Migration -> Les comptes conservent les droits des 'anciens comptes sur les postes

Jonathan Bismuth

04/07/2006 à 15:29

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe "administrateurs"
local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient
les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe "administrateurs"
local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
%23UXibm2nGHA.2100@TK2MSFTNGP02.phx.gbl...

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient
les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.

Vous avez filtré cet utilisateur ! Consultez son message

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe "administrateurs"
local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient
les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.

Jonathan Bismuth

04/07/2006 à 16:22

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu rajoute
l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et celui-ci
http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je vois
le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe ne
se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est CDBSTCOME
et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et
des

stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et
les

mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je
ne

sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur sur
ce

poste avec l'ancien domaine) le problème n'existe pas.

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu rajoute
l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et celui-ci
http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
e3F2WE3nGHA.2364@TK2MSFTNGP02.phx.gbl...

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je vois
le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe ne
se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est CDBSTCOME
et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news:Oo5Rk32nGHA.1204@TK2MSFTNGP04.phx.gbl...

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
%23UXibm2nGHA.2100@TK2MSFTNGP02.phx.gbl...

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et
des

stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et
les

mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je
ne

sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur sur
ce

poste avec l'ancien domaine) le problème n'existe pas.

Vous avez filtré cet utilisateur ! Consultez son message

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu rajoute
l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et celui-ci
http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je vois
le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe ne
se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est CDBSTCOME
et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et
des

stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et
les

mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je
ne

sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur sur
ce

poste avec l'ancien domaine) le problème n'existe pas.

Glenn Gagné

04/07/2006 à 16:31

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" a écrit
dans le message de news:%

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que
ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe
ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0
et

des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003
et

les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom
de

l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais
je

ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur
sur

ce
poste avec l'ancien domaine) le problème n'existe pas.

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news:%23Ll8MV3nGHA.1444@TK2MSFTNGP02.phx.gbl...

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que
ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
e3F2WE3nGHA.2364@TK2MSFTNGP02.phx.gbl...

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe
ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news:Oo5Rk32nGHA.1204@TK2MSFTNGP04.phx.gbl...

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de
news:

%23UXibm2nGHA.2100@TK2MSFTNGP02.phx.gbl...

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0
et

des

stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003
et

les

mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom
de

l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais
je

ne

sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur
sur

ce

poste avec l'ancien domaine) le problème n'existe pas.

Vous avez filtré cet utilisateur ! Consultez son message

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" a écrit
dans le message de news:%

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que
ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe
ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0
et

des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003
et

les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom
de

l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais
je

ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant
la migration (que je n'avais pas attribué les droits Administrateur
sur

ce
poste avec l'ancien domaine) le problème n'existe pas.

Jonathan Bismuth

05/07/2006 à 10:53

Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte revient
aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le groupe
administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" a écrit
dans le message de news:%
J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que
ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe
ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a
écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0
et

des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003
et

les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom
de

l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais
je

ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits Administrateur
sur

ce
poste avec l'ancien domaine) le problème n'existe pas.

Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte revient
aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le groupe
administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
%23Los5Z3nGHA.4176@TK2MSFTNGP05.phx.gbl...

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news:%23Ll8MV3nGHA.1444@TK2MSFTNGP02.phx.gbl...

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que
ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
e3F2WE3nGHA.2364@TK2MSFTNGP02.phx.gbl...

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe
ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a
écrit
dans le message de news:Oo5Rk32nGHA.1204@TK2MSFTNGP04.phx.gbl...

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de
news:

%23UXibm2nGHA.2100@TK2MSFTNGP02.phx.gbl...

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0
et

des

stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003
et

les

mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom
de

l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais
je

ne

sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits Administrateur
sur

ce

poste avec l'ancien domaine) le problème n'existe pas.

Vous avez filtré cet utilisateur ! Consultez son message

Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte revient
aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le groupe
administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" a écrit
dans le message de news:%
J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais c'est
plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn) que
ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du groupe
ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a
écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont membres
d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0
et

des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003
et

les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur
poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le nom
de

l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais
je

ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits Administrateur
sur

ce
poste avec l'ancien domaine) le problème n'existe pas.

Glenn Gagné

13/07/2006 à 21:50

Exactement.

L'utilisateur ne perd pas les droits du groupe Administrateurs, même si je
spécifie qu'il est Utilisateur restreint maintenant.

Et oui, le NET USE je le fais depuis mon nouveau domaine car l'ancien
domaine n'est plus ! Mais j'avais testé qqchose similaire avant de détruire
l'ancien domaine et j'avais le même résultat des 2 domaines.

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings pour
les 2 comptes.

Justement au début, tu m'avais aidé la-dessus car lorsque j'ouvrais sur le
nouveau domaine, le compte en lui-même, l'autorisation d'ouverture sur les
PC avait suivi, mais pas le dossier du profil (compte) sur le PC.

Et là, je crois que qqchose accroche, il semble conserver une trace à
quelque part qu'il possédait avec l'ancien domaine...

---------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:

Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte
revient

aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le
groupe

administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%
Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" a écrit
dans le message de news:%
J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais
c'est

plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn)
que

ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun
groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du
groupe

ne
se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a
écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont
membres

d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de
mon

domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT
4.0

et
des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows
2003

et
les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur
leur

poste
attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un
problème

d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le
nom

de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je
retrourne

voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et
les

restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur
est

réapparu.

Je sens que la solution va se faire via le registre de Windows,
mais

je
ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits
Administrateur

sur
ce
poste avec l'ancien domaine) le problème n'existe pas.

Exactement.

L'utilisateur ne perd pas les droits du groupe Administrateurs, même si je
spécifie qu'il est Utilisateur restreint maintenant.

Et oui, le NET USE je le fais depuis mon nouveau domaine car l'ancien
domaine n'est plus ! Mais j'avais testé qqchose similaire avant de détruire
l'ancien domaine et j'avais le même résultat des 2 domaines.

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings pour
les 2 comptes.

Justement au début, tu m'avais aidé la-dessus car lorsque j'ouvrais sur le
nouveau domaine, le compte en lui-même, l'autorisation d'ouverture sur les
PC avait suivi, mais pas le dossier du profil (compte) sur le PC.

Et là, je crois que qqchose accroche, il semble conserver une trace à
quelque part qu'il possédait avec l'ancien domaine...

---------------------

Glenn

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news:em0s3BBoGHA.1208@TK2MSFTNGP04.phx.gbl...

Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte
revient

aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le
groupe

administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
%23Los5Z3nGHA.4176@TK2MSFTNGP05.phx.gbl...

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news:%23Ll8MV3nGHA.1444@TK2MSFTNGP02.phx.gbl...

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais
c'est

plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn)
que

ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de
news:

e3F2WE3nGHA.2364@TK2MSFTNGP02.phx.gbl...

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun
groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du
groupe

ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a
écrit
dans le message de news:Oo5Rk32nGHA.1204@TK2MSFTNGP04.phx.gbl...

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont
membres

d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de
news:

%23UXibm2nGHA.2100@TK2MSFTNGP02.phx.gbl...

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de
mon

domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT
4.0

et

des

stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows
2003

et

les

mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur
leur

poste

attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un
problème

d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le
nom

de

l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je
retrourne

voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et
les

restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur
est

réapparu.

Je sens que la solution va se faire via le registre de Windows,
mais

je

ne

sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits
Administrateur

sur

ce

poste avec l'ancien domaine) le problème n'existe pas.

Vous avez filtré cet utilisateur ! Consultez son message

Exactement.

L'utilisateur ne perd pas les droits du groupe Administrateurs, même si je
spécifie qu'il est Utilisateur restreint maintenant.

Et oui, le NET USE je le fais depuis mon nouveau domaine car l'ancien
domaine n'est plus ! Mais j'avais testé qqchose similaire avant de détruire
l'ancien domaine et j'avais le même résultat des 2 domaines.

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings pour
les 2 comptes.

Justement au début, tu m'avais aidé la-dessus car lorsque j'ouvrais sur le
nouveau domaine, le compte en lui-même, l'autorisation d'ouverture sur les
PC avait suivi, mais pas le dossier du profil (compte) sur le PC.

Et là, je crois que qqchose accroche, il semble conserver une trace à
quelque part qu'il possédait avec l'ancien domaine...

