Migration -> Les comptes conservent les droits des 'anciens comptes sur les postes
Le
Glenn Gagné
Bonjour,
J'ai un petit problème assez étrange. J'ai fais la migration de mon domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.
Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien fonctionner.
Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, mais le champs
Groupe est vide ????
Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas
Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.
Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.
P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste avant
la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.
J'ai un petit problème assez étrange. J'ai fais la migration de mon domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.
Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien fonctionner.
Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, mais le champs
Groupe est vide ????
Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas
Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.
Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.
P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste avant
la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.
Poser une question
je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)
Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?
Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"
Au fait, depuis que tu as viré tes utilisateurs du groupe "administrateurs"
local, tu n'as pas eu de problème de profil?
@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Glenn Gagné" %
l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).
C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/defau...-us;278693 et celui-ci
http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003
Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Glenn Gagné"
C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.
Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.
------------------------------------------------------------------------
Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...
"Jonathan Bismuth" dans le message de news:%
si tu fais pareil (par net user) avec ton nouveau domaine, le compte revient
aussi je suppose ?
Le problème se produit à partir du moment ou l'utilisateur quitte le groupe
administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Glenn Gagné" %
L'utilisateur ne perd pas les droits du groupe Administrateurs, même si je
spécifie qu'il est Utilisateur restreint maintenant.
Et oui, le NET USE je le fais depuis mon nouveau domaine car l'ancien
domaine n'est plus ! Mais j'avais testé qqchose similaire avant de détruire
l'ancien domaine et j'avais le même résultat des 2 domaines.
Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings pour
les 2 comptes.
Justement au début, tu m'avais aidé la-dessus car lorsque j'ouvrais sur le
nouveau domaine, le compte en lui-même, l'autorisation d'ouverture sur les
PC avait suivi, mais pas le dossier du profil (compte) sur le PC.
Et là, je crois que qqchose accroche, il semble conserver une trace à
quelque part qu'il possédait avec l'ancien domaine...
---------------------
Glenn
"Jonathan Bismuth" dans le message de news: