Se connecter avec
S'enregistrer | Connectez-vous
Votre question

Problème: Stratégie de sécurité du controleur de domaine

Tags :
  • Drivers & OS
  • Serveur
  • Windows
Dernière réponse : dans Windows
Partagez
17 Juin 2004 11:04:13

Bonjour,

Je vous explique mon problème:

Etat des lieux:

Windows 2000 server (service pack 4)
-> Controleur de domaine
-> Exchange
-> serveur de ficher
-> ....


Mon problème:

Lorsque je vais dans les "outils d'administrations" puis que je clique sur "Stratégie de sécurité du controleur de domaine", j'obtiens une premiere fenetre windows avec la mention suivante:

----------------------------------------------------------------------------------
Erreur de stratégie de groupe

Impossible d'ouvrir l'objet Stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.

Détails: Le chemin d'accès spécifié est introuvable
----------------------------------------------------------------------------------

Je n'ai qu'un bouton "fermer" sur lequel je clique et là je me retrouve dans la fenetre que j'essaye d'acceder mais biensur je ne peux rien développer car une croix rouge m'indique que je n'y ai pas accès.

Lorsque l'on voit cette erreur on pense tout de suite: tu n'es pas loggué en Administrateur de la machine. Erreur car c'est bien le cas, étant donné que c'est un controleur de domaine, je suis en plus Administrateur du domaine.
Lorsque je me logue j'utilise bien ce compte 'Administrateur".

J'ai tenté de faire les recommandations Microsoft: http://www.microsoft.com/windows2000/fr/server/help/def...

Rien n'y fait.
Si vous avez une idée elle est la bienvenue car je suis complètement bloqué du coup !


Merci

Autres pages sur : probleme strategie securite controleur domaine

17 Juin 2004 11:32:52

[HS]
Fais attention à une chose toute bête: ton profil nominatif est associé au groupe admin, ça n'en fait pas l'administrateur.
[/HS]


visiblement tu dis te connecter avec le nom Administrateur. C'est surprenant [:spamafote]
D'après le message c'est carrément le groupe admin qui a un soucis, auquel cas TOUS les profils admins auront un soucis.
Va faire un tour du côté administration, peut être as tu ajouté une notion de durée de vie d'un profil, ou bien un verrouillage après tentative de connexion (ou autre, il y en a tellement... :/  )

NEO est demandé sur la passerelle, je répète NEO est demandé sur la passerelle [:ddr555]
17 Juin 2004 11:54:47

- un seul ou plusieurs DC?
- Vérifie bien DNS : AD se repose en grande partie sur DNS. Si ton DNS bat de l'aile, ton AD battra de l'aile.
T'as rien dans l'event-log?
Contenus similaires
17 Juin 2004 13:12:25

magellan > oui je te confirme je suis bien connecté avec l'admin de la machine (et donc du domaine).
Aucune notion de durée de vie, restriction sur les comptes.

redbaron-x66 > Un seul DC
Le serveur, lorsque je suis arrivé dans la boite, était serveur DNS, je l'ai désactiver pour le désengorger et pour permettre de regler kelke probleme d acces a certains site web.
Après avoir lu la docs Microsoft, j'ai tenté de mettre en 2eme dns l ip du serveur (en l'activant en serveur dns).
J'ai bien pensé a nettoyer toute les entrées DNS histoire qu'il n'y es pas de probleme.
Et ca n'a rien résolue. Après j'avouerais ne pas être super expert quand au fonctionnement DNS de windows server 2000. Et rentré dans les détails reste assez flou.

Si tu pense que le probleme viens bel et bien du serveur dns, ou puis je trouvé une doc suffisement explicite pour avoir une config ordinaire et qui marche.
Ainsi je pourrais etre sur que ca viens, ou non, du serveur dns.


Merci
17 Juin 2004 14:15:37

Ton controlleur de domaine, il est bien en win2000 avec Active directory ??? (cad qu'il n'est compatible que pour les domaines win2000 et Win2003, w2000 etant en mode natif ???).

