PB sur GPO "Ajouter des stations de travail au domaine"
2 réponses
TMIR
Bonjour, j'ai quelque mal à comprendre ce qui ne marche pas :
J'ai créé un utilisateur "AddDomaine" dont le but est de pouvoir ajouter une
station sur le domaine. Pour ce, j'ai modifier la GPO "Ajouter des stations
de travail au domaine" pour que cette dernière contienne l'utilisateur
"AddDomaine". Hors cet utilisateur a bien le pouvoir de retirer un poste du
domaine (lorsqu'on passe la machine depuis un domaine AD vers un workgroup)
mais à chaque fois qu'on fait le contraire (passage workgroup vers domaine
AD) window donn ele message d'erreur "Accès refusé". Si j'essaye de le faire
avec le compte admin de l'AD, il n'y a pas de problème. J'ai également essayé
de mettre "Utilisateurs authentifiés" dans la GPO vu au dessus, mais j'ai le
même message d'erreur.
Pour mieux tester, j'ai aussi mis les droits "lire-ecrire-créer objet
enfant" à la OU "Computers" dans AD, mais rien à faire, toujours le meme mess
d'err.
KLK1 à une idée ?
Merci à tous.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Gilles LAURENT
"TMIR" a écrit dans le message de news: | Bonjour, j'ai quelque mal à comprendre ce qui ne marche pas : | J'ai créé un utilisateur "AddDomaine" dont le but est de pouvoir | ajouter une station sur le domaine. Pour ce, j'ai modifier la GPO | "Ajouter des stations de travail au domaine" pour que cette dernière | contienne l'utilisateur "AddDomaine". Hors cet utilisateur a bien le | pouvoir de retirer un poste du domaine (lorsqu'on passe la machine | depuis un domaine AD vers un workgroup) mais à chaque fois qu'on fait | le contraire (passage workgroup vers domaine AD) window donn ele | message d'erreur "Accès refusé". Si j'essaye de le faire avec le | compte admin de l'AD, il n'y a pas de problème. J'ai également essayé | de mettre "Utilisateurs authentifiés" dans la GPO vu au dessus, mais | j'ai le même message d'erreur. | Pour mieux tester, j'ai aussi mis les droits "lire-ecrire-créer objet | enfant" à la OU "Computers" dans AD, mais rien à faire, toujours le | meme mess d'err. | KLK1 à une idée ? | Merci à tous.
Bonjour,
Par défaut, tout utilisateur authentifié a le droit d'ajouter des stations au domaine mais un tel utilisateur est limité à 10 inscriptions de stations. Le problème d'accès refusé est probablement du au fait que le compte d'ordinateur existe déjà dans l'annuaire Active Directory et que le compte "AddDomaine" ne dispose pas des droits nécessaires à sa suppression car il n'en est pas le propriétaire.
Pouvez-vous réaliser les opérations suivantes :
- vérifier que le compte "AddDomaine" dispose bien du droit "Ajouter des stations de travail au domaine" dans la stratégie des contrôleurs de domaine - sortir le poste de travail du domaine. (tout utilisateur disposant du droit d'administrateur local de la machine est en mesure de sortir la machine du domaine) - supprimer le compte d'ordinateur de l'annuaire Active Directory via la mmc "Utilisateurs et Ordinateurs Active Directory" - forcer la réplication des contrôleurs de domaine dans le cas de la présence de réplicas - répéter l'opération d'intégration au domaine avec le compte "AddDomaine"
Le poste de travail devrait maintenant se joindre au domaine sans problème.
Pour que le compte "AddDomaine" soit en mesure de supprimer un compte d'ordinateur dont il n'est pas le propriétaire, il est nécessaire de lui accorder le droit de suppression des objets Ordinateur pour l'OU ou le conteneur.
-- Gilles LAURENT Me contacter : http://cerbermail.com/?zoTY7ZkLcD
"TMIR" <TMIR@discussions.microsoft.com> a écrit dans le message de
news:2B121003-5926-47C5-A2A5-292A05109250@microsoft.com
| Bonjour, j'ai quelque mal à comprendre ce qui ne marche pas :
| J'ai créé un utilisateur "AddDomaine" dont le but est de pouvoir
| ajouter une station sur le domaine. Pour ce, j'ai modifier la GPO
| "Ajouter des stations de travail au domaine" pour que cette dernière
| contienne l'utilisateur "AddDomaine". Hors cet utilisateur a bien le
| pouvoir de retirer un poste du domaine (lorsqu'on passe la machine
| depuis un domaine AD vers un workgroup) mais à chaque fois qu'on fait
| le contraire (passage workgroup vers domaine AD) window donn ele
| message d'erreur "Accès refusé". Si j'essaye de le faire avec le
| compte admin de l'AD, il n'y a pas de problème. J'ai également essayé
| de mettre "Utilisateurs authentifiés" dans la GPO vu au dessus, mais
| j'ai le même message d'erreur.
| Pour mieux tester, j'ai aussi mis les droits "lire-ecrire-créer objet
| enfant" à la OU "Computers" dans AD, mais rien à faire, toujours le
| meme mess d'err.
| KLK1 à une idée ?
| Merci à tous.
Bonjour,
Par défaut, tout utilisateur authentifié a le droit d'ajouter des
stations au domaine mais un tel utilisateur est limité à 10 inscriptions
de stations. Le problème d'accès refusé est probablement du au fait que
le compte d'ordinateur existe déjà dans l'annuaire Active Directory et
que le compte "AddDomaine" ne dispose pas des droits nécessaires à sa
suppression car il n'en est pas le propriétaire.
Pouvez-vous réaliser les opérations suivantes :
- vérifier que le compte "AddDomaine" dispose bien du droit "Ajouter des
stations de travail au domaine" dans la stratégie des contrôleurs de
domaine
- sortir le poste de travail du domaine. (tout utilisateur disposant du
droit d'administrateur local de la machine est en mesure de sortir la
machine du domaine)
- supprimer le compte d'ordinateur de l'annuaire Active Directory via la
mmc "Utilisateurs et Ordinateurs Active Directory"
- forcer la réplication des contrôleurs de domaine dans le cas de la
présence de réplicas
- répéter l'opération d'intégration au domaine avec le compte
"AddDomaine"
Le poste de travail devrait maintenant se joindre au domaine sans
problème.
Pour que le compte "AddDomaine" soit en mesure de supprimer un compte
d'ordinateur dont il n'est pas le propriétaire, il est nécessaire de lui
accorder le droit de suppression des objets Ordinateur pour l'OU ou le
conteneur.
--
Gilles LAURENT
Me contacter : http://cerbermail.com/?zoTY7ZkLcD
"TMIR" a écrit dans le message de news: | Bonjour, j'ai quelque mal à comprendre ce qui ne marche pas : | J'ai créé un utilisateur "AddDomaine" dont le but est de pouvoir | ajouter une station sur le domaine. Pour ce, j'ai modifier la GPO | "Ajouter des stations de travail au domaine" pour que cette dernière | contienne l'utilisateur "AddDomaine". Hors cet utilisateur a bien le | pouvoir de retirer un poste du domaine (lorsqu'on passe la machine | depuis un domaine AD vers un workgroup) mais à chaque fois qu'on fait | le contraire (passage workgroup vers domaine AD) window donn ele | message d'erreur "Accès refusé". Si j'essaye de le faire avec le | compte admin de l'AD, il n'y a pas de problème. J'ai également essayé | de mettre "Utilisateurs authentifiés" dans la GPO vu au dessus, mais | j'ai le même message d'erreur. | Pour mieux tester, j'ai aussi mis les droits "lire-ecrire-créer objet | enfant" à la OU "Computers" dans AD, mais rien à faire, toujours le | meme mess d'err. | KLK1 à une idée ? | Merci à tous.
Bonjour,
Par défaut, tout utilisateur authentifié a le droit d'ajouter des stations au domaine mais un tel utilisateur est limité à 10 inscriptions de stations. Le problème d'accès refusé est probablement du au fait que le compte d'ordinateur existe déjà dans l'annuaire Active Directory et que le compte "AddDomaine" ne dispose pas des droits nécessaires à sa suppression car il n'en est pas le propriétaire.
Pouvez-vous réaliser les opérations suivantes :
- vérifier que le compte "AddDomaine" dispose bien du droit "Ajouter des stations de travail au domaine" dans la stratégie des contrôleurs de domaine - sortir le poste de travail du domaine. (tout utilisateur disposant du droit d'administrateur local de la machine est en mesure de sortir la machine du domaine) - supprimer le compte d'ordinateur de l'annuaire Active Directory via la mmc "Utilisateurs et Ordinateurs Active Directory" - forcer la réplication des contrôleurs de domaine dans le cas de la présence de réplicas - répéter l'opération d'intégration au domaine avec le compte "AddDomaine"
Le poste de travail devrait maintenant se joindre au domaine sans problème.
Pour que le compte "AddDomaine" soit en mesure de supprimer un compte d'ordinateur dont il n'est pas le propriétaire, il est nécessaire de lui accorder le droit de suppression des objets Ordinateur pour l'OU ou le conteneur.
-- Gilles LAURENT Me contacter : http://cerbermail.com/?zoTY7ZkLcD
TMIR
YES ! Merci Gilles !!!
En fait, comme je testais la jointure au domaine sur ma machine (que je joignais/déjoignais du domaine sans arrêt) je n'avais pas vu que c'était le 2eme controleur de secours (GC) qui répondait en premier à la demande de rattachement du poste et que du coup, lorsque je retirais le poste du OU "Computers" sur le premier controleur, la synchro n'avait pas le temps de se faire ... d'ou certainement les pb de propriétaire. Bref, maintenant que je lance la synch et que j'attend que le poste disparraisse sur les 2 controleurs, ca marche !
Grace à toi, je ne deviendrais pas dingue ;-) Merci 1000X
YES ! Merci Gilles !!!
En fait, comme je testais la jointure au domaine sur ma machine (que je
joignais/déjoignais du domaine sans arrêt) je n'avais pas vu que c'était le
2eme controleur de secours (GC) qui répondait en premier à la demande de
rattachement du poste et que du coup, lorsque je retirais le poste du OU
"Computers" sur le premier controleur, la synchro n'avait pas le temps de se
faire ... d'ou certainement les pb de propriétaire.
Bref, maintenant que je lance la synch et que j'attend que le poste
disparraisse sur les 2 controleurs, ca marche !
Grace à toi, je ne deviendrais pas dingue ;-)
Merci 1000X
En fait, comme je testais la jointure au domaine sur ma machine (que je joignais/déjoignais du domaine sans arrêt) je n'avais pas vu que c'était le 2eme controleur de secours (GC) qui répondait en premier à la demande de rattachement du poste et que du coup, lorsque je retirais le poste du OU "Computers" sur le premier controleur, la synchro n'avait pas le temps de se faire ... d'ou certainement les pb de propriétaire. Bref, maintenant que je lance la synch et que j'attend que le poste disparraisse sur les 2 controleurs, ca marche !
Grace à toi, je ne deviendrais pas dingue ;-) Merci 1000X
