Vue d’ensemble de l’emprunt d’identité d’un client après l’authentification et de la création de paramètres de sécurité d’objets globaux

Cet article décrit l’emprunt d’identité d’un client après l’authentification et crée des droits utilisateur d’objets globaux.

Numéro de base de connaissances d’origine : 821546

Résumé

Cet article décrit les droits d’utilisateur « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux ». Ces nouveaux paramètres de sécurité ont d’abord été introduits dans Windows 2000 Service Pack 4 (SP4) et aident à renforcer la sécurité dans Windows 2000. Cet article décrit les nouveaux paramètres de sécurité et contient également des informations sur certains problèmes connus qui peuvent se produire et comment les résoudre.

Important

Tenez compte des problèmes suivants lorsque vous appliquez les droits utilisateur « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » à l’aide de la stratégie de domaine par défaut ou de la stratégie de groupe :

  • Les droits d’utilisateur « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » s’appliquent uniquement aux ordinateurs exécutant Windows 2000 SP4 ou version ultérieure.

  • Vous pouvez utiliser la stratégie de domaine par défaut ou la stratégie de groupe pour appliquer les paramètres de sécurité « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » aux ordinateurs de votre environnement si les ordinateurs exécutent Windows 2000 Service Pack 2 (SP2) ou version ultérieure. Notez que même si vous pouvez déployer les paramètres de sécurité dans un environnement qui contient Des ordinateurs Windows 2000 SP2 et Windows 2000 Service Pack 3 (SP3), les paramètres de sécurité s’appliquent uniquement aux ordinateurs Windows 2000 SP4. Les paramètres ne s’appliquent pas aux ordinateurs exécutant Windows 2000 SP2 ou Windows 2000 SP3.

  • N’utilisez pas la stratégie de domaine par défaut ou une autre stratégie de groupe pour appliquer ces nouveaux droits d’utilisateur aux ordinateurs exécutant Windows 2000 ou Windows 2000 Service Pack 1 (SP1). Notez que si vous utilisez la stratégie de domaine par défaut ou une autre stratégie de groupe pour appliquer ces droits utilisateur aux ordinateurs exécutant Windows 2000 ou Windows 2000 Service Pack 1 (SP1), la propagation des paramètres de sécurité de la stratégie échoue. Autrement dit, la stratégie n’est pas propagée aux ordinateurs Windows 2000 ou Windows 2000 SP1 et les droits utilisateur ne sont pas affichés dans le composant logiciel enfichable Paramètres de sécurité locaux. Les scénarios suivants peuvent se produire si vous utilisez la stratégie de domaine par défaut ou une autre stratégie de groupe pour appliquer ces nouveaux droits d’utilisateur aux ordinateurs exécutant Windows 2000 ou Windows 2000 Service Pack 1 (SP1) :

    • Les paramètres de stratégie de sécurité supplémentaires situés dans le même objet de stratégie de groupe et qui ciblent les appareils Windows 2000 ou Windows 2000 Service Pack 1 (SP1) ne sont pas propagés aux appareils de destination.

    • Paramètres de stratégie de sécurité supplémentaires appliqués à l’aide d’autres stratégies de groupe le long du chemin SDOU (site, domaine, unité organisationnelle) vers les appareils Windows 2000 ou Windows 2000 Service Pack 1 (SP1) qui seront propagés.

    • Si ces nouveaux paramètres de sécurité ou ces deux nouveaux paramètres de sécurité sont ciblés sur les appareils Windows 2000 ou Windows 2000 Service Pack 1 (SP1), le composant logiciel enfichable MMC local sur ces appareils ne peut pas afficher correctement les paramètres de sécurité. Toutefois, tous les paramètres de sécurité appliqués aux appareils ciblés à partir d’autres objets de stratégie de groupe côté domaine (qui ne contiennent pas les nouveaux paramètres) s’appliquent toujours à ces appareils ciblés.

  • De même, vous pouvez utiliser la stratégie de sécurité du contrôleur de domaine par défaut pour appliquer les paramètres de sécurité « Emprunter l’identité d’un client après l’authentification » et « Créer des objets globaux » aux contrôleurs de domaine dans votre environnement si les contrôleurs de domaine exécutent Windows 2000 SP2 ou version ultérieure. Notez que même si vous pouvez déployer les paramètres de sécurité dans un environnement qui contient les contrôleurs de domaine Windows 2000 SP2 et Windows 2000 SP3, les paramètres de sécurité s’appliquent uniquement aux contrôleurs de domaine Windows 2000 SP4. Les paramètres ne s’appliquent pas aux contrôleurs de domaine exécutant Windows 2000 SP2 ou Windows 2000 SP3.

Problème 1 : le droit d’utilisateur « Emprunt d’identité d’un client après l’authentification » (SeImpersonatePrivilege)

Le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » (SeImpersonatePrivilege) est un paramètre de sécurité Windows 2000 qui a été introduit pour la première fois dans Windows 2000 SP4. Par défaut, les membres du groupe Administrateurs locaux de l’appareil et du compte de service local de l’appareil reçoivent le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification ». Les composants suivants disposent également de ce droit d’utilisateur :

  • Services démarrés par service Control Manager
  • Serveurs COM (Component Object Model) démarrés par l’infrastructure COM et configurés pour s’exécuter sous un compte spécifique

Lorsque vous attribuez le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » à un utilisateur, vous autorisez les programmes qui s’exécutent pour le compte de cet utilisateur à emprunter l’identité d’un client. Ce paramètre de sécurité permet d’empêcher les serveurs non autorisés d’emprunter l’identité des clients qui s’y connectent via des méthodes telles que des appels de procédure distante (RPC) ou des canaux nommés. Pour plus d’informations sur la fonction SeImpersonatePrivilege, visitez le site web Microsoft suivant :
Emprunter l'identité d'un client après authentification

Pour plus d’informations sur les fonctions d’emprunt d’identité (telles que ImpersonateClient, ImpersonateLoggedOnUser et ImpersonateNamedPipeClient), recherchez SeImpersonatePrivilege dans la documentation du Kit de développement logiciel (SDK) de la plateforme Microsoft. Pour afficher cette documentation, visitez le site web Microsoft suivant :
Emprunter l'identité d'un client après authentification

Résolution des problèmes 1

  • Certains programmes qui utilisent l’emprunt d’identité peuvent ne pas fonctionner correctement après l’installation de Windows 2000 SP4.

    Après avoir installé Windows 2000 Service Pack 4 (SP4) sur votre ordinateur, certains programmes qui utilisent l’emprunt d’identité peuvent ne pas fonctionner correctement.

    Ce problème peut se produire dans des situations où le compte d’utilisateur utilisé pour exécuter le programme n’a pas le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification ».

    Sur les ordinateurs exécutant Windows 2000 Service Pack 3 (SP3) et versions antérieures, un droit d’utilisateur n’est pas requis pour emprunter l’identité d’un client. Par conséquent, certains programmes qui utilisent l’emprunt d’identité peuvent ne pas fonctionner correctement après l’installation de Windows 2000 SP4.

    Pour résoudre ce problème, identifiez le compte d’utilisateur utilisé pour exécuter le programme, puis attribuez le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » à ce compte d’utilisateur. Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
    2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
    3. Dans le volet droit, double-cliquez sur Emprunter l’identité d’un client après l’authentification.
    4. Dans la boîte de dialogue Paramètre de stratégie de sécurité locale, cliquez sur Ajouter.
    5. Dans la boîte de dialogue Sélectionner des utilisateurs ou un groupe , cliquez sur le compte d’utilisateur que vous souhaitez ajouter, cliquez sur Ajouter, puis sur OK.
    6. Cliquez sur OK.

    Note

    Pour résoudre les situations où vous ne pouvez pas déterminer le compte d’utilisateur utilisé pour exécuter le programme, et où vous souhaitez vérifier que les symptômes que vous rencontrez sont causés par le droit de l’utilisateur, attribuez le droit d’utilisateur « Emprunter l’identité d’un client après l’authentification » au groupe Tout le monde, puis démarrez le programme. Si le programme fonctionne correctement, le problème que vous rencontrez peut être dû au nouveau paramètre de sécurité.

  • Vous recevez un message d’erreur « Erreur lors de la tentative d’exécution du projet » lorsque vous déboguez une application web dans Visual Studio .NET.

Problème 2 : le droit d’utilisateur « Créer des objets globaux » (SeCreateGlobalPrivilege)

Le droit d’utilisateur « Créer des objets globaux » (SeCreateGlobalPrivilege) est un paramètre de sécurité Windows 2000 qui a été introduit pour la première fois dans Windows 2000 SP4. Le droit de l’utilisateur est requis pour qu’un compte d’utilisateur crée un mappage de fichiers global et des objets de liaison symbolique. Notez que les utilisateurs peuvent toujours créer des objets spécifiques à une session sans être affectés à ce droit d’utilisateur. Par défaut, les membres du groupe Administrateurs, le compte système et les services démarrés par le Gestionnaire de contrôle de service reçoivent le droit d’utilisateur « Créer des objets globaux ».

Résolution des problèmes 2

  • Certains programmes peuvent ne pas fonctionner correctement après l’installation de Windows 2000 SP4.

    Après avoir installé Windows 2000 Service Pack 4 (SP4) sur votre ordinateur, certains programmes peuvent ne pas fonctionner correctement. Ce problème peut se produire dans les situations où le compte d’utilisateur utilisé pour exécuter le programme n’a pas le droit d’utilisateur « Créer des objets globaux ».

    Pour résoudre ce problème, identifiez le compte d’utilisateur utilisé pour exécuter le programme, puis affectez le droit d’utilisateur « Créer des objets globaux » à ce compte d’utilisateur. Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
    2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
    3. Dans le volet droit, double-cliquez sur Créer des objets globaux.
    4. Dans la boîte de dialogue Paramètre de stratégie de sécurité locale, cliquez sur Ajouter.
    5. Dans la boîte de dialogue Sélectionner des utilisateurs ou un groupe , cliquez sur le compte d’utilisateur que vous souhaitez ajouter, cliquez sur Ajouter, puis sur OK.
    6. Cliquez sur OK.

    Note

    Pour résoudre les situations où vous ne pouvez pas déterminer le compte d’utilisateur utilisé pour exécuter le programme et où vous souhaitez vérifier que les symptômes que vous rencontrez sont causés par le droit de l’utilisateur, attribuez le droit d’utilisateur « Créer des objets globaux » au groupe Tout le monde, puis démarrez le programme. Si le programme fonctionne correctement, le problème que vous rencontrez peut être dû au nouveau paramètre de sécurité.

  • Vous recevez un message d’erreur « Mémoire insuffisante » lorsque vous recherchez des clips dans un document Office XP dans une session Terminal Services.

  • L’ordinateur cesse de répondre (se bloque) lorsque vous redémarrez un ordinateur Windows 2000 Server après avoir installé le contrôle parental McAfee.

  • Last updated on