[DEBUTANT] Mot de passe des comptes ordinateur Active Directory [Résolu]

Signaler
-
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
-
Bonjour,

Je suis débutant dans l'Active Directory et je me demandais ce qu'on entendait par mot de passe de compte ordinateur. Quand je vais dans mes ordinateurs de l'AD, je ne vois nulle part un mot de passe lié à un ordinateur pourtant j'en entends toujours parler...

Merci

4 réponses

Messages postés
95482
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
25 novembre 2020
11 061
Salut,
Il y en a un qui te répondrait mieux que moi, c'est Kelux qui matche en général ce genre de sujet,
mais il faut un compte administrateur du domaine pour insérer un machine dans le domaine, donc son mot de passe, ou un compte autorisé à faire la manipulation, je ne me souviens plus de la dénomination exacte, mais c'est opérateur de quelque chose, délégué par un admin domaine.
Messages postés
38269
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
25 novembre 2020
1 892
Bonjour ..
Ce n'est pas le fait de devoir entrer un pc dans le domaine..
En fait chaque pc membre d'un domaine possède un compte afin d'être reconnu au même titre qu'un utilisateur. (Machine account).. C'est pour ça également que l'on ne peut intégrer deux pc ayant le même nom d'hôte dans l'AD.
Comme chaque utilisateur, les pc membres d'un domaine disposent de droits, restrictions et de privilèges. Pour se faire, ils doivent être identifiés dans le système (voir Kerberos).
Les pc disposent donc d'un identifiant et d'un mot de passe pour se faire reconnaître dans AD.
Par défaut, le mot de passe est valable 30 jours, néanmoins pour AD le mot de passe n'expire jamais.
Tous les 30 jours le service NETLOGON du pc se charge de modifier ce mot de passe.
Cependant, si le pc est déconnecté du domaine trop longtemps, il pourra cependant se reconnecter et modifier le mot de passe obsolète directement.



Messages postés
38269
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
25 novembre 2020
1 892
c'est plus que résumé, mais c'est l'idée générale..
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
395
Hello,

Cela a bien été résumé oui.
Ce qu'il faut retenir, un compte machine a un mot de passe, il est d'ailleurs généré lors de l'intégration au domaine, et c'est totalement transparent.
La machine le connait, et il est également stocké dans l'objet ordinateur dans AD.
C'est d'ailleurs cela qui fait l'appartenance à un domaine et qui permet à la machine de s'authentifier auprès d'Active Directory.

Tu n'as rien à gérer, la machine se charge de le changer automatiquement. Le mot de passe a une durée de vie de 30 jours par défaut , comme cela a été indiqué.

-

Tu n'as pas besoin de visualiser ce mot de passe non plus ; au même titre qu'un compte utilisateur. D'ailleurs, il n'y a pas de console qui le propose de base dans AD.

Un problème courant :
Si la machine n'arrive pas à changer son mot de passe, il arrive qu' elle ne peut plus s'authentifier car le mot de passe est expiré, et de ce fait elle n'est plus vraiment utilisable par un utilisateur du domaine (ouverture de session KO, plus de GPOs et j'en passe)
Si cela arrive, il faut dans AD "Reset le compte machine" (clic droit sur l'objet ordinateur > Reset account). Cette opération va permettre de resetter le mot de passe du compte machine, et de l'autre coté sur la machine, tu vas devoir la réintégrer dans le domaine.
Lors de la ré-intégration dans le domaine, la machine va générer un nouveau mot de passe et va mettre à jour son mot de passe dans AD.
Elle sera de nouveau intégrée dans le domaine comme avant.

Edit : Pour aller plus loin, tu peux regarder les comptes de service MSA/gMSA ; qui sont en fait des objets ordinateurs utilisés en tant que compte de service. Même comportement : le mot de passe change automatiquement ... alors que c'est un "compte de service".