J’ai un domaine Windows Server 2003. L’un des objets de stratégie de groupe apparaît comme un élément lié dans une UO mais tout ce que je peux voir est l’identifiant unique et que l’état du lien est Activé. Il y a une icône rouge avec un signe moins à côté et son nom indique “Inaccessible”. Le message dit “Cet objet de stratégie de groupe (GPO) est inaccessible car vous n’avez pas la permission de lecture dessus.”
Il y a un dossier dans SYSVOL qui contient l’identifiant unique et je peux y naviguer sans aucun problème. Si j’affiche la liste complète des objets de stratégie de groupe, je ne trouve rien qui ressemble à ce GPO inaccessible.
Si j’exécute l’assistant Résultats de stratégie de groupe contre un utilisateur auquel la stratégie inaccessible s’applique, je suis en mesure de voir le vrai nom du GPO et de voir tous les paramètres qui sont appliqués à l’utilisateur depuis ce GPO.
Qu’est-ce qui a pu se passer pour qu’un administrateur perde presque tout accès à un GPO et l’accès peut-il être restauré ?
La permission sur le conteneur de stratégie de groupe (le GPC, un objet Active Directory) a été définie pour refuser votre permission de lecture. Les permissions sur l’objet du système de fichiers que vous avez trouvé (le “modèle de stratégie de groupe”, ou GPT) peuvent “se désynchroniser” avec les permissions sur l’objet Active Directory. (Pour plus d’informations, consultez http://msdn.microsoft.com/en-us/library/aa374180(VS.85).aspx).
Heureusement, vous pouvez utiliser un outil comme ADSIEDIT pour restaurer la permission sur le GPC. Avec ADSIEDIT, vous trouverez un “groupPolicyContainer” correspondant au GUID du GPO problématique sous l’objet “CN=Policies” de l’objet “CN=System” dans le NC de domaine du domaine où réside le GPO. (Installez ADSIEDIT depuis les outils de support sur le média Windows Server, ouvrez-le, naviguez dans “Domain”, puis “CN=System” et “CN=Policies” et vous trouverez le GPC).
En utilisant l’onglet “Sécurité” de la feuille de “Propriétés” du GPC correspondant au GPO problématique, utilisez le bouton “Par défaut” dans la boîte de dialogue “Avancé” pour restaurer les permissions par défaut.
Si ADSIEDIT ne vous permet pas de modifier les permissions (affichant probablement un message d’erreur bizarre comme “Un chemin de répertoire invalide a été transmis”), alors quelqu’un a probablement placé une permission “Refuser / Contrôle total” sur l’objet. La commande dsacls avec les arguments CN=GUID-DU-GPO-PROBLEMATIQUE,CN=Policies,CN=System,DC=votre,DC=domaine,DC=com rapportera les permissions. Recherchez l’entrée “Refuser” et “CONTRÔLE TOTAL” erronée et utilisez le paramètre /R nom-utilisateur-ou-groupe sur dsacls pour supprimer les permissions associées à cet utilisateur ou groupe. Si c’est vraiment un désordre, vous devrez probablement utiliser la version Windows Server 2008 ADAM / AD LDS de dsacls avec l’argument /takeownership pour prendre possession de l’objet.