C'est vrai que pour un CD win2000 en mode natif, le DNS (et éventuellement le DHCP si tu en as un ;)  ) peut-etre source de pb si tu te loggue depuis un client pour accéder à ton serveur ;)  . Vérifie d'abord si ton serveur DNS est bien autorisé dans Active Directory (et ton serveur DHCP aussi, si tu en, as un).

si c'est le cas, regarde dans le journal des évenements de ton serveur w2k si tous les services se sont chargés correctement.
17 Juin 2004 14:42:22

Tu es obligé d'installé DNS (ou de donner l'adresse d'un DNS gérant (entre autre) les enregistrements SRV) pour pouvoir ne serait-ce qu'installer Active directory :
Pas de DNS, pas D'AD.
J'ai malheureusement pas de Doc à te fournir sur la configuration d'un DNS 2000 (j'ai des gros bouquins, mais ça passe pas sur la messagerie).
Sorry.
Je ne veux pas t'inquiéter, mais il se pourrait bien que ton AD en ait pris un serieux coup dans la tronche.

tu peux utiliser DCDIAG pour faire un diagnostique de l'état de ton controleur de domaine.
17 Juin 2004 16:08:05

casimir59 > Pour etre exact il sagit de Windows Serveur 2000 SMB.

Donc l'installation du controleur de domaine c'est faite en meme tant que le DNS et tout le tralala.
Il faut savoir que lorsque jsuis arrivé dans la boite, le serveur je l'ai prit tel quel. J'ai tenté de lui donné un coup de jeune (ce qui n'est pas simple vu le bordel).

Mais le serveur dns est bien de type "Principal intégré à Active Directory".

Là je viens de donner un coup de jeune au serveur DNS, tout roule impec niveau DNS (test effectué à partir d'une station).
Le serveur est aussi DHCP, qui marche très bien, rien à redire la dessus.

redbaron-x66 > Donc pour le DNS c'est bon, j'ai trouvé mon bonheur sur Internet.
Pour le "coup dans la tronche", comme je l'ai dit quand jsuis arrivé c'était pas du jolie jolie. Ca m'étonnerais pas que tu ai raison.
Mon problème réside dans: quoi faire :) 
DCDIAG? connais pas, j'ai fait demarrer -> executer. Mais ca marche pas, j'ai aussi recherche le fichier au cas ou, rien non plus.

Jvais chercher sur le net, c'est un composant de windows théoriquement ?
17 Juin 2004 16:37:01

Olé!

Bon j'ai fait 2 test avec 2 utilitaires: netdiag et dcdiag

Netdiag= impec, tous les test réussie
Dcdiag = lol :)  Boite de dialogue windows: "le point d'entré de procédure DsIsMangledDnW est introuvable dans la bibliotheque de liaison dynamique NTDSAPI.dll"

J'ai plus qu'a pleurer? c'est ca? :D 

Merci windows :/ 
17 Juin 2004 17:13:04

On ne sait jamais, essaie de voir si l'état du système de ton serveur a été sauvegardée récemment. (utilitaire de sauvegarde, l'option "etat du systeme" correspond (entre autre) à la sauvegarde de la Base De Registre, de la base d'Active Directory, les comptes utilisateurs, etc...).
voir:
http://windows.microsoft.com/windows2000/fr/server/help...

Si la sauvegarde est trop ancienne, c'est un peu le bordel (toutes les modifs du schéma AD seraient perdues, ainsi que celle de la BDR ect...).

Si la sauvegarde est récente, ça vaut le coup de tenter la restauration de cette sauvegarde. Par contre, toutes les modifs concernant AD, la BDR, les comptes utilisateurs, etc... si ils ont été modifiés depuis la date de la sauvegarde, il faudra que tu recréée toutes ces modifs qui auront été perdues ;)  .

