Salut,
 
J'ai un domaine active directory avec des DC windows 2003.
Sur les postes clients (Win XP Pro), les utilisateurs devant se connecter doivent être ajoutés localement et en tant qu'administrateurs (panneau de config -> comptes d'utilisateurs).
Si je ne fais pas cette manip, l'ouverture de session échoue avec le message :

Tout ce que je trouve comme info fait référence à des serveurs Windows 2000 :
http://support.microsoft.com/kb/285793/fr
et fait référence à une stratégie de groupe (Ouvrir une session localement) absente de 2003.
Sous 2003, j'ai trouvé une stratégie de groupe "Permettre l'ouverture d'une session locale" que j'ai défini pour l'OU des ordinateurs clients et dans laquelle j'ai inclus tous les utilisateurs du domaine mais c'est pas mieux. J'ai toujours le même message d'erreur...
Ça doit être évident mais je ne trouve pas dans la doc comment faire.
 
Merci.

regarde dans les propriété de ton compte il y a deux endroit a regarder , je ne sais plus exactement mais y a des case qui interdise de se connecter en TS avec le compte

Dans les propriétés des comptes, onglet Compte, on peut préciser à quels ordinateurs on peu  se connecter, par défaut c'est à "tous" et c'est le cas chez moi.
Par ailleurs, dans l'onglet "Profil de services Terminal Server" il y a une case "Interdire à cet utilisateur de se connecter aux ordinateurs Terminal Server" et n'est pas cochée non plus.
Je pense que c'est les deux endroits dont tu parle donc ce n'est pas ça le problème.
De toutes façons, je ne suis pas en TS mais en poste de travail client d'un domaine AD, donc le second ne joue pas dans mon cas.
N'empèche que je trouve toujours pas pourquoi ça marche pas et c'est saoulant

C'est étrange. Effectivement, par défaut, ça ne devrait pas coincer. Plutôt que faire une GPO sur l'OU de tes ordinateurs, vérifie ta stratégie "Permettre l'ouverture d'une session locale" au niveau de la Stratégie par défaut du domaine. En principe elle doit être en "Non défini".

C'est bien le cas, les stratégies de sécurité du domaine sont toutes à "Non défini".
Il y a bien des stratégies de sécurité pour le contrôleur de domaine mais ça ne joue pas au niveau des postes du domaine non?

Non.
 
Si tu regardes la stratégie locale d'un de tes postes, tu as quoi dans cette stratégie "Permettre l'ouverture d'une session locale" ?

Bonne idée, j'avais pas pensé à regarder là    
 
Alors là c'est très fort    
Je n'ai pas "Permettre l'ouverture d'une session locale", j'ai la vieille stratégie héritée de Windows 2000 : "Ouvrir une session localement" et pire encore, elle commence par un SID non résolu (*S-1-5-21-...) avec ensuite invité, administrateur, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde
Il ne manque plus que "Tout le monde" et la liste sera complète :-D
 
Est-ce que c'est lié au fait que c'est un domaine mis à jour depuis 2000 vers 2003?
Parce qu'il y a tout plein de stratégies avec des SID non résolus et qui ne me paraissent être définies nulle part sur les contrôleurs de domaine...

Vérifie que dans ton groupe "Utilisateurs" local au poste, tu aies bien le groupe Utilisa. du Domaine.

En effet, il n'y est pas. Cependant, comment l'ajouter pour que la correspondance se fasse entre ce groupe créé et le groupe du contrôleur de domaine? Si j'ajoute juste un groupe "Utilisa. du Domaine"  aux groupes locaux du poste de travail ça ne suffit pas. Est-ce qu'il y a une manip particulière à faire?