---------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:

Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte
revient

aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le
groupe

administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%
Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en marche...

"Jonathan Bismuth" a écrit
dans le message de news:%
J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais
c'est

plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn)
que

ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun
groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du
groupe

ne
se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a
écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont
membres

d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de
mon

domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT
4.0

et
des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows
2003

et
les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur
leur

poste
attribué, nous avons changé la politique pour que les utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un
problème

d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le
nom

de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je
retrourne

voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et
les

restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur
est

réapparu.

Je sens que la solution va se faire via le registre de Windows,
mais

je
ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits
Administrateur

sur
ce
poste avec l'ancien domaine) le problème n'existe pas.

Jonathan Bismuth

17/07/2006 à 10:10

Re-salut Glenn,

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que
le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du
domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au
nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings
pour
les 2 comptes.
Tout à fait, le Sid de l'ancien domaine est placé dans l'attribut sIDHistory

de l'utilisateur, ce qui permet d'utiliser l'un ou l'autre en fonction de la
ressource à laquelle accéder.
-> D'où la trace dont tu parle par rapport à l'ancien domaine.

Par script (http://support.microsoft.com/kb/295758/) ou depuis ADSIEdit.msc,
Edite un utilisateur à problème (juste un au cas où...) et met à blanc son
attribut SidHistory, y'a t'il du mieux sur sa machine?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%

Exactement.

L'utilisateur ne perd pas les droits du groupe Administrateurs, même si je
spécifie qu'il est Utilisateur restreint maintenant.

Et oui, le NET USE je le fais depuis mon nouveau domaine car l'ancien
domaine n'est plus ! Mais j'avais testé qqchose similaire avant de
détruire
l'ancien domaine et j'avais le même résultat des 2 domaines.

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que
le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du
domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au
nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings
pour
les 2 comptes.

Justement au début, tu m'avais aidé la-dessus car lorsque j'ouvrais sur le
nouveau domaine, le compte en lui-même, l'autorisation d'ouverture sur les
PC avait suivi, mais pas le dossier du profil (compte) sur le PC.

Et là, je crois que qqchose accroche, il semble conserver une trace à
quelque part qu'il possédait avec l'ancien domaine...

---------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:
Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte
revient

aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le
groupe

administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%
Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en
marche...

"Jonathan Bismuth" a
écrit
dans le message de news:%
J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser
et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais
c'est

plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net
localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn)
que

ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun
groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du
groupe

ne
se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a
écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont
membres

d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as
pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de
mon

domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT
4.0

et
des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows
2003

et
les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur
leur

poste
attribué, nous avons changé la politique pour que les
utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste.
Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un
problème

d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le
nom

de
l'utilisateur, le nouveau domaine qui lui a été attribué, ...
mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je
retrourne

voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et
les

restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur
est

réapparu.

Je sens que la solution va se faire via le registre de Windows,
mais

je
ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits
Administrateur

sur
ce
poste avec l'ancien domaine) le problème n'existe pas.

Re-salut Glenn,

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que
le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du
domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au
nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings
pour
les 2 comptes.
Tout à fait, le Sid de l'ancien domaine est placé dans l'attribut sIDHistory

de l'utilisateur, ce qui permet d'utiliser l'un ou l'autre en fonction de la
ressource à laquelle accéder.
-> D'où la trace dont tu parle par rapport à l'ancien domaine.

Par script (http://support.microsoft.com/kb/295758/) ou depuis ADSIEdit.msc,
Edite un utilisateur à problème (juste un au cas où...) et met à blanc son
attribut SidHistory, y'a t'il du mieux sur sa machine?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
%23wJcUWrpGHA.5104@TK2MSFTNGP04.phx.gbl...

Exactement.

L'utilisateur ne perd pas les droits du groupe Administrateurs, même si je
spécifie qu'il est Utilisateur restreint maintenant.

Et oui, le NET USE je le fais depuis mon nouveau domaine car l'ancien
domaine n'est plus ! Mais j'avais testé qqchose similaire avant de
détruire
l'ancien domaine et j'avais le même résultat des 2 domaines.

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que
le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du
domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au
nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings
pour
les 2 comptes.

Justement au début, tu m'avais aidé la-dessus car lorsque j'ouvrais sur le
nouveau domaine, le compte en lui-même, l'autorisation d'ouverture sur les
PC avait suivi, mais pas le dossier du profil (compte) sur le PC.

Et là, je crois que qqchose accroche, il semble conserver une trace à
quelque part qu'il possédait avec l'ancien domaine...

---------------------

Glenn

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news:em0s3BBoGHA.1208@TK2MSFTNGP04.phx.gbl...

Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte
revient

aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le
groupe

administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de news:
%23Los5Z3nGHA.4176@TK2MSFTNGP05.phx.gbl...

Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en
marche...

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a
écrit
dans le message de news:%23Ll8MV3nGHA.1444@TK2MSFTNGP02.phx.gbl...

J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser
et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais
c'est

plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net
localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn)
que

ce

passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de
news:

e3F2WE3nGHA.2364@TK2MSFTNGP02.phx.gbl...

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun
groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du
groupe

ne

se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a
écrit
dans le message de news:Oo5Rk32nGHA.1204@TK2MSFTNGP04.phx.gbl...

Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont
membres

d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as
pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de
news:

%23UXibm2nGHA.2100@TK2MSFTNGP02.phx.gbl...

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de
mon

domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT
4.0

et

des

stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows
2003

et

les

mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur
leur

poste

attribué, nous avons changé la politique pour que les
utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste.
Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un
problème

d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le
nom

de

l'utilisateur, le nouveau domaine qui lui a été attribué, ...
mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je
retrourne

voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et
les

restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur
est

réapparu.

Je sens que la solution va se faire via le registre de Windows,
mais

je

ne

sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits
Administrateur

sur

ce

poste avec l'ancien domaine) le problème n'existe pas.

Vous avez filtré cet utilisateur ! Consultez son message

Re-salut Glenn,

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que
le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du
domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au
nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings
pour
les 2 comptes.
Tout à fait, le Sid de l'ancien domaine est placé dans l'attribut sIDHistory

de l'utilisateur, ce qui permet d'utiliser l'un ou l'autre en fonction de la
ressource à laquelle accéder.
-> D'où la trace dont tu parle par rapport à l'ancien domaine.

Par script (http://support.microsoft.com/kb/295758/) ou depuis ADSIEdit.msc,
Edite un utilisateur à problème (juste un au cas où...) et met à blanc son
attribut SidHistory, y'a t'il du mieux sur sa machine?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%

Exactement.

L'utilisateur ne perd pas les droits du groupe Administrateurs, même si je
spécifie qu'il est Utilisateur restreint maintenant.

Et oui, le NET USE je le fais depuis mon nouveau domaine car l'ancien
domaine n'est plus ! Mais j'avais testé qqchose similaire avant de
détruire
l'ancien domaine et j'avais le même résultat des 2 domaines.

Là où je crois que le problème s'engendre c'est lors de l'exportation des
comptes ordinateurs avec ADMT de Windows 2003 Server. Il permettait de
copier les "ordinateurs" dans son domaine et il permettait également que
le
dossier "C:Documents and Settingstoto" de l'utilisateur "toto" du
domaine
ANCIEN soit maintenant le dossier du profil de l'utilisateur importé au
nom
de "toto" en faisant suivre/fusionner (je sais pas vraiment comment) les
SID. Car durant la migration, je pouvais ouvrir avec le compte toto de
chacun des 2 domaines et j'avais le même dossier Documents and Settings
pour
les 2 comptes.

Justement au début, tu m'avais aidé la-dessus car lorsque j'ouvrais sur le
nouveau domaine, le compte en lui-même, l'autorisation d'ouverture sur les
PC avait suivi, mais pas le dossier du profil (compte) sur le PC.

Et là, je crois que qqchose accroche, il semble conserver une trace à
quelque part qu'il possédait avec l'ancien domaine...

---------------------

Glenn

"Jonathan Bismuth" a écrit
dans le message de news:
Super strange...
si tu fais pareil (par net user) avec ton nouveau domaine, le compte
revient

aussi je suppose ?

