Configuration requise pour les fonctions de gestion de réseau sur les contrôleurs domaine Active Directory

Si vous appelez l’une des fonctions de gestion de réseau répertoriées dans cette rubrique sur un contrôleur de domaine exécutant Active Directory, l’accès à un objet sécurisable est autorisé ou refusé en fonction de la liste de contrôle d’accès (ACL) de l’objet. (Les listes de contrôle d’accès sont spécifiées dans le répertoire.)

Des exigences d’accès différentes s’appliquent aux requêtes d’informations et aux mises à jour d’informations.

Requêtes

pour les requêtes, la liste de contrôle d’accès par défaut autorise tous les utilisateurs authentifiés et les membres du groupe «accès compatible pré-Windows 2000» à lire et énumérer les informations. Les fonctions répertoriées ci-dessous sont affectées :

l’accès anonyme aux informations de groupe nécessite que l’utilisateur anonyme soit explicitement ajouté au groupe « accès compatible pré-Windows 2000 ». Cela est dû au fait que les jetons anonymes n’incluent pas le SID du groupe tout le monde.

Windows 2000 : par défaut, le groupe « accès compatible pré-Windows 2000 » comprend tous les membres. Cela permet l’accès anonyme (ouverture de session anonyme) aux informations si le système autorise l’accès anonyme. les administrateurs peuvent supprimer tout le monde du groupe « accès Compatible pré-Windows 2000 » à tout moment. La suppression de tout le monde du groupe restreint l’accès aux informations aux utilisateurs authentifiés uniquement. Pour plus d’informations sur l’accès anonyme, consultez identificateurs de sécurité et sid connus.

Vous pouvez remplacer la valeur système par défaut en définissant la clé suivante dans le registre à la valeur 1 :

HKEY _ _ \ \ \ Contrôle \ CurrentControlSet du système de l’ordinateur local, \ EveryoneIncludesAnonymous = 1

Pour plus d’informations sur l’accès anonyme aux informations de groupe lors de l’appel de ces deux fonctions, consultez NetWkstaGetInfo et NetWkstaUserEnum .

Mises à jour

Pour les mises à jour, la liste de contrôle d’accès par défaut autorise uniquement les administrateurs de domaine et les opérateurs de compte à écrire des informations. Une exception est que les utilisateurs peuvent modifier leur propre mot de passe et définir le * _ champ de commentaire usr usri _ . Une autre exception est que les opérateurs de compte ne peuvent pas modifier les comptes d’administration. Les fonctions répertoriées ci-dessous sont affectées :

En règle générale, les appelants doivent avoir un accès en écriture à l’objet entier pour que les appels à NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo et NetLocalGroupSetInfo fonctionnent. Pour un contrôle d’accès plus fin, vous devez envisager d’utiliser ADSI. Pour plus d’informations sur ADSI, consultez Active Directory interfaces de service.

Pour plus d’informations sur le contrôle de l’accès aux objets sécurisables, consultez Access Control, privilègeset objets sécurisables. Pour plus d’informations sur l’appel de fonctions qui requièrent des privilèges d’administrateur, consultez exécution avec des privilèges spéciaux.