none
Problème de création de GPO sur 2003SBS RRS feed

  • Question

  • Bonjour à tous.

     

    Je viens de prendre la gestion d'une plate-forme d'une centaine de PC équipée de 2003SBS.

     

    J'ai un problème de droits avec les GPO:

    • Avec une GPO existante (Default Domain Policy), un message d'erreur apparait m'indiquant "Accès refusé" chaque fois que je veux changer une valeur. Malgré ce message, la valeur est modifiée !
    • Le même type de message apparait lorsque je veux créer une nouvelle GPO, mais dans ce cas, ma nouvelle GPO n'est pas crée.

    Je suis bien évidemment connecté avec un compte d'administrateur du domaine.

     

     

    Quelqu'un aurait'il un début de solution ??

     

    Merci par avance pour votre aide

     

    JY

    vendredi 19 octobre 2007 16:16

Toutes les réponses

  • Bonsoir,

     

    commence par regarder les droits exact du compte administrateurr que tu utilises sur l'objet de GPO que tu veux modifier.

     

    Ensuite, regarde si le compte administrateur a les droits nécessaires sur les dossiers contenus dans le partage SYSVOL.

     

    A+

     

    vendredi 19 octobre 2007 21:01
    Modérateur
  • Bonjour.

    Mon compte d'administrateur fait entre autres partie des groupes "Admins du domaine" et "Administrateurs".

     

    Dans la console "Gestion des stratégies de groupe", en sélectionnant par exemple  "Default Domain controllers Policy", dans l'onglet "Délégation", "Admins du domaine" apparait avec les droits "Modification des paramètres, supprimer, modifier de la sécurité".

     

    Pour ce qui est de SYSVOL, les droits sur le dossier portant le nom de mon organisation sont "Controle total" pour le groupe "Administrateurs". Ces droits sont bien hérités par les fichiers et sous-dossiers compris dans celui-ci.

     

    Pour le moment, tout me semble cohérent, et je séche un peu ......

     

    Merci pour votre aide.

     

    Jean-Yves

     

    dimanche 21 octobre 2007 17:28
  • Bonsoir

     

    attention, la stratégie "default domain policy" qui est à la racine du domaine, n'est pas la même que celle du dossier des "contrôleurs du domaine".

     

    Les droits doivent être regardés dans le dossier SYSVOL, mais aussi dans la base Active Directory avec l'outil ADSIEDIT.MSC.

    A bientôt,

    dimanche 21 octobre 2007 20:44
    Modérateur
  • Bonjour et merci pour ces réponses.

     

    1. Mon problème de modification d'une GPO existante, ou de création d'une nouvelle GPO est vrai quelque soit l'endroit où je me place dans AD.
    2. Avec ADSIEdit, dans:
      DOMAIN
      DC=XXX,DC=ORG
      CN=ForiegnSecurityPrincipals

      Propriétés / Sécurité / Paramètres avancés / Autorisations effectives
      Tout est coché pour mon compte d'administration
    3. Il en est de même avec:
      CN=SCHEMA, CN=Configuration
      DC=XXX, DC=ORG
      CN=Group-Policy-Container
    4. Dans la console "Stratégies de groupe", j'ai vérifié de la même façon les droit de mon compte d'administration sur "Default Domain Policy". Dans ce cas précis, toutes les cases sont cochées sauf "Controle total" et "Tous les droits étendus"

    Plus je cherche d'où peut venir mon problème, et plus je me dis qu'il pourrait s'agir d'un bug...

     

     

    JYves

    lundi 22 octobre 2007 09:34
  • N'aurais-tu pas intégrer un "refus" de droits sur les GPOs pour un groupe générique comme "Utilisateurs authentifiés" ou "Utilisateurs ?

     

    Le moindre refus, ne serait-ce que la lecture sur un groupe dont font partie les administrateurs pourrait expliquer ce problème d'accès.

    A+

    lundi 22 octobre 2007 11:17
    Modérateur
  • Les nouvelles du front:

    Ca ne fonctionne toujours pas.......

     

    J'ai verifié tous les droits sur les GPOs. RAS. Je n'ai pas un seul refus explicite. Cela semble être confirmé par le contrôle effectué hier avec "Propriétés / Sécurité / Paramètres avancés / Autorisations effectives".

     

    Je viens de constater que mon pb n'est vrai qu'avec les GPO. En effet, depuis la console "Gestion des stratégies de groupe", il est possible de créer une nouvelle UO, et là, pas de soucis.

     

    • N'y aurait-il pas quelque part une "stratégie" pouvant m'empécher de manipuler les GPOs ?
    • Dernièrement, j'ai installé WSUS. Cela aurait-il une incidence ?

     

    Merci pour votre aide

     

    JYves

     

    mardi 23 octobre 2007 15:06
  • Bonjour,

     

    je rencontre actuellement exactement le meme type d'erreur et voulais savaoair si vous aviez pu trouver une solution et la partager avec moi.

     

    Merci pour votre aide

     

    Agathe

    mardi 15 avril 2008 14:33
  • Assez bizarrement le pb a disparu de lui-même après 1 mois. J'avais à l'époque rebooté à plusieurs reprises sans succès. C'est peut-être une mise à jour Microsoft qui a réglé le pb.

     

    Désolé de ne pas avoir d'explication rationnelle.

    Bon courage.

     

     

    JYves

    dimanche 27 avril 2008 16:10