Le problème se produit à partir du moment ou l'utilisateur quitte le
groupe

administrateur donc.
Malgré tes modifs, l'utilisateur a toujours des privilèges admins?

--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de news:
%
Il me dit :

C:Documents and Settingsglenn>net localgroup "administrateurs"
"confectglenn"
/delete
L'utilisateur ou groupe global suivant n'existe pas : confectglenn.

Vous obtiendrez une aide supplémentaire en entrant NET HELPMSG 3783.

------------------------------------------------------------------------

Et c'est bien certain car mon ancien domaine NT4 n'est plus en
marche...

"Jonathan Bismuth" a
écrit
dans le message de news:%
J'ai l'impression qu'il y a perte de Sid History, et donc lorsque tu
rajoute

l'utilisateur, il rafraîchit les droits et du coup tu trouve NTuser
et
2003user dans le même groupe (pas le même Sid donc ça passe).

C'est marrant, ça me rappelle ce problème :
https://support.microsoft.com/default.aspx?scid=kb;en-us;278693 et
celui-ci

http://support.microsoft.com/?kbid&6673 (sensiblement liés) mais
c'est

plutôt des bugs 2000 que 2003

Si tu passe par une invite de commande et que tu fais un net
localgroup
"administrateurs" "NT4Domainglenn" /delete, (pas 2000Domaineglenn)
que

ce
passe t'il ?
Ca revient quand même ?
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

Salut Jonathan,

Oui tu as bien compris, l'utilisateur du domaine est listé dans la
liste
des
compte sur mon ordinateur local mais n'est pas associé à aucun
groupe.

Et si je veux l'associer à un groupe... ce qui est logique, alors je
vois

le
nom de l'utilisateur 2 fois dans la liste, mais l'application du
groupe

ne
se fait, il conserve les droits administrateurs.

Regarde les images en attachement, tu vas voir. Mon domaine est
CDBSTCOME

et
le poste local est GLENN.

--------------------

Glenn

"Jonathan Bismuth" a
écrit
dans le message de news:
Salut Glenn,

je dois avoir besoin de vacances, mais j'ai pas tout suivi ;)

Ais-je bien compris que tu me dis que les utilisateurs ne sont
membres

d'aucun groupe local? Dans le groupe local utilisateurs, tu n'as
pas
"domaineutilisateurs du domaine" dont font partie tes users?

Tu peux aussi me préciser cette citation :
"Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je retourne
voir,

je retrouve le nom de l'utilisateur 2 fois dans la liste !!!!"

Au fait, depuis que tu as viré tes utilisateurs du groupe
"administrateurs"

local, tu n'as pas eu de problème de profil?

@+
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1

"Glenn Gagné" a écrit dans le message de
news:

%
Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de
mon

domaine
il y a environ 6 mois. Auparavant j'avais un serveur windows NT
4.0

et
des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows
2003

et
les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et
utilisateurs.

J'ai également intégré (convertit) ces comptes sur les postes
clients
avec

ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur
leur

poste
attribué, nous avons changé la politique pour que les
utilisateurs
aient
les
droits utilisateurs standard (restreint) en réalité le choix par
défaut

lorsqu'un nouveau utilisateur ouvre une session sur un poste.
Mais
voilà
le
HIC ! Les utilisateurs qui ont conservés leur poste j'ai un
problème

d'attribution de droits. Si je vais voir dans le panneau de
configuration

sur les postes dans "Utilisateur et mot de passe" je retrouve le
nom

de
l'utilisateur, le nouveau domaine qui lui a été attribué, ...
mais
le
champs
Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant
dans

n'importe quel groupe, ça semble fonctionner... mais si je
retrourne

voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et
les

restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur
est

réapparu.

Je sens que la solution va se faire via le registre de Windows,
mais

je
ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne
provient

pas
de la migration) ou qui n'avait jamais ouvert de session sur ce
poste
avant
la migration (que je n'avais pas attribué les droits
Administrateur

sur
ce
poste avec l'ancien domaine) le problème n'existe pas.

Glenn Gagné

25/08/2006 à 20:06

Merci Jonathan,

Mais malheureusement en utilisant l'outil de la KB ça me donne:

C:>cscript c:test.vbs -n=glenn
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Tous droits réservés.

