Je suis sur une machine Windows XP (appelons la "WORKSTATION" ) connecté sur un domaîne AD (géré par 2003 Server). Appelons le domaine "DOMAIN".
J'ai un compte sur le domaine en temps qu'utilisateur restreint (nous l'appelerons "DOMAIN\User" ) et également un compte administrateur local sur la station (qui est "WORKSTATION\Administrateur" ).
J'ai créé (avec le compte "WORKSTATION\Administrateur" ) un groupe local qui s'appelle "WORKSTATION\LocalGroup". Toujours en temps qu'administrateur local j'ai ajouté le compte "DOMAIN\User" à ce groupe local.
Sur un répertoire particulier de "WORKSTATION" (appelons le "C:\LockedDir" ) je modifie les autorisations de façon à interdire l'accès aux utilisateurs ("WORKSTATION\Utilisateurs" ) mais à autoriser l'accès au groupe "WORKSTATION\LocalGroup".
Mon problème est que l'utilisateur "DOMAIN\User" n'a pas l'accès à ce répertoire. Il fait pourtant bien partie du groupe "WORKSTATION\LocalGroup".
Si je regarde à l'aide du compte "WORKSTATION\Administrateur" les "autorisations effectives", Windows me met le message "Windows ne peut calculer les autorisations qui s'appliquent à User.". Ceci peut s'expliquer par le fait que ce compte ne peut faire de requêtes sur le domaine.
Si par contre je fais la même chose avec l'administrateur du domaine ("DOMAIN\Administrateur" ), il m'affiche bien les autorisations et m'indique bien que l'utilisateur "DOMAIN\User" à un "contrôle total" sur le répertoire.
Je ne comprend pas ce qui se passe. A la limite je veut bien croire qu'un utilisateur du domaine ne puisse pas faire partie d'un groupe local, mais Windows ne semble pas broncher quand j'ajoute l'utilisateur. Le plus gros souci est que la consultation des "autorisations effectives" est en totale contradiction avec ce que je peut "effectivement" faire.
Serait-il possible que mon utilisateur "DOMAIN\User" étant membre à la fois de "WORKSTATION\Utilisateurs" et de "WORKSTATION\LocalGroup", les autorisations (ou plutôt interdictions ici) attribuées à "WORKSTATION\Utilisateurs" prennent le pas sur celles attribuées à "WORKSTATION\LocalGroup" ? Ceci me surprendrais car il n'y aurait alors aucun intérêt à pouvoir attribuer plusieurs groupes à un même utilisateur.
J'espère que quelqu'un saura m'éclairer...
---------------
each day I don't die is cheating