Si tu n'as aucune sauvegarde, et que malgrès tes efforts ton CD reste en rade, il ne reste plus 36 solutions hélas ===> réinstall de ton serveur sur le système d'origine (tu devrais pouvoir conserver les données de "mes documents", etc...ainsi que les données du disque dur ;)  . Il faudra cependant réinstaller certains pilotes et programmes (style antivirus et firewall p.ex.

:hello: 

17 Juin 2004 17:36:26

Le lapin a écritOlé!

Bon j'ai fait 2 test avec 2 utilitaires: netdiag et dcdiag

Netdiag= impec, tous les test réussie
Dcdiag = lol :)  Boite de dialogue windows: "le point d'entré de procédure DsIsMangledDnW est introuvable dans la bibliotheque de liaison dynamique NTDSAPI.dll"

J'ai plus qu'a pleurer? c'est ca? :D 

Merci windows :/ 


Concernant ton erreur elle provient, à priori, d'une différence de niveau de service pack entre ton système et ton outils d'admin :
va dans C:\WINNT\ServicePackFiles\i386 et install l'adminpack.msi

ensuite recommence ta procédure de test.
17 Juin 2004 17:38:28

casimir59 a écritOn ne sait jamais, essaie de voir si l'état du système de ton serveur a été sauvegardée récemment. (utilitaire de sauvegarde, l'option "etat du systeme" correspond (entre autre) à la sauvegarde de la Base De Registre, de la base d'Active Directory, les comptes utilisateurs, etc...).
voir:
http://windows.microsoft.com/windows2000/fr/server/help...

Si la sauvegarde est trop ancienne, c'est un peu le bordel (toutes les modifs du schéma AD seraient perdues, ainsi que celle de la BDR ect...).

Si la sauvegarde est récente, ça vaut le coup de tenter la restauration de cette sauvegarde. Par contre, toutes les modifs concernant AD, la BDR, les comptes utilisateurs, etc... si ils ont été modifiés depuis la date de la sauvegarde, il faudra que tu recréée toutes ces modifs qui auront été perdues ;)  .

Si tu n'as aucune sauvegarde, et que malgrès tes efforts ton CD reste en rade, il ne reste plus 36 solutions hélas ===> réinstall de ton serveur sur le système d'origine (tu devrais pouvoir conserver les données de "mes documents", etc...ainsi que les données du disque dur ;)  . Il faudra cependant réinstaller certains pilotes et programmes (style antivirus et firewall p.ex.

:hello: 

et exchange, et...
ce serait pas mal d'éviter ça quand même.
17 Juin 2004 18:31:13

redbaron-x66 a écritet exchange, et...
ce serait pas mal d'éviter ça quand même.



C'est clair :jap:  .
17 Juin 2004 23:21:51

J'ai potassé un peu ton problème.

Je te confirme que ton message d'erreur est souvent lié à des problèmes de DNS. Donc, vérifie le bien : il doit être irréprochable.
Quand ce n'est pas (plus) le DNS qui déconne c'est déjà plus problématique :
Problème avec les GPO, avec le partage du dossier Sysvol, etc...

Tu peux tester les GPO avec l'outils GPOTOOL.exe

Ton problème peut également venir du fait que l'accès au GPO a été refusé à l'administrateur du domaine.
Soit tu as un autre compte d'utilisateur capable de se logger et de redonner les droits correspondants, soit il te faut réinitialiser les autorisations à l'aide de l'outils DSACLS.
Tu trouveras ton bonheur la dedans :
http://support.microsoft.com/?id=294257

Autre possibilité (que j'évoquais un peu plus haut) : problème avec le dossier Sysvol : c'est dans ce dossier que sont stockées les stratégies.
Il a une structure bien définie :

%SystemRoot%\Sysvol\Sysvol\DomainName
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\Machine
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\User

Tous ces dossiers doivent être présent. Si ce n'est pas le cas tu peux, au choix :
- restorer à partir d'une sauvegarde précédente.
- recréer à la mano la structure de l'arborescence. Note qu'il te faut d'abord récupérer le GUID de ta stratégie.
Tu trouveras nombres d'informations ici :
http://support.microsoft.com/default.aspx?scid=kb;EN-US;253268

Une Dernière chose : en cas de restoration d'AD, comme le suggérait Casimir59 plus haut, sache que tu ne peux pas le restorer avec une sauvegarde de plus de 60 jours. C'est lié à l'attribue tombstone (durée de vie de l'enregistrement désactivé qui part défaut est de 60 jours).
(Je pense qu'il y a moyen en jouant sur l'horloge système, mais j'ais jamais essayé).