The following objects were found:
Name: GLENN Class: computer DN:
CN=GLENN,CN=Computers,DCÍbstcome,DC=local
This object does not have a sidHistory

--------------------------------

Étrangement, il arrête sa recherche sur l'entrée GLENN qui est un
ordinateur, mais il existe également une entrée GLENN qui est un
utilisateur.

"Glenn Gagné" a écrit dans le message de
news:%

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine

il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient
les

droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà
le

HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs

Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas

de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant

la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.

Merci Jonathan,

Mais malheureusement en utilisant l'outil de la KB ça me donne:

C:>cscript c:test.vbs -n=glenn
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Tous droits réservés.

The following objects were found:
Name: GLENN Class: computer DN:
CN=GLENN,CN=Computers,DCÍbstcome,DC=local
This object does not have a sidHistory

--------------------------------

Étrangement, il arrête sa recherche sur l'entrée GLENN qui est un
ordinateur, mais il existe également une entrée GLENN qui est un
utilisateur.

"Glenn Gagné" <glenn_gagne@hotmail.com> a écrit dans le message de
news:%23UXibm2nGHA.2100@TK2MSFTNGP02.phx.gbl...

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine

il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient
les

droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà
le

HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs

Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas

de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant

la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.

Vous avez filtré cet utilisateur ! Consultez son message

Merci Jonathan,

Mais malheureusement en utilisant l'outil de la KB ça me donne:

C:>cscript c:test.vbs -n=glenn
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Tous droits réservés.

The following objects were found:
Name: GLENN Class: computer DN:
CN=GLENN,CN=Computers,DCÍbstcome,DC=local
This object does not have a sidHistory

--------------------------------

Étrangement, il arrête sa recherche sur l'entrée GLENN qui est un
ordinateur, mais il existe également une entrée GLENN qui est un
utilisateur.

"Glenn Gagné" a écrit dans le message de
news:%

Bonjour,

J'ai un petit problème assez étrange. J'ai fais la migration de mon
domaine

il y a environ 6 mois. Auparavant j'avais un serveur windows NT 4.0 et des
stations Windows 2000 Pro. Maintenant, j'ai un serveur Windows 2003 et les
mêmes stations 2000 Pro.

Avec l'utilitaire ADMT j'ai migré les comptes ordinateurs et utilisateurs.
J'ai également intégré (convertit) ces comptes sur les postes clients avec
ADMT pour être intégré au nouveau serveur. Pour ça tout à bien
fonctionner.

Avant, mes utilisateurs avaient les droits administrateurs sur leur poste
attribué, nous avons changé la politique pour que les utilisateurs aient
les

droits utilisateurs standard (restreint) en réalité le choix par défaut
lorsqu'un nouveau utilisateur ouvre une session sur un poste. Mais voilà
le

HIC ! Les utilisateurs qui ont conservés leur poste j'ai un problème
d'attribution de droits. Si je vais voir dans le panneau de configuration
sur les postes dans "Utilisateur et mot de passe" je retrouve le nom de
l'utilisateur, le nouveau domaine qui lui a été attribué, ... mais le
champs

Groupe est vide ????

Si je décide de modifier l'appartenance au groupe en l'incluant dans
n'importe quel groupe, ça semble fonctionner... mais si je retrourne voir,
je retrouve le nom de l'utilisateur 2 fois dans la liste !!!! Et les
restrictions du groupe ne se font pas...

Si je détruit simplement l'utilisateur de la liste, je referme le
gestionnaire et j'y retourne, par magie le nom de l'utilisateur est
réapparu.

Je sens que la solution va se faire via le registre de Windows, mais je ne
sais pas comment m'y prendre.

---------------------------------------------------------------

P.S. Si j'ouvre une session avec un nouvel utilisateur (qui ne provient
pas

de la migration) ou qui n'avait jamais ouvert de session sur ce poste
avant

la migration (que je n'avais pas attribué les droits Administrateur sur ce
poste avec l'ancien domaine) le problème n'existe pas.

Migration -> Les comptes conservent les droits des 'anciens comptes sur les postes

7 réponses

Veuillez sélectionner un problème