Relation Approbation 2003 NT4

Le
Cédric
Bonsoir,

J'ai une foret active Directory 2003 compos de 2
domaines (Parent+enfant).
Mes domaines sont en mode Natif.
Au niveau du domaine enfant j'ai une relation
d'approbation bi-directionnel avec un domaine NT4.
J'ai tablit la relation avec les outils standard
Microsoft sans recontr de difficult. Cette relation
d'appobation est fonctionnel dans les 2 sens, ceci dit
j'ai un ptit dysfonctionnement au niveau NT4 dans le
UserManager:

lorsque je suis dans le UserManager de NT4 et que je
visualise le contenu d'un groupe local de domaine tous
mes comptes users issus du domaine 2003 apparraissent
en "Compte inconnu";

J'ai implment mon fichier LMHOST cot PDC NT4 de la
manire suivante:
@IP "NonDomaine 0x1b" #PRE
Mais cela ne rsoud pas mon pb.

J'ai aussi une rplication entre les Wins NT4 et Wins
2003.
Ct AD2003, je visualise correctement l'intrieur d'un
groupe local de domaine les users issues du domaine NT4.

Je suis court d'ide.merci de votre aide.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Thierry MILLE [MVP]
Le #389301
"Cédric" news:23fd301c45eed$9d120340$
Bonsoir,

J'ai une foret active Directory 2003 composé de 2
domaines (Parent+enfant).
Mes domaines sont en mode Natif.
Au niveau du domaine enfant j'ai une relation
d'approbation bi-directionnel avec un domaine NT4.
J'ai établit la relation avec les outils standard
Microsoft sans recontré de difficulté. Cette relation
d'appobation est fonctionnel dans les 2 sens, ceci dit
j'ai un ptit dysfonctionnement au niveau NT4 dans le
UserManager:

lorsque je suis dans le UserManager de NT4 et que je
visualise le contenu d'un groupe local de domaine tous
mes comptes users issus du domaine 2003 apparraissent
en "Compte inconnu";

J'ai implémenté mon fichier LMHOST coté PDC NT4 de la
manière suivante:
@IP "NonDomaine 0x1b" #PRE
...Mais cela ne résoud pas mon pb.

J'ai aussi une réplication entre les Wins NT4 et Wins
2003.
Côté AD2003, je visualise correctement à l'intérieur d'un
groupe local de domaine les users issues du domaine NT4.

Pourriez vous regarder quelle est la valeur de RestictAnonymous (LSA) sur

les DC des domaines Windows 2003 ?

Cordialement

--
Thierry MILLE
www.lab-os.com

Psu
Le #389228
Je n'ai jamais fais le test mais le résultat pourrait
s'expliquer de la manière suivante:
Les groupes de domaine local sont inconnus pour les
postes NT (cette fonctionnalité n'existait pas dans les
domaine NT) alors ils les interprêtent d'une façon
erronée!

J'avais déjà, par contre ce phénomène, à partir des
groupes Universelles. Le poste NT semble les voir comme
des groupes globaux sauf que logiquement l'imbrication de
groupe = possible dans les domaine NATIF, et l'adhésion
d'utilisateur dans un groupe global NT n'est pas
possible !
Alors que le poste NT m'affichait bien les comptes
d'utilisateurs du domaine inclus dans le groupe universel
(interprété comme global si créé dans le même domaine)les
autres étaient "Compte inconnu".

Vous vous êtes dans un domaine NT avec relation
d'apporbation vers un domaine AD et exploitez un groupe
de type inconnu pour l'environemment NT d'où
l'interprétation "mystique" réaliser par votre poste

Je crains qu'il ne soit pas possible d'adminitrer votre
GDL à partir de NT (surtout à partir d'un autre domaine
NT) MAIS si quelqu'un peut démentir je serais heureux
d'avoir une solution :-)


Toujours dans la Théorie :
Je crains aussi que la solution de Thierry
(RestictAnonymous)ne soit pas suffisante. Si je ne me
trompe pas la clef permet de faire des domande au
controleur de domaine à partir d'un compte anonyme (ce
que fait NT par défaut) dans ce cas là le groupe ne
devrait pas être visible lui aussi. Mais je peux me
tromper sur la fonctionnalité de la clef ou la théorie
peut différé en fonction de la tolérence de Microsoft
accorder au restrictions. Elle a le merite d'être au
moins testé :-)


-----Message d'origine-----
"Cédric" message

news:23fd301c45eed$9d120340$
Bonsoir,

J'ai une foret active Directory 2003 composé de 2
domaines (Parent+enfant).
Mes domaines sont en mode Natif.
Au niveau du domaine enfant j'ai une relation
d'approbation bi-directionnel avec un domaine NT4.
J'ai établit la relation avec les outils standard
Microsoft sans recontré de difficulté. Cette relation
d'appobation est fonctionnel dans les 2 sens, ceci dit
j'ai un ptit dysfonctionnement au niveau NT4 dans le
UserManager:

lorsque je suis dans le UserManager de NT4 et que je
visualise le contenu d'un groupe local de domaine tous
mes comptes users issus du domaine 2003 apparraissent
en "Compte inconnu";

J'ai implémenté mon fichier LMHOST coté PDC NT4 de la
manière suivante:
@IP "NonDomaine 0x1b" #PRE
...Mais cela ne résoud pas mon pb.

J'ai aussi une réplication entre les Wins NT4 et Wins
2003.
Côté AD2003, je visualise correctement à l'intérieur
d'un


groupe local de domaine les users issues du domaine
NT4.



Pourriez vous regarder quelle est la valeur de

RestictAnonymous (LSA) sur

les DC des domaines Windows 2003 ?

Cordialement

--
Thierry MILLE
www.lab-os.com


.




Jacques Barathon [MS]
Le #391875
"Psu" news:2902601c464fb$320eb4d0$
Je n'ai jamais fais le test mais le résultat pourrait
s'expliquer de la manière suivante:
Les groupes de domaine local sont inconnus pour les
postes NT (cette fonctionnalité n'existait pas dans les
domaine NT) alors ils les interprêtent d'une façon
erronée!
[...]
Vous vous êtes dans un domaine NT avec relation
d'apporbation vers un domaine AD et exploitez un groupe
de type inconnu pour l'environemment NT d'où
l'interprétation "mystique" réaliser par votre poste

Je crains qu'il ne soit pas possible d'adminitrer votre
GDL à partir de NT (surtout à partir d'un autre domaine
NT) MAIS si quelqu'un peut démentir je serais heureux
d'avoir une solution :-)



Ta belle théorie est fausse: d'où tiens-tu que les "GDL" n'existaient pas
sous NT4? Les groupes de domaine locaux existent depuis la première version
de Windows NT. Dès sa naissance ce système a proposé les deux types de
groupes pour un domaine, groupes locaux et groupes globaux. Les groupes
universels sont apparus avec l'AD.

Cela dit, je n'ai pas d'explication pour le problème de Cédric, la
proposition de Thierry mérite d'être testée car il est possible qu'il y ait
une restriction sous 2003 dans l'accès à son catalogue à partir d'une
machine extérieure à sa forêt.

Jacques

-----Message d'origine-----
"Cédric" message

news:23fd301c45eed$9d120340$
Bonsoir,

J'ai une foret active Directory 2003 composé de 2
domaines (Parent+enfant).
Mes domaines sont en mode Natif.
Au niveau du domaine enfant j'ai une relation
d'approbation bi-directionnel avec un domaine NT4.
J'ai établit la relation avec les outils standard
Microsoft sans recontré de difficulté. Cette relation
d'appobation est fonctionnel dans les 2 sens, ceci dit
j'ai un ptit dysfonctionnement au niveau NT4 dans le
UserManager:

lorsque je suis dans le UserManager de NT4 et que je
visualise le contenu d'un groupe local de domaine tous
mes comptes users issus du domaine 2003 apparraissent
en "Compte inconnu";

J'ai implémenté mon fichier LMHOST coté PDC NT4 de la
manière suivante:
@IP "NonDomaine 0x1b" #PRE
...Mais cela ne résoud pas mon pb.

J'ai aussi une réplication entre les Wins NT4 et Wins
2003.
Côté AD2003, je visualise correctement à l'intérieur
d'un


groupe local de domaine les users issues du domaine
NT4.



Pourriez vous regarder quelle est la valeur de

RestictAnonymous (LSA) sur

les DC des domaines Windows 2003 ?

Cordialement

--
Thierry MILLE
www.lab-os.com


.




GG [MVP]
Le #391874
Ta belle théorie est fausse: d'où tiens-tu que les "GDL" n'existaient
pas sous NT4? Les groupes de domaine locaux existent depuis la
première version de Windows NT.


Bien vrai, depuis NT 3.1, ca ne nous rajeunit pas tout ça, même dans
la beta, ca existait déjà. ;-)

Cela dit, je n'ai pas d'explication pour le problème de Cédric, la
proposition de Thierry mérite d'être testée car il est possible qu'il
y ait une restriction sous 2003 dans l'accès à son catalogue à partir
d'une machine extérieure à sa forêt.


Il me semble qu'il a encore un DNS dans le coup cela fonctionne
quand on implémente le serveur DNS sous NT 4 et que l'on fait
du transfert de zone cela m'a l'air de fonctionner correctement,
mais je dis ça comme ça, cela n'engage que moi. :-)
Même d'un SBS 2003 avec un controleur de domaine NT4. ;-)
Par securité j'ai devalidé la signature SMB sur le 2003.
--
Cordialement.
GG. [MVP]
http://gilisa.assysm.com

GG [MVP]
Le #391873
Même d'un SBS 2003 avec un controleur de domaine NT4. ;-)


Oups !! non pas pour la relation d'approbation ce n'est surtout
pas un SBS, j'en vois trop en ce moment. ;-) mais pour le transfert
de zone impec.

--
Cordialement.
GG. [MVP]
http://gilisa.assysm.com

Poster une réponse
Anonyme