Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows Serveur Active Directory Groupes et utilisateurs de deux forêts différentes

Groupes et utilisateurs de deux forêts différentes

8 réponses
Avatar
Christophe LEMAIRE
Bonjour,

Nous avons une relation d'approbation entre deux domaines Windows 2000. Nous
aimerions insérer dans les groupes de sécurité existant sur l'un des
domaines, des utilisateurs de l'autre domaine.

Dans l'onglet "membres" du groupe créé, nous ne pouvons sélectionner
d'utilisateurs ou de groupes appartenant à l'autre domaine.

Comment faire ?

Merci par avance,

Christophe
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Jonathan BISMUTH
Bonjour,

si la relation est bien fonctionelle, avez vous pensé à modifier
l'emplacement afin de sélectionner l'autre domaine?
Avez vous un message d'erreur spécifique?

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le message
de news: %
Bonjour,

Nous avons une relation d'approbation entre deux domaines Windows 2000.
Nous
aimerions insérer dans les groupes de sécurité existant sur l'un des
domaines, des utilisateurs de l'autre domaine.

Dans l'onglet "membres" du groupe créé, nous ne pouvons sélectionner
d'utilisateurs ou de groupes appartenant à l'autre domaine.

Comment faire ?

Merci par avance,

Christophe




Avatar
Christophe LEMAIRE
C'est justement le problème, nous ne pouvons pas sélectionner l'autre
domaine dans l'onglet "membres", seul le notre est sélectionnable. Cela
veut-il-dire que la relation n'est pas fonctionnelle ?

Pourtant, dans l'onglet "membre de", il est bien possible de sélectionner
l'autre domaine, afin d'ajouter le groupe dans un autre groupe du domaine
distant. Par contre lors de l'ajout, je reçois un message d'erreur me
signifiant que je n'ai pas le droit de modifier le groupe distant.

Merci pour votre aide.

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:e73r$F%
Bonjour,

si la relation est bien fonctionelle, avez vous pensé à modifier
l'emplacement afin de sélectionner l'autre domaine?
Avez vous un message d'erreur spécifique?

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: %
Bonjour,

Nous avons une relation d'approbation entre deux domaines Windows 2000.
Nous
aimerions insérer dans les groupes de sécurité existant sur l'un des
domaines, des utilisateurs de l'autre domaine.

Dans l'onglet "membres" du groupe créé, nous ne pouvons sélectionner
d'utilisateurs ou de groupes appartenant à l'autre domaine.

Comment faire ?

Merci par avance,

Christophe








Avatar
Jonathan BISMUTH
vous devriez vérifier le type de relation entre les deux domaines, elle n'a
pas du être sélectionnée comme bidirectionnelle.
Testez aussi la relation afin d'être sur qu'il n'y a pas d'erreur de liaison

Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le message
de news: ek3Tfo%
C'est justement le problème, nous ne pouvons pas sélectionner l'autre
domaine dans l'onglet "membres", seul le notre est sélectionnable. Cela
veut-il-dire que la relation n'est pas fonctionnelle ?

Pourtant, dans l'onglet "membre de", il est bien possible de sélectionner
l'autre domaine, afin d'ajouter le groupe dans un autre groupe du domaine
distant. Par contre lors de l'ajout, je reçois un message d'erreur me
signifiant que je n'ai pas le droit de modifier le groupe distant.

Merci pour votre aide.

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:e73r$F%
Bonjour,

si la relation est bien fonctionelle, avez vous pensé à modifier
l'emplacement afin de sélectionner l'autre domaine?
Avez vous un message d'erreur spécifique?

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: %
Bonjour,

Nous avons une relation d'approbation entre deux domaines Windows 2000.
Nous
aimerions insérer dans les groupes de sécurité existant sur l'un des
domaines, des utilisateurs de l'autre domaine.

Dans l'onglet "membres" du groupe créé, nous ne pouvons sélectionner
d'utilisateurs ou de groupes appartenant à l'autre domaine.

Comment faire ?

Merci par avance,

Christophe












Avatar
Christophe LEMAIRE
En fait, cela fonctionne quand nous choisissons "local" comme étendue de
groupe (nous résolvons ainsi notre problème). Au départ, nous avions choisi
"universelle", et cela ne fonctionne toujours pas. Pourtant il n'y a pas de
contre-indication dans les documentations que nous avons.

Est-ce normal ?

Merci.

Cdt,

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:ediAp9$
vous devriez vérifier le type de relation entre les deux domaines, elle
n'a

pas du être sélectionnée comme bidirectionnelle.
Testez aussi la relation afin d'être sur qu'il n'y a pas d'erreur de
liaison


Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: ek3Tfo%
C'est justement le problème, nous ne pouvons pas sélectionner l'autre
domaine dans l'onglet "membres", seul le notre est sélectionnable. Cela
veut-il-dire que la relation n'est pas fonctionnelle ?

Pourtant, dans l'onglet "membre de", il est bien possible de
sélectionner


l'autre domaine, afin d'ajouter le groupe dans un autre groupe du
domaine


distant. Par contre lors de l'ajout, je reçois un message d'erreur me
signifiant que je n'ai pas le droit de modifier le groupe distant.

Merci pour votre aide.

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:e73r$F%
Bonjour,

si la relation est bien fonctionelle, avez vous pensé à modifier
l'emplacement afin de sélectionner l'autre domaine?
Avez vous un message d'erreur spécifique?

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: %
Bonjour,

Nous avons une relation d'approbation entre deux domaines Windows
2000.




Nous
aimerions insérer dans les groupes de sécurité existant sur l'un des
domaines, des utilisateurs de l'autre domaine.

Dans l'onglet "membres" du groupe créé, nous ne pouvons sélectionner
d'utilisateurs ou de groupes appartenant à l'autre domaine.

Comment faire ?

Merci par avance,

Christophe
















Avatar
Emmanuel Dreux [MS]
Bonjour,

Afin de test le trust, vous pouvez dans un premier temps d'essayer d'accéder
à une ressource de l'autre domaine avec un utilisateur de votre domaine,
puis un utilisateur du domaine distant.
Ex : net use * remoserveurshare remotedomainuser *

--
Cordialement,

Emmanuel Dreux


"Christophe LEMAIRE" a écrit dans le message de news:
%
En fait, cela fonctionne quand nous choisissons "local" comme étendue de
groupe (nous résolvons ainsi notre problème). Au départ, nous avions
choisi
"universelle", et cela ne fonctionne toujours pas. Pourtant il n'y a pas
de
contre-indication dans les documentations que nous avons.

Est-ce normal ?

Merci.

Cdt,

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:ediAp9$
vous devriez vérifier le type de relation entre les deux domaines, elle
n'a

pas du être sélectionnée comme bidirectionnelle.
Testez aussi la relation afin d'être sur qu'il n'y a pas d'erreur de
liaison


Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: ek3Tfo%
C'est justement le problème, nous ne pouvons pas sélectionner l'autre
domaine dans l'onglet "membres", seul le notre est sélectionnable. Cela
veut-il-dire que la relation n'est pas fonctionnelle ?

Pourtant, dans l'onglet "membre de", il est bien possible de
sélectionner


l'autre domaine, afin d'ajouter le groupe dans un autre groupe du
domaine


distant. Par contre lors de l'ajout, je reçois un message d'erreur me
signifiant que je n'ai pas le droit de modifier le groupe distant.

Merci pour votre aide.

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:e73r$F%
Bonjour,

si la relation est bien fonctionelle, avez vous pensé à modifier
l'emplacement afin de sélectionner l'autre domaine?
Avez vous un message d'erreur spécifique?

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: %
Bonjour,

Nous avons une relation d'approbation entre deux domaines Windows
2000.




Nous
aimerions insérer dans les groupes de sécurité existant sur l'un des
domaines, des utilisateurs de l'autre domaine.

Dans l'onglet "membres" du groupe créé, nous ne pouvons sélectionner
d'utilisateurs ou de groupes appartenant à l'autre domaine.

Comment faire ?

Merci par avance,

Christophe




















Avatar
Christophe LEMAIRE
Bonjour,

J'ai bien testé le trust, et il fonctionne. Comme je l'ai dit plus bas,
j'arrive à ajouter des utilisateurs du domaine distant quand je crée un
groupe local, mais pas lorsque je crée un groupe universel. Pourtant dans
les documentations que j'ai, les deux semblent possibles.

Je voulais savoir si c'était normal, sachant que la relation d'approbation
fonctionne bien.

Merci pour vos réponses.

Christophe

"Emmanuel Dreux [MS]" a écrit dans le message
de news:
Bonjour,

Afin de test le trust, vous pouvez dans un premier temps d'essayer
d'accéder

à une ressource de l'autre domaine avec un utilisateur de votre domaine,
puis un utilisateur du domaine distant.
Ex : net use * remoserveurshare remotedomainuser *

--
Cordialement,

Emmanuel Dreux


"Christophe LEMAIRE" a écrit dans le message de news:
%
En fait, cela fonctionne quand nous choisissons "local" comme étendue de
groupe (nous résolvons ainsi notre problème). Au départ, nous avions
choisi
"universelle", et cela ne fonctionne toujours pas. Pourtant il n'y a pas
de
contre-indication dans les documentations que nous avons.

Est-ce normal ?

Merci.

