Salut,
 
J'ai une erreur de stratégie de sécurité sur certains de mes serveurs Active Directory, ceux à la racine de mon domaine pour être précis.
Elle génère des enregistrements d'ID événement 1202 dans le journal applications. Il y a un événement toutes les 5 minutes environ. La source de l'événement est SceCli. La description de l'événement contient :
"Les stratégies de sécurité sont propagées avec avertissement 0x6fc : La relation d'approbation entre le domaine principal et le domaine approuvé a échoué"
Il y a également 0x534 au lieu de 0x6fc dans certains cas.
Après recherche j'ai trouvé les infos suivantes :
http://www.microsoft.com/technet/p [...] .mspx#EBAA
http://support.microsoft.com/kb/324383
En suivant ces infos, j'ai trouvé que c'est une erreur 1788 :

et que l'utilisateur qu'il est impossible de trouver est :

où SV1 est le nom du serveur à la racine du domaine.
J'ai aussi identifié que la stratégie de sécurité incriminée est :

qui me permet d'identifier le GUID de la stratégie à partir de laquelle je trouve, avec un gpo /verbose

dans le log la sortie de gpo.
 
Je présume donc que le compte IUSR_SV1 est necessaire mais qu'il n'est pas trouvé. Le problème, c'est qu'à partir de là, je ne sais pas trop quoi faire...
Est-ce que le compte le compte IUSR_SV1 est un compte système qui devrait exister et qui a été supprimé par erreur?
Est-ce une stratégie créée qui ne devrait pas exister?
Je ne sais pas trop quoi faire ni où chercher avec tout ça... Quelqu'un peut me suggérer ce que je pourrais faire?
Merci.
 
a+
 
Rocks

Normalement les iusr_ et les iwam_ sont des comptes d'acces anonyme pour iis et se trouve dans le dossier prédéfini domaine.com\users

Salut,
 
Merci de ta réponse
Ces comptes sont créés à l'installation de IIS? En ce qui me concerne, ils n'existent pas dans domaine.com\users mais je soupçonne fortement IIS d'avoir été installé puis retiré du serveur avant que je ne l'aie pris en main. Si c'est le cas, ça peut vouloir dire que la suppression du service IIS ne s'est pas faite très proprement?
 
a+

Ben le problème, c'est que je ne vois pas pour quel paramètres de la stratégie ce compte est requis.....
C'est plutôt le paramètre incriminé qu'il faudrait retrouvé et désactiver/réajuster...
 
A l'aide du deuxième lien que tu indiques, regarde plutôt si il n'y a pas un paramètres inutile lié à un service IIS (www, ftp, dfs, smtp....)

Salut,
 
J'ai résolu le problème  
J'ai tout simplement fait du ménage dans les GPO sur mes contrôleurs de domaine (Stratégie de sécurité du contrôleur de domaine -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits des utilisateurs).
A chaque fois que je tombais sur une stratégie faisant appel à IUSR_, j'ai supprimé cet utilisateur de la stratégie.
Il y avait aussi des stratégies faisant appel à un utilisateur *S-15-21-299502267-... etc, visiblement un compte d'utilisateur supprimé    J'ai également supprimé ces entrées.
Lorsque la stratégie de sécurité n'avait plus de paramètre, j'ai ajouté les administrateurs du domaine, histoire de me garder une porte ouverte en cas de souci, mais je pense que c'était superflu dans la plupart des cas.
J'ai comparé ces paramètres avec ceux présents sur d'autres contrôleurs où je n'avais pas ces soucis, histoire de vérifier qu'il n'y avait pas de différence notable.
Résultat : je n'ai plus d'avertissements dans le journal applications    
 
Merci pour tes indications the psychowizard    
 
a+