Comment accorder l’autorisation « Réplication des modifications d’annuaire » pour le compte de service ADMA microsoft Metadirectory Services

Cet article explique comment accorder l’autorisation « Réplication des modifications d’annuaire » pour le compte de service ADMA microsoft Metadirectory Services.

Numéro de la base de connaissances d’origine : 303972

Résumé

Lors de la découverte d’objets dans Active Directory à l’aide de l’agent de gestion Active Directory (ADMA), le compte spécifié pour la connexion à Active Directory doit disposer d’autorisations d’administration de domaine, appartenir au groupe Administrateurs de domaine ou accorder explicitement des autorisations de modification d’annuaire pour chaque domaine de la forêt accessible par cet agent de gestion. Cet article explique comment accorder explicitement à un compte d’utilisateur les autorisations de réplication d’annuaire sur un domaine.

Note

Dans Windows Server 2003, le nom de cette autorisation a changé en « Répliquer les modifications du répertoire ».

Plus d’informations

L’autorisation Répliquer les modifications du répertoire, appelée autorisation Répliquer les modifications d’annuaire dans Windows Server 2003, est une entrée de contrôle d’accès (ACE) sur chaque contexte d’affectation de noms de domaine. Vous pouvez attribuer cette autorisation à l’aide de l’éditeur ACL ou de l’outil de support Adsiedit dans Windows 2000.

Définition des autorisations à l’aide de l’éditeur de liste de contrôle d’accès

1. Ouvrir le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory
2. Dans le menu Affichage , cliquez sur Fonctionnalités avancées.
3. Cliquez avec le bouton droit sur l’objet de domaine, par exemple «company.com », puis cliquez sur Propriétés.
4. Sous l’onglet Sécurité , si le compte d’utilisateur souhaité n’est pas répertorié, cliquez sur Ajouter ; si le compte d’utilisateur souhaité est répertorié, passez à l’étape 7.
5. Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs ou groupes , sélectionnez le compte d’utilisateur souhaité, puis cliquez sur Ajouter.
6. Cliquez sur OK pour revenir à la boîte de dialogue Propriétés .
7. Cliquez sur le compte d’utilisateur souhaité.
8. Cliquez pour cocher la case à cocher Répliquer les modifications du répertoire dans la liste.
9. Cliquez sur Appliquer, puis sur OK.
10. Fermez le composant logiciel enfichable.

Définition des autorisations à l’aide d’Adsiedit

Avertissement

L’utilisation incorrecte d’Adsiedit peut entraîner de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l’utilisation incorrecte d’Adsiedit peuvent être résolus. Utilisez Adsiedit à votre propre risque.

1. Installez les outils de support Windows 2000 s’ils n’ont pas déjà été installés.
2. Exécutez Adsiedit.msc en tant qu’administrateur du domaine. Développez le nœud Domain Naming Context (Domain NC). Ce nœud contient un objet qui commence par « DC= » et reflète le nom de domaine correct. Cliquez avec le bouton droit sur cet objet, puis cliquez sur Propriétés.
3. Cliquez sur l’onglet Security .
4. Si le compte d’utilisateur souhaité n’est pas répertorié, cliquez sur Ajouter, sinon passez à l’étape 8.
5. Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs ou groupes , sélectionnez le compte d’utilisateur souhaité, puis cliquez sur Ajouter.
6. Cliquez sur OK pour revenir à la boîte de dialogue Propriétés .
7. Cliquez sur Appliquer, puis sur OK.
8. Sélectionner le compte d’utilisateur souhaité
9. Cliquez pour activer la case à cocher Réplication des modifications du répertoire.
10. Cliquez sur Appliquer, puis sur OK.
11. Fermez le composant logiciel enfichable.

Note

À l’aide de l’une ou l’autre méthode, la définition de l’autorisation Replicating Directory Changes pour chaque domaine de votre forêt permet la découverte d’objets dans le domaine dans la forêt Active Directory. Toutefois, l’activation de la découverte du répertoire connecté n’implique pas que d’autres opérations peuvent être effectuées.

Pour créer, modifier et supprimer des objets dans Active Directory à l’aide d’un compte non administratif, vous devrez peut-être ajouter des autorisations supplémentaires selon les besoins. Par exemple, pour que Microsoft Metadirectory Services (MMS) crée des objets utilisateur dans une unité d’organisation (UO) ou un conteneur, le compte utilisé doit être explicitement autorisé à accorder l’autorisation Créer tous les objets enfants, car l’autorisation De modification du répertoire de réplication n’est pas suffisante pour permettre la création d’objets.

De la même manière, la suppression d’objets nécessite l’autorisation Supprimer tous les objets enfants.

Il est possible qu’il existe des limitations sur d’autres opérations, telles que le flux d’attributs, selon les paramètres de sécurité spécifiques affectés à l’objet en question et si l’héritage est un facteur.