Configuration requise pour les fonctions de gestion réseau sur les contrôleurs domaine Active Directory
Si vous appelez l’une des fonctions de gestion réseau répertoriées dans cette rubrique sur un contrôleur de domaine exécutant Active Directory, l’accès à un objet sécurisable est autorisé ou refusé en fonction de la liste de contrôle d’accès (ACL) de l’objet. (Les listes de contrôle d’accès sont spécifiées dans le répertoire.)
Différentes exigences d’accès s’appliquent aux requêtes d’informations et aux mises à jour d’informations.
Requêtes
Pour les requêtes, la liste de contrôle d’accès par défaut permet à tous les utilisateurs et membres authentifiés du groupe « Accès compatible pré-Windows 2000 » de lire et d’énumérer des informations. Les fonctions répertoriées suivantes sont affectées :
- NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
- NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
- NetQueryDisplayInformation
- NetSessionGetInfo (niveaux 1 et 2 uniquement)
- NetShareEnum (niveaux 2 et 502 uniquement)
- NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
- NetWkstaGetInfo, NetWkstaUserEnum
L’accès anonyme aux informations de groupe nécessite que l’utilisateur Anonyme soit explicitement ajouté au groupe « Accès compatible pré-Windows 2000 ». Cela est dû au fait que les jetons anonymes n’incluent pas le SID du groupe Tout le monde.
Windows 2000 : Par défaut, le groupe « Accès compatible pré-Windows 2000 » inclut Tout le monde en tant que membre. Cela permet l’accès anonyme (ouverture de session anonyme) aux informations si le système autorise l’accès anonyme. Les administrateurs peuvent supprimer tout le monde du groupe « Accès compatible pré-Windows 2000 » à tout moment. La suppression de tout le monde du groupe restreint l’accès aux informations aux utilisateurs authentifiés uniquement. Pour plus d’informations sur l’accès anonyme, consultez Identificateurs de sécurité et SID connus.
Vous pouvez remplacer la valeur par défaut du système en définissant la clé suivante dans le Registre sur la valeur 1 :
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1
Pour plus d’informations sur l’accès anonyme aux informations de groupe lors de l’appel de ces deux fonctions, consultez NetWkstaGetInfo et NetWkstaUserEnum .
Mises à jour
Pour les mises à jour, l’ACL par défaut autorise uniquement les administrateurs de domaine et les opérateurs de compte à écrire des informations. Une exception est que les utilisateurs peuvent modifier leur propre mot de passe et définir le champ usri*_usr_comment. Une autre exception est que les opérateurs de compte ne peuvent pas modifier les comptes d’administration. Les fonctions répertoriées suivantes sont affectées :
- NetGroupAdd, NetGroupAddUser, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
- NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel,NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
- NetMessageBufferSend
- NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo
En règle générale, les appelants doivent disposer d’un accès en écriture à l’ensemble de l’objet pour que les appels à NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo et NetLocalGroupSetInfo réussissent. Pour un contrôle d’accès plus fin, vous devez envisager d’utiliser ADSI. Pour plus d’informations sur ADSI, consultez Interfaces de service Active Directory.
Pour plus d’informations sur le contrôle de l’accès aux objets sécurisables, consultez Access Control, Privilèges et Objets sécurisables. Pour plus d’informations sur l’appel de fonctions qui nécessitent des privilèges d’administrateur, consultez Exécution avec des privilèges spéciaux.