je vais de problème en problème avec ma migration SP4.  
maintenant j'ai des droits sur des objets qui sautent.
en gros sur un groupe de user qui est dans une OU j'avais des droits bien particulier et bien ils ont saute.
si je veux les remmettre a la main au bout d'un certain temps ils sautent.
 
ma question :
y a t il eu un changement dans la gestion des droits, permissions, ACE, ACL dans le sp3 ou le sp4 ??
je suis aussi preneur de liens sur les eventuelles modifications apporté sur ce sujet apres le SP4.
 
Par avance merci;

Le SP4 c'est correction de bugs only, rien n'a changé dans la gestion des droits, et heureusement, c'est pas quelque chose a changer comme ca.
 
C'est uniquement avec les droits sur les OU que tu as ce genre de probleme ? Quand tu dis "ca saute", il se passe quoi exactement ?

ben les droits que j'ajoute dans l'onglet securite sur mon groupe de user via dsa.msc disparaissent au bout d'un certains temps (entre 20 min et 40 min je dirais grossierement)
d'apres un rapide audit c'est le groupe system qui vient repropager des droits.
 
de meme j'ai un outil pour creer des utilisateurs. les user ainsi crees doivent ont des securités particuliere et la case d'heritage est cochée.
et la pareil au bout d'un certain temps la case est decoche et les securités sont modifiées.
 
ca fait un peu fantome comme ca mais ca se passe vraiment et je pense que c'est lié a des restrictions ou "amelioration" de securité apporte dans le SP4.  
je sais par exemple que dans le SP4 il y a une gestion differente des profils itinerants. Ainsi si les permissions du dossier contenant le profil du user ne correspond pas a ce qui est attendu par windows il bloque l'ouverture de session.
ceci est parametrable (desactivable) par strategie
 
D'ou ma question pour savoir si il n'y a pas une autre modif de secu qui me mettrait dedans

T'as qu'un seul serveur ?

un seul serveur par domaine
135 serveurs en tout  
d'ou la cata, on vient de s'en rendre compte trop tard (reste 5 serveur en SP2 et eux n'ont pas le pb)
 
et au vu de ta question je pensais aussi a un pb de replication mais je vois pas avec quoi et pourquoi

T'as le probleme sur tous les 131 autres serveurs ?    

oui
enfin pas encore fait le tour mais 15 identifies

Ha ouais quand meme    

bon je vais me lire les quelques centaines de corrections apportées par le SP3 + SP4
 
deja qu'on a vu trop tard un bug dans le msi de deploiement du SP4 (deja present dans celui du SP3 qu'on avait pas mis), la je vais en vouloir a crosoft si ca continu

Y'a keud dans les observateur d'evenement ? T'as essaye d'activer l'audit sur tes groupes pour essayer de voir ce qui se passe ?

rien dans les journaux d'evenement.
 
comme dit dans ma reponse plus haut j'ai mis en place un audit qui ma permis de definir le temps et le "coupable" : system (je m'en doutais un peu.
 
j'ai pas les ref de l'audit mais je les mettrais demain (quand j'aurais mon serveur sous les doigts )mais il parle de replication ou re application ou affectation ...
 
suis con j'aurais du me le copier dans un coin

voila ce que me logue mon audit et ceci 15 min apres avoir appliqué les droits à la main.
Apres ce message les droits ont sauté.

help
 

je pense qu'un collegue a mis le doigt là ou ca fait mal
ce soir il (g-die du forum avec qui je bosse) m'a envoye ce lien qui fait peur:
http://support.microsoft.com/defau [...] ;fr;817433
 
je creuse et je vous tiens au courant

bon on fait les tests lundi et mardi mais c'est clair c'est ca. En effet notre groupe à problème fait partie du groupe operateur d'impression qui est un nouveau groupe protege depuis W2000 SP3, W2000 SP4 et W2003
merci g-die

A savoir effectivement, merci pour le suivi  

Attend, j'essaie de comprendre. Ca t'arrivait dans le cas d'une délégation ou quoi ?
Et quel est le but de cette protection des users appartenant aux groupes protégés ? Qu'ils aient tjrs les memes droits (ni plus, ni moins) où qu'une GPO ne puisse par exemple enlever à des opérateur d'imprimante le droit de gérer une imprimante ?

Ok, si je lisais un peu plus.. Ca arrive lors des délégations ou des héritages de privilèges par les OU.

En passant si vous pouviez faire un tour  
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
 
et
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0

bon notre problème est bien celui decrit dans l'article suivant
http://support.microsoft.com/defau [...] ;fr;817433
 
nous sommes en train (enfin G-die est en train ) de mettre en oeuvre la methode 1 avec une personnalisation du script pour nos domaines et pour reinitialiser nos groupes à problème.
 
Nous allons également essayer de modifier le fait que operateur de serveur est un groupe protege en modifiant sa propriete admincount (passage de 1 à 0) pour pouvoir laisser nos user operateur d'impression sans avoir de reinitialisation de droit.
 
Pour le moment la solution a l'air viable (ca parait meme trop simple apres avoir vu nos permissions sauter comme par magie).
 
bon on finalise les tests et on mets en oeuvre
 
Si qq a deja fait joujou avec les propietes admincount ou avec adminSDHolder ou a eu affaire a notre problème je susi preneur de toute reflexion sur le sujet.
merci

En tout cas, merci du retour... -> fav

J?ai eu le même problème et la solution est sur cet article. http://support.microsoft.com/default.aspx?kbid=318180
 
Si les gens qui font parti d?un des groupes privilégiés d?écrits dans l?article, c?est la raison pour laquelle ils perdent l?héritage. Chez moi, il y avait tous nos gens en autorité (reset mot de passe, account Locked-out , etc,) sur des groupes utilisateur, qui faisaient aussi parti du groupe « Print Opérator ». Tous ceux et celles faisant parti d?un de ces groupes privilège d?écrit dans l?article ont le problème de « la case vide ». Retire quelques un de ce groupe privilège et vérifie au bout d?une heure. Bonne chance.

startech > merci pour ton post
la soluce et plutot dans le l'article que je citais juste au dessus http://support.microsoft.com/defau [...] ;fr;817433
et l'explication dans celui que tu donnes
et si tu enleve des comptes du groupe protege cela  ne retablie pas leur etat initiale.
d'ou l'utilité du script propose par microsoft dans son article 817433.  
Nous l'avons adapte a notre AD et mis en oeuvre avec succes (enfin pour l'instant pas de retour).
 
notre probleme etait comme toi une appartenance au groupe operateurs d'impression