Cdt,

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:ediAp9$
vous devriez vérifier le type de relation entre les deux domaines,
elle



n'a
pas du être sélectionnée comme bidirectionnelle.
Testez aussi la relation afin d'être sur qu'il n'y a pas d'erreur de
liaison


Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: ek3Tfo%
C'est justement le problème, nous ne pouvons pas sélectionner l'autre
domaine dans l'onglet "membres", seul le notre est sélectionnable.
Cela




veut-il-dire que la relation n'est pas fonctionnelle ?

Pourtant, dans l'onglet "membre de", il est bien possible de
sélectionner


l'autre domaine, afin d'ajouter le groupe dans un autre groupe du
domaine


distant. Par contre lors de l'ajout, je reçois un message d'erreur me
signifiant que je n'ai pas le droit de modifier le groupe distant.

Merci pour votre aide.

Christophe

"Jonathan BISMUTH" a écrit dans le message de
news:e73r$F%
Bonjour,

si la relation est bien fonctionelle, avez vous pensé à modifier
l'emplacement afin de sélectionner l'autre domaine?
Avez vous un message d'erreur spécifique?

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6
"Christophe LEMAIRE" a écrit dans le
message

de news: %
Bonjour,

Nous avons une relation d'approbation entre deux domaines Windows
2000.




Nous
aimerions insérer dans les groupes de sécurité existant sur l'un
des






domaines, des utilisateurs de l'autre domaine.

Dans l'onglet "membres" du groupe créé, nous ne pouvons
sélectionner






d'utilisateurs ou de groupes appartenant à l'autre domaine.

Comment faire ?

Merci par avance,

Christophe
























Avatar
Jonathan Bismuth
Bonjour Christophe,

Pas de problème en théorie.
Il existe toutefois une limitation, le SID Filtering (2000 SP3 et plus,
2003). Celle-ci vérifie que le groupe universel ait été créé dans le domaine
qui établit la relation avec l'autre et non un domaine parent/enfant.

Ex :

Soit une forêt A contenant 2 domaines D1 et D2.
D2 établit une relation bidirectionnelle avec un domaine D3 d'une forêt
tiers.

un groupe universel créé dans le domaine D1 n'aura pas accès à D3
un groupe universel créé dans le domaine D2 aura accès à D3

(plus d'infos ici :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/31915de7-ff58-4f26-a8ec-450ffca75912.mspx)

Si tu es dans ce cas, il est normal que ça bloque

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Christophe LEMAIRE" a écrit dans le message de news:

Bonjour,

J'ai bien testé le trust, et il fonctionne. Comme je l'ai dit plus bas,
j'arrive à ajouter des utilisateurs du domaine distant quand je crée un
groupe local, mais pas lorsque je crée un groupe universel. Pourtant dans
les documentations que j'ai, les deux semblent possibles.

Je voulais savoir si c'était normal, sachant que la relation d'approbation
fonctionne bien.

Merci pour vos réponses.

Christophe


Avatar
Christophe LEMAIRE
Merci pour ces infos.

Mon cas est bien plus simple que ceux évoqués ci-dessous : il s'agit tout
simplement d'une relation d'approbation bi-directionnelle entre deux
domaines de deux forêts différentes. Nous sommes sous Windows 2000 SP4.

Étant donné que cela fonctionne, nous créons désormais des groupes de
sécurité locaux quand nous voulons ajouter des utilisateurs de l'autre
domaine en accès sur un répertoire de notre serveur de fichiers.

Peut être découvrirons nous un jour pourquoi cela ne marche pas avec les
groupes universels.

Merci à tous.

Christophe

"Jonathan Bismuth" a écrit
dans le message de news:
Bonjour Christophe,

Pas de problème en théorie.
Il existe toutefois une limitation, le SID Filtering (2000 SP3 et plus,
2003). Celle-ci vérifie que le groupe universel ait été créé dans le
domaine

qui établit la relation avec l'autre et non un domaine parent/enfant.

Ex :

Soit une forêt A contenant 2 domaines D1 et D2.
D2 établit une relation bidirectionnelle avec un domaine D3 d'une forêt
tiers.

un groupe universel créé dans le domaine D1 n'aura pas accès à D3
un groupe universel créé dans le domaine D2 aura accès à D3

(plus d'infos ici :

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/31915de7-ff58-4f26-a8ec-450ffca75912.mspx)


Si tu es dans ce cas, il est normal que ça bloque

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Christophe LEMAIRE" a écrit dans le message de news:

Bonjour,

J'ai bien testé le trust, et il fonctionne. Comme je l'ai dit plus bas,
j'arrive à ajouter des utilisateurs du domaine distant quand je crée un
groupe local, mais pas lorsque je crée un groupe universel. Pourtant
dans


les documentations que j'ai, les deux semblent possibles.

Je voulais savoir si c'était normal, sachant que la relation
d'approbation


fonctionne bien.

Merci pour vos réponses.

Christophe