Complément d’informations sur l’erreur “Accès refusé” lorsque l’on essaie de joindre une machine à un domaine

Salut à tous

J’ai rencontré récemment une erreur lors d’une tentative pour joindre une station de travail Windows XP SP2 au domaine.
Le message était le suivant (avec un domaine msreport.free.fr) :
L’erreur suivante s’est produite lors de la tentative de jonction au domaine msreport.free.fr : Accès refusé.

Description de l’architecture :
* Un domaine Active Directory en mode natif 2003 (contrôleurs de domaine Windows 2003 exclusivement).
* Une station de travail Windows XP Pro SP2 configurée en DHCP avec le pare feu désactivé. La station de travail avait bien récupéré une IP (on pouvait pinguer le contrôleur de domaine) et avait comme serveur DNS un contrôleur de domaine avec le service DNS (et la zone msreport.free.fr configurée pour autoriser les mises à jour dynamiques DNS sécurisées et non sécurisées)
* Pour joindre les machines, le personnel informatique utilise un compte utilisateur standard (qui n’est pas administrateur du domaine).

Analyse du problème :
On rencontre ce message avec ce compte  quand on essaie de joindre une machine au domaine si et seulement si on est dans ces trois cas de figure :
* La station de travail Windows XP Pro XP2 a déjà un compte ordinateur dans le domaine.
* Le comte utilisateur utilisé ne dispose pas des droits administrateurs du domaine ou opérateurs de compte et que vous n’avez pas délégué de droits à ce compte utilisateur au niveau du domaine.
* Si on utilise un compte avec des droits administrateurs du domaine, la procédure de jonction au domaine réussit.

Explication du problème :
Pour bien comprendre cce problème, il faut tout d’abord lancer la console “Utilisateurs et Ordinateurs Active Directory” en mode « Fonctionnalités Avancées » (dans le menu Affichage).
Il faut ensuite localiser le compte ordinateur de la station de travail posant problème.
Une fois localisé (faire une recherche avec la console Utilisateurs et Ordinateurs Active Directory) , faire un clic droit sur ce compte ordinateur et aller dans l’onglet “Sécurité” (visible uniquement en mode “Fonctionnalités avancées“).
On constate alors que le compte utilisateur qui sert pour joindre les machines au domaine n’a aucun doit sur ce compte ordinateur d’où le message “Accès refusé“.

Résolution du problème :
Pour corriger ce problème, on a deux solutions :
1. Ajouter manuellement des droits au niveau du compte ordinateur à notre compte utilisateur qui sert pour joindre les machines au domaine. Pas terrible car on ne corrige pas vraiment le problème.
2. Déléguer des droits pour gérer les comptes ordinateurs au niveau des OUs qui contiennent vos comptes ordinateurs. Pour cela, au niveau de chaque OU qui contienne des comptes ordinateurs, faire un clic droit et lancer l’assistant « Délégation d’administration ».
Pour cela, au niveau de cet OU, faire un clic droit et sélectionner « Delegate Control ».
Cliquer sur suivant puis sélectionner le compte utilisateur qui sert à ajouter les stations de travail au domaine.
Au niveau de l’assistant « Tâches à déléguer», sélectionner « Créer une tâche personnalisée».
Au niveau de la fenêtre « Déléguer le contrôle à », sélectionner « Compte ordinateur».
Dans la fenêtre « Permissions », sélectionner tous les cases.
Au niveau de l’assistant Résumé, cliquer sur Terminer.

Bonne utilisation d’Active Directory
A+

MAJ 07/02/2009 :
Il existe une procédure qui explique ce problème chez Microsoft :
http://support.microsoft.com/kb/330095

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Active Directory, Troubleshouting, Windows XP, avec comme mot(s)-clé(s) , , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire