Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment un administrateur peut désactiver les modifications automatiques de mot de passe du compte d’ordinateur.
Numéro de base de connaissances d’origine : 154501
Résumé
Les mots de passe de compte d’ordinateur sont régulièrement modifiés à des fins de sécurité. Par défaut, sur les ordinateurs Windows NT, le mot de passe du compte d’ordinateur change automatiquement tous les sept jours. À compter des ordinateurs Windows 2000, le mot de passe du compte d’ordinateur change automatiquement tous les 30 jours.
Avertissement
Si vous désactivez les modifications de mot de passe du compte d’ordinateur, il existe des risques de sécurité, car le canal de sécurité est utilisé pour l’authentification directe. Si quelqu’un découvre un mot de passe, il peut éventuellement effectuer une authentification directe auprès du contrôleur de domaine.
Plus d’informations
Vous pouvez désactiver les modifications par défaut du mot de passe du compte d’ordinateur automatique pour l’une des raisons suivantes :
Vous souhaitez réduire les occurrences de réplication. En tant qu’effet secondaire des modifications automatiques du mot de passe du compte d’ordinateur, un domaine avec de nombreux ordinateurs clients et contrôleurs de domaine peut entraîner la réplication sur une base fréquente. Vous pouvez désactiver les modifications automatiques du mot de passe du compte d’ordinateur pour réduire les occurrences de réplication.
Vous disposez de deux installations distinctes de Windows NT ou Windows 2000 sur le même ordinateur dans une configuration de double démarrage. Dans ce cas, la seule façon de partager le même compte d’ordinateur entre les deux installations de Windows NT ou Windows 2000 consiste à utiliser le mot de passe de compte d’ordinateur par défaut créé lorsque vous rejoignez le domaine.
Si vous effectuez fréquemment une nouvelle installation de Windows NT ou Windows 2000, vous devez disposer d’un administrateur sur le domaine qui peut créer le compte d’ordinateur sur le domaine. Si c’est un problème, vous pouvez conserver le mot de passe du compte d’ordinateur comme valeur par défaut.
Vous pouvez désactiver les modifications de mot de passe du compte d’ordinateur sur une station de travail en définissant l’entrée de Registre DisablePasswordChange sur la valeur 1. Pour ce faire, procédez de la manière suivante :
Important
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.
Démarrez l’Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir , puis sélectionnez OK.
Recherchez, puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersDans le volet droit, sélectionnez l’entrée DisablePasswordChange .
Dans le menu Edition, sélectionnez Modifier.
Dans la zone de données Valeur, tapez une valeur 1, puis sélectionnez OK.
Quittez l’Éditeur du Registre.
Dans Windows NT version 4.0 et Windows 2000, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2, vous pouvez désactiver la modification du mot de passe du compte d’ordinateur en définissant l’entrée de Registre RefusePasswordChange sur la valeur 1 sur tous les contrôleurs de domaine du domaine au lieu de toutes les stations de travail. Pour ce faire, procédez de la manière suivante :
Note
Sur les contrôleurs de domaine Windows NT 4.0, vous devez remplacer l’entrée de Registre RefusePasswordChange par une valeur de 1 sur tous les contrôleurs de domaine de sauvegarde (BDC) du domaine avant d’apporter la modification sur le contrôleur de domaine principal (PDC). Si vous ne suivez pas cette commande, l’ID d’événement 5722 est consigné dans le journal des événements du contrôleur de domaine principal.
Important
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.
Démarrez l'Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir , puis sélectionnez OK.
Recherchez, puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersDans le menu Édition, pointez sur Nouveau, puis sélectionnez Valeur DWORD.
Tapez RefusePasswordChange comme nom d’entrée de Registre, puis appuyez sur Entrée.
Dans le menu Edition, sélectionnez Modifier.
Dans la zone de données Valeur, tapez une valeur 1, puis sélectionnez OK.
Quittez l'Éditeur du Registre.
Note
L’entrée de Registre RefusePasswordChange provoque le refus des demandes de modification de mot de passe par le contrôleur de domaine uniquement à partir de stations de travail ou de serveurs membres exécutant Windows NT version 4.0 ou ultérieure.
Si vous définissez l’entrée de Registre RefusePasswordChange sur la valeur 1, une fois que la station de travail ou le serveur membre tente d’abord de modifier son mot de passe de compte d’ordinateur, les futures tentatives de modification du mot de passe sont empêchées (en retournant un code d’état distinct). Un ordinateur Windows NT 4.0 tente de modifier à nouveau son mot de passe de compte d’ordinateur en sept jours, et un ordinateur Windows 2000 réessayera en 30 jours. Si vous définissez l’entrée de Registre RefusePasswordChange sur la valeur 1, le trafic de réplication s’arrête, mais pas le trafic client. Si vous définissez l’entrée de Registre DisablePasswordChange sur la valeur 1, le trafic client et de réplication s’arrête.
Si vous désactivez les modifications automatiques du mot de passe du compte d’ordinateur, vous pouvez configurer deux installations (ou plus) de Windows NT ou Windows 2000 sur le même ordinateur qui utilise le même compte d’ordinateur. Une autre utilisation possible pour cette fonctionnalité est les invités virtuels dans lesquels vous ramenez des instantanés ou des images de disque plus anciennes et que vous souhaitez éviter d’avoir à joindre la machine à un domaine.