Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les problèmes d’authentification Active Directory se produisent et vous recevez une erreur 0x8009030e lors de l’exécution de la klist tgt commande. Cet article explique comment résoudre les problèmes.
S’applique à : versions prises en charge de Windows Server
Numéro de base de connaissances d’origine : 4619950
Problèmes d’authentification Active Directory
Vous rencontrez un ou plusieurs des problèmes suivants :
Vous recevez le message d’erreur suivant lorsque vous essayez de vous connecter à un serveur de service Bureau à distance (RDS) :
Windows a besoin de vos informations d’identification actuelles
Verrouillez cet ordinateur, puis déverrouillez-le à l’aide de votre mot de passe ou carte à puce le plus récentVous recevez le message d’erreur suivant lorsque vous ouvrez le Utilisateurs et ordinateurs Active Directory ou tout composant logiciel enfichable Active Directory :
Les informations d’affectation de noms ne peuvent pas être localisées, car la tentative d’ouverture de session a échoué.
Vous recevez le message d’erreur suivant lorsque vous essayez d’ouvrir le composant logiciel enfichable gpmc :
Impossible de contacter le contrôleur de domaine spécifié : « L’accès est refusé »
Lorsque vous essayez d’accéder
Sysvolau répertoire à l’aide de l’invite de commandes, vous recevez le message d’erreur suivant :dir \\contoso.com\sysvol Account restrictions are preventing this user from signing in. For example: blank passwords aren't allowed, sign-in times are limited, or a policy restriction has been enforced.Lorsque vous exécutez
klist tgt, il retourne le message d’erreur suivant :klist a échoué avec 0x8009030e/-2146893042 : aucune information d’identification n’est disponible dans le package de sécurité
Cause
Ces problèmes se produisent parce que le compte d’utilisateur est membre du groupe de sécurité Utilisateurs protégés. Les protections suivantes sont donc appliquées :
La délégation d’informations d’identification (CredSSP) ne met pas en cache les informations d’identification de texte brut de l’utilisateur, même lorsque le paramètre Autoriser la délégation des paramètres de stratégie de groupe d’informations d’identification par défaut est activé.
À compter de Windows 8.1 et Windows Server 2012 R2, Windows Digest ne met pas en cache les informations d’identification de texte brut de l’utilisateur même lorsque Windows Digest est activé.
Windows New Technology LAN Manager (NTLM) ne met pas en cache les informations d’identification de texte brut de l’utilisateur ou les fonctions unidirectionnel NT (NTOWF).
Kerberos ne crée plus de clés DE (DATA Encryption Standard) ou Rivest Cipher 4 (RC4). En outre, il ne met pas en cache les informations d’identification de texte brut ou les clés à long terme de l’utilisateur une fois le ticket d’octroi de ticket initial (TGT) acquis.
Un vérificateur mis en cache n’est pas créé lors de la connexion ou du déverrouillage de Windows. Par conséquent, les connexions hors connexion ne sont plus prises en charge.
Résolution
Supprimez les comptes d’utilisateurs affectés des groupes Utilisateurs protégés dans Active Directory. Effectuez les étapes suivantes :
- Ouvrez Utilisateurs et ordinateurs Active Directory.
- Accédez au conteneur Users .
- Dans le volet droit, recherchez le groupe Utilisateurs protégés.
- Supprimez les comptes d’utilisateur du groupe.
Référence
Pour plus d’informations, consultez les articles suivants :