Jump to content
Sign in to follow this  
ggbce

[RESOLU] W2K12R2 - Compte admin pertes droits admins (accès refusé) mais pas pour NTFS

Recommended Posts

Posted (edited)

Bonjour,

J'ai un problème extrêmement étrange avec un serveur roulant sous Windows Server 2012 R2 avec n'importe quel compte possédant les droits administrateurs, que ce  soit le compte "administrateur" local ou un compte provenant d'un domaine qui est également dans le groupe local administrateurs. Je dirais même que le compte intégré "SYSTEM" semble aussi avoir perdu les droits administrateurs... mais uniquement pour exécuter des actions administratives, pas pour les droits d'accès aux fichiers (NTFS) ou au objets (registre) !

Comment cela se présente comme problème:

- Il m'est rendu impossible d'installer des mises à jour Windows (via client WSUS) qui se termine en échec

- Il m'est rendu impossible d'installer des mises à jour Windows manuellement (paquet MSU) qui se termine en échec

- Il m'est rendu impossible d'installer des mises à jour Windows par injection avec DISM qui se termine avec un message d'erreur 5. Accès refusé. (Élévation des privilèges utilisé ou non)

- Il m'est rendu impossible de simplement obtenir le statut du serveur avec la console du "Gestionnaire de serveur - Tableau de bord". Le détail de l'erreur indique: "Échec de l'actualisation avec l'erreur suivante: Accès refusé.

- Il m'est par conséquent, impossible de lancer "Ajouter des rôles et fonctionnalités" puisque celui-ci m'indique le message "Le Gestionnaire de serveur collecte des données de l'inventaire. L'assistant sera disponible une fois la collecte de données terminée."

- Il m'est impossible d'accéder aux propriétés des cartes réseaux de mon serveur. Un message d'erreur indique: "Vous ne disposez pas des privilèges suffisants pour configurer les propriétés de la connexion. Contactez votre administrateur."

 

Ce que je suis tout de même capable de faire et qui exige normalement des droits administrateurs:

- Je suis en mesure de retirer ou intégrer le serveur dans un domaine.

- Je suis en mesure de modifier la sécurité NTFS sur des fichiers.

- Je suis en mesure de supprimer des fichiers (et répertoires). Testé lors de la suppression du dossier "SoftwareDistribution".

- Je suis en mesure d'arrêter/démarrer des services.

- Je suis en mesure de modifier/supprimer les clés de registre dans HKLM.

 

Ce qui a été fait:

- J'ai exécuté la commande "sfc /scannow" pour déceler des problèmes d'intégrité, mais le tout se complète sans rien trouver d'anormal.

- J'ai lu le contenu de presque tous les journaux applications, système, etc. de l'observateur d'événements et je n'ai trouvé rien d'anormal. Certaines erreurs... que je vois régulièrement sur pleins de serveurs qui ne disent rien en relation avec le problème.

- Recherche intensive sur Internet en ciblant problème par problème dans la liste,  qui aurait pu aboutir à déceler ce qui fait tout bloquer, mais rien n'a fonctionné.

 

Hypothèse:

C'est comme si cela serait relié à une corruption du fonctionnement de l'UAC... mais comment y remédier ? J'ai cherché plein de solutions avec Google, site de Microsoft, etc. mais rien à faire.

NOTE: Dans notre parc informatique. nous avons plus de 2000 serveurs, dont au moins 700 avec Windows Server 2012 R2 et c'est le seul qui est en problème... Malheureusement, je ne peux pas simplement dire "On n'a qu'à réinstaller en neuf à partir de zéro comme avec un poste de travail". La réinstallation des logiciels nécessite une intervention plus complexe et coûteuse dans ce cas.

Il m'est impossible également de retourner en arrière avec un cliché VMware ou sauvegarde complète car le moment entre l'apparition du problème et le moment que nous avons pu vraiment le déceler était trop éloigné.

Merci de votre aide

 

tableau_bord.png

tableau_bord_details.png

acces_roles.png

acces_reseau.png

install_maj.png

Edited by ggbce

Share this post


Link to post
Share on other sites
Il y a 49 minutes, ggbce a écrit :

Bonjour,

J'ai un problème extrêmement étrange avec un serveur roulant sous Windows Server 2012 R2 avec n'importe quel compte possédant les droits administrateurs, que ce  soit le compte "administrateur" local ou un compte provenant d'un domaine qui est également dans le groupe local administrateurs. Je dirais même que le compte intégré "SYSTEM" semble aussi avoir perdu les droits administrateurs... mais uniquement pour exécuter des actions administratives, pas pour les droits d'accès aux fichiers (NTFS) ou au objets (registre) !

Comment cela se présente comme problème:

- Il m'est rendu impossible d'installer des mises à jour Windows (via client WSUS) qui se termine en échec

- Il m'est rendu impossible d'installer des mises à jour Windows manuellement (paquet MSU) qui se termine en échec

- Il m'est rendu impossible d'installer des mises à jour Windows par injection avec DISM qui se termine avec un message d'erreur 5. Accès refusé. (Élévation des privilèges utilisé ou non)

- Il m'est rendu impossible de simplement obtenir le statut du serveur avec la console du "Gestionnaire de serveur - Tableau de bord". Le détail de l'erreur indique: "Échec de l'actualisation avec l'erreur suivante: Accès refusé.

- Il m'est par conséquent, impossible de lancer "Ajouter des rôles et fonctionnalités" puisque celui-ci m'indique le message "Le Gestionnaire de serveur collecte des données de l'inventaire. L'assistant sera disponible une fois la collecte de données terminée."

- Il m'est impossible d'accéder aux propriétés des cartes réseaux de mon serveur. Un message d'erreur indique: "Vous ne disposez pas des privilèges suffisants pour configurer les propriétés de la connexion. Contactez votre administrateur."

 

Ce que je suis tout de même capable de faire et qui exige normalement des droits administrateurs:

- Je suis en mesure de retirer ou intégrer le serveur dans un domaine.

- Je suis en mesure de modifier la sécurité NTFS sur des fichiers.

- Je suis en mesure de supprimer des fichiers (et répertoires). Testé lors de la suppression du dossier "SoftwareDistribution".

- Je suis en mesure d'arrêter/démarrer des services.

- Je suis en mesure de modifier/supprimer les clés de registre dans HKLM.

 

Ce qui a été fait:

- J'ai exécuté la commande "sfc /scannow" pour déceler des problèmes d'intégrité, mais le tout se complète sans rien trouver d'anormal.

- J'ai lu le contenu de presque tous les journaux applications, système, etc. de l'observateur d'événements et je n'ai trouvé rien d'anormal. Certaines erreurs... que je vois régulièrement sur pleins de serveurs qui ne disent rien en relation avec le problème.

- Recherche intensive sur Internet en ciblant problème par problème dans la liste,  qui aurait pu aboutir à déceler ce qui fait tout bloquer, mais rien n'a fonctionné.

 

Hypothèse:

C'est comme si cela serait relié à une corruption du fonctionnement de l'UAC... mais comment y remédier ? J'ai cherché plein de solutions avec Google, site de Microsoft, etc. mais rien à faire.

NOTE: Dans notre parc informatique. nous avons plus de 2000 serveurs, dont au moins 700 avec Windows Server 2012 R2 et c'est le seul qui est en problème... Malheureusement, je ne peux pas simplement dire "On n'a qu'à réinstaller en neuf à partir de zéro comme avec un poste de travail". La réinstallation des logiciels nécessite une intervention plus complexe et coûteuse dans ce cas.

Il m'est impossible également de retourner en arrière avec un cliché VMware ou sauvegarde complète car le moment entre l'apparition du problème et le moment que nous avons pu vraiment le déceler était trop éloigné.

Merci de votre aide

 

tableau_bord.png

tableau_bord_details.png

acces_roles.png

acces_reseau.png

install_maj.png

 

Share this post


Link to post
Share on other sites

Vite fait je dirais un problème de GPO (genre la gpo par défaut qui fixe certains droits pour les groupes) qui ne s'appliquerait pas correctement. Donc potentiellement la base de registre serait touchée.

Le truc étrange c'est que la perte des droits n'est pas totale... peut-être une perte d'accès a dcom ou une connerie de service.

 

 

Share this post


Link to post
Share on other sites

Bonjour à tous,

Et bien, à force de chercher et chercher même si je me croyais à bout de mes ressources, j'ai finalement trouvé la cause du problème. C'est effectivement un problème de "droits", mais jamais je n'aurais pu croire que cela pouvait impacter autant... et ça demeure illogique. Je rappelle que mon serveur était en service depuis plus de 5 ans et sans jamais avoir eu ce problème auparavant, un sécurité avait été modifié il y a 5 ans pour le bon fonctionnement d'une application, mais le fait de modifier cette sécurité a fait en sorte aujourd'hui de créer un blocage !!! Tout ce que je peux voir c'est que de nouvelles mesures de sécurité par le biais des correctifs Microsoft pourrait engendrer le problème.

Voici la sécurité en question qui causait problème (qui était nécessaire pour le bon fonctionnement d'une application):

dcom_mod.PNG.1835ee86d2387d7b828df6f7f57646a4.PNG

Voici la sécurité par défaut de Microsoft que j'ai du appliquer sur le serveur pour rétablir le fonctionnement:

dcom_defaut.PNG.fb96a82ec242bd0f2833337d447e729c.PNG

 

Étrangement, le fait d'abaisser la sécurité à un niveau plus faible dans DCOM a empêché un bon fonctionnement des privilèges administrateurs... mais pourquoi uniquement depuis mai 2019 ?

 

Vu que je dois préserver cette configuration DCOM... Alors au moment de faire des interventions tel que l'installation des MAJ Windows, je vais devoir dorénavant basculer/modifier la sécurité DCOM à chaque fois 😞

 

 

 

 

Share this post


Link to post
Share on other sites

Ah bah c'était bien dcom... bizarre ton truc. Surement une maj qui a foutu le bordel.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×
×
  • Create New...