glorieux.

    J'ai essayé d'ajouter dans la GPO par défaut "Default Domain Policy" du DC ouverture de session interactive (cesrpc) en même temps que l'option (non dangeureuse) Ouverture de session interactive: titre du message. Sur la machine cliente, cette dernière option a été propagée, mais au niveau de l'ouverture de session interactive je n'ai que Administrateurs/Opérateurs de sauvegarde et 3 entrées du style *S-1-5-332-548 à *S-1-5-332-550. Je n'y parviens pas.

    Les comptes utilisateurs et machines déjà présentes avant l'upgrade continuent de fonctionner normalement. Si je tente d'ouvrir une session sur une machine ancienne avec un nouveau compte j'obtiens la même erreur.

    Avez-vous une petite idée de ce qui se passe où une méthode pour diagnostiquer plus avant le problème ? Excusez moi ci cela manque de clareté mais j'ai un niveau quasi nul sur tout ce qui concerne les GPO. Du coup je ne sais plus trop où chercher.

    Merci de votre aide,

    Cyrille Letellier

     

     

     

    lundi 11 juillet 2011 10:23

Toutes les réponses

  • Excusez-moi,

    Je déplace mon  message dans la rubrique Poser une question.

    Cyrille Letellier

     

    mardi 12 juillet 2011 08:07