GPO – Permissions manquantes pour Enterprise Domain Controllers
I. Présentation
Lors d’une migration de domaine de Windows 2000 vers une version plus récente notamment Windows Server 2008, 2008 R2 et même 2012, il se peut que le message suivant soit obtenu lorsqu’on clique sur un objet GPO dans la console d’édition des stratégies de groupe : « Le groupe Enterprise Domain Controllers n’a pas accès en écriture à cet objet de stratégie de groupe…. ».
En fait, à chaque fois que l’on clique sur un objet GPO dans la console, un rafraîchissement des permissions est effectué ce qui explique pourquoi le message revient à chaque fois si le problème n’est pas résolu.
Nous allons voir comment corriger ce problème en utilisant les Sample Scripts de GPMC.
II. Correction
Tout d’abord, téléchargez Group Policy Management Console Sample Scripts sur le site de Microsoft (Téléchargement) car nous avons besoin d’un des scripts contenu dans ce package.
Une fois le téléchargement effectué, installez le package sur votre contrôleur de domaine.
Ensuite, ouvrez une Invite de commandes puis saisissez la commande suivant pour vous placer dans le répertoire contenant les scripts :
cd C:\Program Files (x86)\Microsoft Group Policy\GPMC Sample Scripts
Exécuter le script avec la commande Cscript indiquée ci-dessous afin d’ajouter des permissions de lecture au groupe Enterprise Domain Controllers pour les objets GPO. Complétez l’option « domain » par votre nom de domaine DNS. Il est à noter aussi que l’option « Replace » permet de remplacer les permissions afin de remettre toutes les permissions correctement et repartir sur quelque chose de propre.
Cscript GrantPermissionOnAllGPOs.wsf "Enterprise Domain Controllers" /permission:read /domain:nom-domaine-dns /Replace
Indiquez « Y » pour valider l’exécution de l’opération. Une fois que c’est terminé, retournez dans la console de stratégie de groupe vérifier que tout fonctionne.
