L’outil Dcgpofix ne restaure pas les paramètres de sécurité de la stratégie de contrôleur de domaine par défaut à leur état d’origine
Cet article explique que l’outil Dcgpofix.exe recrée les objets stratégie de groupe (GPO) par défaut pour un domaine et qu’il est préférable d’utiliser cet outil uniquement dans les scénarios de récupération d’urgence.
S’applique à : Toutes les versions prises en charge de Windows Server
Numéro de la base de connaissances d’origine : 833783
L’opération Dcpromo modifie la sécurité d’un domaine de manière incrémentielle, en fonction des paramètres de sécurité existants sur ce serveur. Par conséquent, après avoir exécuté Dcpromo, l’ensemble final de paramètres de sécurité dans la stratégie de contrôleur de domaine par défaut dépend à la fois de l’opération Dcpromo et de l’état de sécurité du système qui existait avant l’exécution de Dcpromo. Avant d’exécuter Dcpromo, l’état de sécurité du système peut être modifié par un certain nombre de mécanismes. Par exemple, lorsque vous installez des applications serveur, des modifications peuvent être apportées aux droits d’utilisateur accordés aux comptes d’utilisateur locaux, tels que le compte SUPPORT_388945a0.
Cause
L’outil Dcgpofix ne peut pas savoir dans quel état se trouvaient les paramètres de sécurité avant d’exécuter Dcpromo. Par conséquent, l’outil Dcgpofix ne peut pas retourner précisément les paramètres de sécurité à l’état d’origine. Au lieu de cela, l’outil Dcgpofix recrée les deux objets de stratégie de groupe par défaut et crée les paramètres en fonction des opérations effectuées uniquement pendant Dcpromo.
Si vous avez une nouvelle installation de Windows Server et qu’aucune modification de sécurité n’est apportée au système d’exploitation avant d’exécuter Dcpromo, la stratégie de contrôleur de domaine par défaut créée par Dcgpofix sera presque identique à la stratégie de contrôleur de domaine par défaut juste après l’exécution de Dcpromo. Toutefois, il y aura des différences dans les paramètres de la stratégie de contrôleur de domaine par défaut dans ce cas.
Résolution
Pour la sauvegarde et la restauration générales de la stratégie de domaine par défaut et de la stratégie de contrôleur de domaine par défaut, ainsi que pour les autres objets de stratégie de groupe, nous vous recommandons d’utiliser la console de gestion stratégie de groupe (GPMC) pour créer des sauvegardes régulières de ces objets de stratégie de groupe. Vous pouvez ensuite utiliser la console GPMC conjointement avec ces sauvegardes pour restaurer les paramètres de sécurité exacts contenus dans ces objets de stratégie de groupe.
Si vous êtes dans un scénario de récupération d’urgence et que vous n’avez aucune version sauvegardée de la stratégie de domaine par défaut ou de la stratégie de contrôleur de domaine par défaut, vous pouvez envisager d’utiliser l’outil Dcgpofix. Si vous utilisez l’outil Dcgpofix, nous vous recommandons de passer en revue les paramètres de sécurité dans ces objets de stratégie de groupe et d’ajuster manuellement les paramètres de sécurité en fonction de vos besoins. La publication d’un correctif n’est pas planifiée, car nous vous recommandons d’utiliser la console gpMC pour sauvegarder et restaurer tous les objets de stratégie de groupe dans votre environnement. L’outil Dcgpofix est un outil de récupération d’urgence qui restaure votre environnement à un état fonctionnel uniquement. Il est préférable de ne pas l’utiliser en remplacement d’une stratégie de sauvegarde à l’aide de gpMC. Il est préférable d’utiliser l’outil Dcgpofix uniquement lorsqu’il n’existe pas de sauvegarde d’objet de stratégie de groupe pour la stratégie de domaine par défaut et la stratégie de contrôleur de domaine par défaut.
Plus d’informations
Le tableau suivant répertorie les différences entre les paramètres de sécurité dans la stratégie de contrôleur de domaine par défaut après l’exécution de l’outil Dcgpofix et les paramètres d’une nouvelle installation de Windows Server après l’exécution de Dcpromo. Nous vous recommandons d’ajuster ces paramètres de sécurité en fonction des exigences de votre environnement après avoir exécuté l’outil Dcgpofix.
Paramètre dans la stratégie de contrôleur de domaine par défaut | Valeur après l’exécution de DCPromo sur Windows Server correctement installé | Valeur après l’exécution de DCGPOFIX |
---|---|---|
Paramètres d’audit | ||
Auditer la gestion des comptes | Opération réussie | Aucun audit |
Auditer l’accès au service d’annuaire | Opération réussie | Aucun audit |
Auditer la modification de la stratégie | Opération réussie | Aucun audit |
Auditer les événements système | Opération réussie | Aucun audit |
Droits d’utilisateur | ||
objets globaux Create | Non défini | SERVICE, Administrateurs |
Refuser l’accès à l’ordinateur à partir du réseau | SUPPORT_388945a0 | (Vide) |
Refuser l’ouverture de session localement | SUPPORT_388945a0 | (Vide) |
Emprunter l’identité d’un client après l’authentification | Non défini | SERVICE, Administrateurs |
Charger et décharger les pilotes de périphérique | Administrateurs, opérateurs d’impression | Administrateurs |
Ouvrir une session en tant que tâche | SERVICE LOCAL, SUPPORT_388945a0 | (Vide) |
Ouvrir une session en tant que service | SERVICE RÉSEAU | (Vide) |
Arrêter le système | Administrateurs, opérateurs de sauvegarde, opérateurs de serveur, opérateurs d’impression | Opérateurs de compte, administrateurs, opérateurs de sauvegarde, opérateurs de serveur, opérateurs d’impression |
Les paramètres suivants changent après l’exécution de l’outil Dcgpofix :
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
En fonction des options de configuration, les paramètres suivants peuvent également modifier les éléments suivants :
- SeBatchLogonRight (uniquement LE SERVICE LOCAL, et non le compte SUPPORT_388945a0)
- SeServiceLogonRight
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour