locked
Disparition users dans droits d'accès (reste uniquement le SID) RRS feed

  • Question

  • Bonjour à tous,

    mon problème est similaire à un problème qui a été posé le 30 octobre mais qui n'a pas eu de réponse finale. Sur un serveur 2003 server (SP + updates à jour) j'ai un problème de disparition des droits d'accès pour un user précis. Mon problème est présent pour chaque répertoire où j'essaye. Je pense savoir pourquoi mais je voudrais la confirmation. Ce serveur est membre d'un domaine qui a pour nom "toto". J'ai besoin de rajouter un accès à un utilisateur local qui a le même nom "toto" de façon à ce que l'utilisateur d'un PC qui est configuré en workgroup puisse accéder aux répertoires du serveur. Je sais que ça n'est pas conseillé mais pour différentes raisons je ne peux pas faire autrement. J'ai ainsi configuré sur le serveur un utilisateur local avec le nom "toto" et le même password que sur le PC. Mon problème est que si je rajoute ce user dans les droits d'accès du répertoire le nom disparait aussitôt pour ne garder que le SID. Est-ce dû au fait que le user local a le même nom que le domaine ? Pour information si je donne accès aux utilisateurs authentifiés à ce répertoire le user du PC y accède mais je ne peux pas faire ça d'un point de vue sécurité. Merci d'avance pour vos réponses.
    jeudi 12 novembre 2009 09:19

Réponses

  • Oups Freddy je ne suis pas d'accord... Dans une ACL tu positionnes le SID qui est ensuite associé à un nom... Je ne suis pas d'accord avec ta phrase :
    "Windows tente de résoudre en premier lieu ce nom sur le domaine et donc te renvoie le SID du domaine." Un lapsus peut être

    sinon ce midi pas la je t'ai laissé un mail hier... On voit pour semaine prochaine ?
    cdlt

    Ludo

    http://ludovikdopierala.blogspot.com/

    Hello Ludo,

    concernant les droits pour moi cela se passe comme ca:

    1. Tu ajoutes un nom d'utilisateur à un droit
    2. Ce nom est converti en SID en prenant pour référence le domaine en 1er lieu si le poste est membre du domaine.
    3. Quand tu affiches les droits sur un répertoire, le SID est converti en nom.

    Cela explique d'ailleurs la raison pour laquelle lorsque tu donnes les droits sur un poste à un compte utilisateur qui a le meme nom que le nom netbios du domaine, c'est le SID du domaine qui s'affiche.

    Du moins c'est comme cela que je le comprends, mais je me trompe peut être =))

    P.S: Je n'ai pas reçu ton mail; problème avec la MU !! ;p Oki pour la semaine prochaine.
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    vendredi 13 novembre 2009 10:41
  • Bonjour, Le comportment décrit par AA16 est "normal". Les raisons pour lesquelles il n'est pas recommandé d'utiliser un compte local portant le même nom qu'un domaine se trouve dans l'article KB suivant: http://support.microsoft.com/kb/946812. Sinon, pour info, la méthode générique LsaLookupSids est responsable pour la traduction des SIDs vers des noms (vers différents format). Elle se base notamment sur la liste des domaines (nom de la machine locale, domaine d'apprtenance, domaines trustés...).
    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    samedi 14 novembre 2009 15:50

Toutes les réponses

  • Bizare car lorsque le SID seulement est affiché c'est qu'il ne trouve pas l'autorité d'authentification ou que le compte a été supprimé.

    cdlt,

    Ludo,

    http://ludovikdopierala.blogspot.com

    jeudi 12 novembre 2009 10:30
  • Bonjour,

    oui c'est définitivement dû au fait que l'utilisateur à le meme nom que le domaine et le SID affiché doit d'ailleurs logiquement être celui du domaine non ?

    Pourquoi vouloir créer un utilisateur qui a le meme nom que le domaine et te mettre dans ce cas de figure non géré ?

    Windows tente de résoudre en premier lieu ce nom sur le domaine et donc te renvoie le SID du domaine.
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    jeudi 12 novembre 2009 10:41
  • Oups Freddy je ne suis pas d'accord... Dans une ACL tu positionnes le SID qui est ensuite associé à un nom... Je ne suis pas d'accord avec ta phrase :
    "Windows tente de résoudre en premier lieu ce nom sur le domaine et donc te renvoie le SID du domaine." Un lapsus peut être

    sinon ce midi pas la je t'ai laissé un mail hier... On voit pour semaine prochaine ?
    cdlt

    Ludo

    http://ludovikdopierala.blogspot.com/
    vendredi 13 novembre 2009 10:31
  • Oups Freddy je ne suis pas d'accord... Dans une ACL tu positionnes le SID qui est ensuite associé à un nom... Je ne suis pas d'accord avec ta phrase :
    "Windows tente de résoudre en premier lieu ce nom sur le domaine et donc te renvoie le SID du domaine." Un lapsus peut être

    sinon ce midi pas la je t'ai laissé un mail hier... On voit pour semaine prochaine ?
    cdlt

    Ludo

    http://ludovikdopierala.blogspot.com/

    Hello Ludo,

    concernant les droits pour moi cela se passe comme ca:

    1. Tu ajoutes un nom d'utilisateur à un droit
    2. Ce nom est converti en SID en prenant pour référence le domaine en 1er lieu si le poste est membre du domaine.
    3. Quand tu affiches les droits sur un répertoire, le SID est converti en nom.

    Cela explique d'ailleurs la raison pour laquelle lorsque tu donnes les droits sur un poste à un compte utilisateur qui a le meme nom que le nom netbios du domaine, c'est le SID du domaine qui s'affiche.

    Du moins c'est comme cela que je le comprends, mais je me trompe peut être =))

    P.S: Je n'ai pas reçu ton mail; problème avec la MU !! ;p Oki pour la semaine prochaine.
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    vendredi 13 novembre 2009 10:41
  • Pour la MU pas d'accord :-) Je te l'ai envoyé sur hotmail lol

    Je suis d'accord avec toi la ... son problème est l'étape 3, donc SID vers nom. Or d'après ce que tu avais écris ça laissé pensez que le nom était converti en SID en étape 3...

    Normalement en étape 1 quand il ajoute le user il le renseigne au format DOMAINE\USER où son domaine = son nom de machine donc la résolu en SID local sans confusion...

    Je ne vois pas trop d'où vient son soucis

    @ la semaine prochaine

    Ludo

    vendredi 13 novembre 2009 10:48
  • Bonjour, Le comportment décrit par AA16 est "normal". Les raisons pour lesquelles il n'est pas recommandé d'utiliser un compte local portant le même nom qu'un domaine se trouve dans l'article KB suivant: http://support.microsoft.com/kb/946812. Sinon, pour info, la méthode générique LsaLookupSids est responsable pour la traduction des SIDs vers des noms (vers différents format). Elle se base notamment sur la liste des domaines (nom de la machine locale, domaine d'apprtenance, domaines trustés...).
    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    samedi 14 novembre 2009 15:50
  • Ha ok super merci

    cdlt
    Ludo

    http://ludovikdopierala.blogspot.com/


    lundi 16 novembre 2009 10:33
  • bonjour
    Comme vous semblez bien vous y connaitre en ACL et SID pourriez-vous jeter un oeil sur mon autre topic car je fais face à une problématique de clonage d'acl pour une arborescence de répertoire complexe que je n'arrive pas à resoudre par subinacl qui ne fait que transferer les ACL et non les cloner pour un nouvel utilisateur ou en l'occurence un groupe d'utilisateur


    Merci pour ceux qui pourront m'aider et pardon d'avoir polluer ce topic
    mardi 24 novembre 2009 12:16
  • Le plus simple est d'ouvrir un autre topic sinon on ne va pas s'en sortir et la visibilité ne sera pas extra

    cdlt,

    Ludo

    http://ludovikdopierala.blogspot.com
    mardi 24 novembre 2009 12:47