[DEBUTANT] Mot de passe des comptes ordinateur Active Directory
Résolu/Fermé
Jhonette
-
9 nov. 2020 à 20:00
kelux Messages postés 3065 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 10 nov. 2020 à 12:56
kelux Messages postés 3065 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 10 nov. 2020 à 12:56
A voir également:
- [DEBUTANT] Mot de passe des comptes ordinateur Active Directory
- Piratage facebook changer mot de passe - Guide
- Comment réinitialiser un ordinateur sans mot de passe - Guide
- Voir mot de passe wifi android - Guide
- Mot de passe administrateur - Guide
- Mettre un mot de passe sur un dossier - Guide
4 réponses
brupala
Messages postés
109392
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
16 avril 2024
13 613
9 nov. 2020 à 20:13
9 nov. 2020 à 20:13
Salut,
Il y en a un qui te répondrait mieux que moi, c'est Kelux qui matche en général ce genre de sujet,
mais il faut un compte administrateur du domaine pour insérer un machine dans le domaine, donc son mot de passe, ou un compte autorisé à faire la manipulation, je ne me souviens plus de la dénomination exacte, mais c'est opérateur de quelque chose, délégué par un admin domaine.
Il y en a un qui te répondrait mieux que moi, c'est Kelux qui matche en général ce genre de sujet,
mais il faut un compte administrateur du domaine pour insérer un machine dans le domaine, donc son mot de passe, ou un compte autorisé à faire la manipulation, je ne me souviens plus de la dénomination exacte, mais c'est opérateur de quelque chose, délégué par un admin domaine.
choubaka
Messages postés
39375
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
14 avril 2024
2 100
10 nov. 2020 à 12:06
10 nov. 2020 à 12:06
Bonjour ..
Ce n'est pas le fait de devoir entrer un pc dans le domaine..
En fait chaque pc membre d'un domaine possède un compte afin d'être reconnu au même titre qu'un utilisateur. (Machine account).. C'est pour ça également que l'on ne peut intégrer deux pc ayant le même nom d'hôte dans l'AD.
Comme chaque utilisateur, les pc membres d'un domaine disposent de droits, restrictions et de privilèges. Pour se faire, ils doivent être identifiés dans le système (voir Kerberos).
Les pc disposent donc d'un identifiant et d'un mot de passe pour se faire reconnaître dans AD.
Par défaut, le mot de passe est valable 30 jours, néanmoins pour AD le mot de passe n'expire jamais.
Tous les 30 jours le service NETLOGON du pc se charge de modifier ce mot de passe.
Cependant, si le pc est déconnecté du domaine trop longtemps, il pourra cependant se reconnecter et modifier le mot de passe obsolète directement.
Ce n'est pas le fait de devoir entrer un pc dans le domaine..
En fait chaque pc membre d'un domaine possède un compte afin d'être reconnu au même titre qu'un utilisateur. (Machine account).. C'est pour ça également que l'on ne peut intégrer deux pc ayant le même nom d'hôte dans l'AD.
Comme chaque utilisateur, les pc membres d'un domaine disposent de droits, restrictions et de privilèges. Pour se faire, ils doivent être identifiés dans le système (voir Kerberos).
Les pc disposent donc d'un identifiant et d'un mot de passe pour se faire reconnaître dans AD.
Par défaut, le mot de passe est valable 30 jours, néanmoins pour AD le mot de passe n'expire jamais.
Tous les 30 jours le service NETLOGON du pc se charge de modifier ce mot de passe.
Cependant, si le pc est déconnecté du domaine trop longtemps, il pourra cependant se reconnecter et modifier le mot de passe obsolète directement.
choubaka
Messages postés
39375
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
14 avril 2024
2 100
10 nov. 2020 à 12:07
10 nov. 2020 à 12:07
c'est plus que résumé, mais c'est l'idée générale..
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié le 10 nov. 2020 à 13:06
Modifié le 10 nov. 2020 à 13:06
Hello,
Cela a bien été résumé oui.
Ce qu'il faut retenir, un compte machine a un mot de passe, il est d'ailleurs généré lors de l'intégration au domaine, et c'est totalement transparent.
La machine le connait, et il est également stocké dans l'objet ordinateur dans AD.
C'est d'ailleurs cela qui fait l'appartenance à un domaine et qui permet à la machine de s'authentifier auprès d'Active Directory.
Tu n'as rien à gérer, la machine se charge de le changer automatiquement. Le mot de passe a une durée de vie de 30 jours par défaut , comme cela a été indiqué.
-
Tu n'as pas besoin de visualiser ce mot de passe non plus ; au même titre qu'un compte utilisateur. D'ailleurs, il n'y a pas de console qui le propose de base dans AD.
Un problème courant :
Si la machine n'arrive pas à changer son mot de passe, il arrive qu' elle ne peut plus s'authentifier car le mot de passe est expiré, et de ce fait elle n'est plus vraiment utilisable par un utilisateur du domaine (ouverture de session KO, plus de GPOs et j'en passe)
Si cela arrive, il faut dans AD "Reset le compte machine" (clic droit sur l'objet ordinateur > Reset account). Cette opération va permettre de resetter le mot de passe du compte machine, et de l'autre coté sur la machine, tu vas devoir la réintégrer dans le domaine.
Lors de la ré-intégration dans le domaine, la machine va générer un nouveau mot de passe et va mettre à jour son mot de passe dans AD.
Elle sera de nouveau intégrée dans le domaine comme avant.
Edit : Pour aller plus loin, tu peux regarder les comptes de service MSA/gMSA ; qui sont en fait des objets ordinateurs utilisés en tant que compte de service. Même comportement : le mot de passe change automatiquement ... alors que c'est un "compte de service".
Cela a bien été résumé oui.
Ce qu'il faut retenir, un compte machine a un mot de passe, il est d'ailleurs généré lors de l'intégration au domaine, et c'est totalement transparent.
La machine le connait, et il est également stocké dans l'objet ordinateur dans AD.
C'est d'ailleurs cela qui fait l'appartenance à un domaine et qui permet à la machine de s'authentifier auprès d'Active Directory.
Tu n'as rien à gérer, la machine se charge de le changer automatiquement. Le mot de passe a une durée de vie de 30 jours par défaut , comme cela a été indiqué.
-
Tu n'as pas besoin de visualiser ce mot de passe non plus ; au même titre qu'un compte utilisateur. D'ailleurs, il n'y a pas de console qui le propose de base dans AD.
Un problème courant :
Si la machine n'arrive pas à changer son mot de passe, il arrive qu' elle ne peut plus s'authentifier car le mot de passe est expiré, et de ce fait elle n'est plus vraiment utilisable par un utilisateur du domaine (ouverture de session KO, plus de GPOs et j'en passe)
Si cela arrive, il faut dans AD "Reset le compte machine" (clic droit sur l'objet ordinateur > Reset account). Cette opération va permettre de resetter le mot de passe du compte machine, et de l'autre coté sur la machine, tu vas devoir la réintégrer dans le domaine.
Lors de la ré-intégration dans le domaine, la machine va générer un nouveau mot de passe et va mettre à jour son mot de passe dans AD.
Elle sera de nouveau intégrée dans le domaine comme avant.
Edit : Pour aller plus loin, tu peux regarder les comptes de service MSA/gMSA ; qui sont en fait des objets ordinateurs utilisés en tant que compte de service. Même comportement : le mot de passe change automatiquement ... alors que c'est un "compte de service".