... Tient nous au courant.
18 Juin 2004 10:02:19

Bonjour,

Et bien on peut dire que le réveil est dure, attaqué directement ce problème à la fraiche ca laisse tout froid :) Bon j'ai donc fait vos manipulations, alors dans l'ordre:

1- Restauration impossible, la sauvegarde est faite tous les 2 jours sur bandes. Le probleme remonte à plus de quelques jours, parceque je n'avait jamais utilisé "Stratégie de sécurité du controleur de domaine". Mais un anti-virus que j'avais installer ne se mettait pas à jour, et ca n'est que mardi (avec l'ingé en ligne) on vérifiait des parametres ensemble et on voulait vérifié des parametres dedans :/  donc soit le probleme était dejà présent avant que je n'arrive dans la boite, soit je ne suis pas capable d'estimé quand à eu lieu la détérioration. Donc je peux oublié le rapatriement d'une sauvegarde.

2- j'ai reinstaller l'adminpack.msi, désormais j'ai tous les outils de diagnostics. J'ai donc réexécuté "dcdiag.exe", tous les test sont bon sauf un, au niveau du test "systemlog" il me sort une erreur:

---------------------------------------------
An Error Event occured. EventID: 0x0000168E
Time Generated: 06/18/2004 09:20:25
(Event String could not be retrieved)

SERVEUR failed test systemlog

---------------------------------------------

sinon le reste des test passent avec succès.

3- Ensuite concernant les GPO, j'ai suivie les instructions du lien que tu m'as donné:
Lorsque j'utilise l'outil ADSIEdit.msc pour aller voir si il y a une stratégie restreinte (représenté par un bloc note), je n'en ai pas . J'ai simplement 4 stratégie différente (représenté par des repertoires).

4- Concernant SysVol, pareil j'ai suivie les instructions. La structure existe bien! néamoins chose bizarre, dans le repertoire "Policies" j'ai 4
18 Juin 2004 10:05:19

Lol, désolé j'ai rippé sur le bouton "validé le message" :/ 

Je reprend:

4- Concernant SysVol, pareil j'ai suivie les instructions. La structure existe bien! néamoins chose bizarre, dans le repertoire "Policies" j'ai 4 {GUID} différents, qui ont à l'intérieur la bonne structure (que tu as représenté dans ton post précédant).

Pour être sur j'ai testé avec l'outil "Ldp.exe", pas de probleme pour se connecter, mais élément bizarre par rapport à ce que nous dit microsoft:

Je cite:
On the View menu, click Tree.
In the Base DN box, type dc=mydomain,dc=mydomain, replacing mydomain and mydomain with the appropriate domain name.
Click the plus sign (+) next to the System container.
Click the plus sign (+) next to the Policies container.

-> Moi une foi l'arbre conencté, lorsque je clique sur les "+" de l'arboresence je n'obtient rien. Un beau empty en fait.


Voilà les résultats des test.
18 Juin 2004 11:19:00

Pour les GUID * 4, c'est normal. Un GUID par stratégie crée.
Tu dois avoir 4 stratégies différentes sur ton serveur.
20 Juin 2004 13:54:52

Ton serveur pointe bien sur ça propre adresse pour le DNS?
(dans les propriétées tcp/ip de ta connexion locale)
Il faut aussi créer une zone de recherche inverse.
Quel résultats obtiens-tu avec nslookup?

pour ton test avec ldp.exe,
"dc=mydomain,dc=mydomain" ==> exple : dc=mondomaine,dc=fr

Pour l'erreur DCDIAG, met à jour l'outils DCDIAG (récupérable sur le site de Microsoft). Il n'est pas non plus mis à jour au changement de SP.

25 Juin 2004 12:54:25

j' ais eu le même problème ces derniers jours sur un Windows 2000 Sp3 server.

Bon j' ais bien paniqué.....

ET pis j' ais cherché, et j'ais restoré le C:\winnt\sysvol\*.* de la veille.

et tous et rentré dans l'ordre.

Essaie de voir si tu aurais une sauvegarde de moins de 60 jours, je sais facile à dire, mais ça pourrait t éviter de refaire le serveur en entier.

Bon Courage
26 Novembre 2004 15:05:24

Le lapin a écritmagellan > oui je te confirme je suis bien connecté avec l'admin de la machine (et donc du domaine).
Aucune notion de durée de vie, restriction sur les comptes.

redbaron-x66 > Un seul DC
Le serveur, lorsque je suis arrivé dans la boite, était serveur DNS, je l'ai désactiver pour le désengorger et pour permettre de regler kelke probleme d acces a certains site web.
Après avoir lu la docs Microsoft, j'ai tenté de mettre en 2eme dns l ip du serveur (en l'activant en serveur dns).
J'ai bien pensé a nettoyer toute les entrées DNS histoire qu'il n'y es pas de probleme.
Et ca n'a rien résolue. Après j'avouerais ne pas être super expert quand au fonctionnement DNS de windows server 2000. Et rentré dans les détails reste assez flou.

Si tu pense que le probleme viens bel et bien du serveur dns, ou puis je trouvé une doc suffisement explicite pour avoir une config ordinaire et qui marche.
Ainsi je pourrais etre sur que ca viens, ou non, du serveur dns.


Merci


sans vouloir dire de conerie (si si cé vrai) mon AD ne gère pas le compte ADMIN local de la machine

il faut se connecter impérativement avec un compte GLOBAL qui lui à des droit sur le/les controleur(s) de DOM et donc aussi sur l'AD

(patapé si cé pas bon hein !!)
26 Novembre 2004 18:53:14

dener a écritsans vouloir dire de conerie (si si cé vrai) mon AD ne gère pas le compte ADMIN local de la machine

il faut se connecter impérativement avec un compte GLOBAL qui lui à des droit sur le/les controleur(s) de DOM et donc aussi sur l'AD

(patapé si cé pas bon hein !!)


Non c'est bon, ce qu'il disait c'est que son profil admin de la machine est AUSSI le profil admin du domaine;) en gros il a donné les droits admin de son poste au profil admin du domaine, tout bêtement.
12 Février 2005 23:05:26

Bonjour, j'ai un petit probleme au niveau de mon controleur de domaine. Je faisais des tests sur la stratégie de sécurité de domaine et j'ai désactivé la possibilité d'executer regedit pour lire la base de registre et également la console mmc. Cela a eu pour effet de bloquer également le serveur. Je ne peux donc pas exécuter la console mmc ni modifier la base de registre à l'aide de regedit. Est ce que vous avez une solution à ce problème ?
merci.

(Version Windows 2000 server)
20 Septembre 2005 13:57:48

non sans rire revenons au pb puisque j'ai exactement le meme
j'ai installer windows smb, exchange, isa, configurer tout ça ,coool
serveur ok je claque le service pack 4, et la exchange de demarre plus.
la strategie de roupe est innaccessible, idem, help
20 Septembre 2005 14:07:03

perso, moi j'aurais installé le SP4 AVANT d'installer le reste des logiciels ...
14 Mars 2007 16:29:28

Vérifiez que le service Netlogon.exe est bien démarré (Intitulé "Ouverture de sessions Windows" dans les Services).

Sans Netlogon 1) les services Exchange ne démarrent pas 2) Plus aucun accès ni aux stratégies de sécurités, ni aux stratégies de groupes.