Exporter (0) Imprimer
Développer tout
Cet article a fait l'objet d'une traduction automatique. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

rôles locaux

Gère la séparation des rôles Administrateur de contrôleur de domaine en lecture seule (RODC). Séparation des rôles administrateur fournit un utilisateur disposant des autorisations administratives pour installer et administrer un RODC, sans se voir accorder des autorisations pour effectuer n'importe quel autre type d'administration de domaine.

Cette commande est une sous-commande de Ntdsutil et Dsmgmt. Ntdsutil et Dsmgmt sont des outils de ligne de commande qui sont intégrés à Windows Server 2008 et Windows Server 2008 R2. Ntdsutil est disponible que si les Services de domaine Active Directory (AD DS) ou Active Directory Lightweight Directory Services (AD LDS) est installé. Dsmgmt est disponible si vous avez installé le rôle de serveur Active Directory Lightweight Directory Services (AD LDS). Ces outils sont également disponibles si vous installez les outils Active Directory domaine Services qui font partie de l'outils d'Administration serveur distant (RSAT). Pour plus d'informations, consultez Comment administrer Microsoft Windows ordinateurs Client et serveur localement et à distance (http://go.Microsoft.com/fwlink/?)LinkID = 177813).

Pour utiliser un de ces outils, vous devez les exécuter à partir d'une invite de commandes avec élévation de privilèges. Pour ouvrir une invite de commandes avec élévation de privilèges, cliquez sur Démarrer, cliquez droit sur invite de commandeet puis cliquez sur Exécuter en tant qu'administrateur.

Cc731885.note(fr-fr,WS.10).gif Remarque
Vous pouvez utiliser la sous-commande uniquement avec le rôle de serveur AD DS car AD LDS n'inclut pas les RODC.

Ntdsutil.exe ne gère pas certains caractères dans les noms de rôles correctement pour la gestion des rôles locaux. Par exemple, sur une version française de Windows, la commande suivante échoue :



afficher le rôle « opérateurs d'impression »

La commande échoue, car le caractère apostrophe dans le nom de rôle n'est pas traité correctement par l'entrée de ligne de commande. Pour résoudre ce problème, vous pouvez gérer les rôles de locales RODC mappage directement à l'aide de l'entrée de Registre suivante sur le RODC :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RODCROLES

Chaque valeur correspond à un rôle local (le nom du groupe intégré). La valeur est la relative ID (RID) (la partie la plus à droite de l'identificateur de sécurité (SID)) du groupe. Vous pouvez trouver la valeur du SID du groupe en utilisant le Active Directory utilisateurs et ordinateurs un composant logiciel enfichable. Cliquez droit sur le nom du groupe intégré, cliquez sur Propriétés, cliquez sur l'onglet Éditeur d'attribut et recherchez l'attribut objectSid du groupe.

Pour ajouter des comptes d'utilisateurs à un rôle local spécifique

  1. Ouvrez l'Éditeur du Registre et recherchez la sous-clé RODCROLES.

  2. Avec le bouton droit de la sous-clé RODCROLES , cliquez sur Nouveauet puis cliquez sur Valeur de chaînes multiples.

  3. Tapez la valeur RID du rôle local. Par exemple, tapez 548 pour le groupe Opérateurs de compte.

  4. Avec le bouton droit de la nouvelle valeur, puis cliquez sur Modifier. Tapez l'identificateur SID du compte d'utilisateur que vous souhaitez ajouter à ce rôle local. Pour ajouter plusieurs comptes d'utilisateur, tapez chaque SID sur une ligne distincte :

    S-1-5-21-2784665212-3940052439-2066015977-1600

    S-1-5-21-2784665212-3940052439-2066015977-1601

    Cc731885.note(fr-fr,WS.10).gif Remarque
    Pour obtenir le SID d'un compte d'utilisateur, tapez la commande suivante à une invite de commande élevée :

    Dsget user <distinguished name of the user account> -sid

  5. Cliquez sur OK.

Pour vérifier l'appartenance d'un utilisateur donné, ouvrez une session sur le RODC en tant que cet utilisateur, ouvrez une invite de commandes avec élévation de privilèges et le type whoami /groups .

Ce problème affecte les entrées de tous les caractères spéciaux dans le ntdsutil: invite, car il ne gère pas correctement ces caractères spéciaux. Par conséquent, ce problème affecte toutes les sous-commandes de Ntdsutil qui nécessitent la saisie des caractères spéciaux.

Pour obtenir des exemples d'utilisation de cette commande, voir des exemples.

Syntaxe



connexions {ajouter %s1 %s2 | supprimer %s1 %s2} [liste rôles] [afficher les rôles]

Paramètres

Paramètre Description

Ajouter %s1 %s2

Ajoute un compte % s1 le rôle local % s2.

connexions

Appelle le sous-menu connexions au serveur .

liste des rôles

Liste définie des rôles locaux. Ces rôles correspondent à divers groupes prédéfinis, tels les administrateurs, Opérateurs de sauvegarde, Opérateurs de serveuret ainsi de suite. Chaque RODC stocke dans son Registre une liste de comptes devant être considérés comme des membres de ces groupes (rôles) sur ce RODC. Cette liste de comptes complète tous les membres de ces groupes stockés dans le répertoire. Par exemple, supposons que le groupe BUILTIN\Administrateurs stocké dans le répertoire contient un seul membre, le groupe Admins du domaine . Supposons également que sur un RODC, fabrikam\MikeDan est répertorié dans le rôle d'administrateur local. Puis sur ce RODC, MarcelRug et tout le monde dans le groupe Admins du domaine sont considérés comme administrateurs.

supprimer %s1 %s2

Supprime un compte %s1 pour le rôle local % s2.

afficher les rôles

Affiche les membres du rôle local

Quittez

Vous permet de revenir au menu précédent ou quitte l'outil.

?

Affiche l'aide à l'invite de commande.

Aide

Affiche l'aide à l'invite de commande.

Remarques

  • Pour la configuration initiale de la séparation des rôles Administrateur d'un RODC, vous devez être membre du groupe Admins du domaine.

  • Par défaut, aucun rôle d'administrateur local n'est défini sur le RODC après l'installation de AD DS.

  • Par défaut, la sous-commande rôles locaux est effectuée sur le RODC où vous exécutez la commande. Si vous avez besoin pour vous connecter à un autre contrôleur, utilisez le paramètre connexions .

Exemples

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft