[Active Directory] Problème d'accès comptes Résolu

Question

Bonjour,

Lorsqu'un de mes utilisateurs veut se connecter sur le pc hors Réseau, celui-ci refuse la connexion. Certaines GPO sont appliqués et je pense que le problème vient de là.

Message reçu lorsque l'on veut se connecter sur un portable (par exemple) et qu'il n'est pas connecter au réseau de l'entreprise:
"Le système n'a pas pu ouvrir de session car le domaine NOMDOM n'est pas disponible."

PS: le compte administrateur du domaine fonctionne.

Merci d'avance,

Kinou

funkter · Accepted Answer

Kinou, j vois de quoi tu parles.

Par défaut, lorsqu'un utilisateur se logue au domaine pour la 1ere fois sur un poste, ses credentials sont mis en cache local.
S'il arrete le pc, enleve le cable réseau, redemarre et se reconnecte au domaine, ca marche aussi car ce sont les credentials locaux qui sont consultés.

Il faut editer avec GPMC la stratégie qui s'appelle

Ouverture de session interactive : Nombre d'ouvertures de session precedentes dans le cache.
Dans ton cas elles doivent surement etre à 0.

Elle se trouves dans les strategies de securités locales -> options de securité

La clé de registre correspondante sur le poste de travail  est 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\ 
  ValueName: CachedLogonsCount
   Data Type: REG_SZ
   Values: 0 - 50 (10 par défaut)

florian91 · Answer

le PC est hors réseau, c'est normal qu'il ne puisse pas accéder à ton domaine

kinou592 · Answer

Florian, je me doute bien que le PC ne va pas se connecter au domaine mais dans mon ancienne boîte tu pouvait malgrès l'absence de connection te connecter à ton portable chez toi(par exemple) sur le même compte que celui du boulot. c'est à dire le compte du domaine.

florian91 · Answer

grace au VPN nan ?

kinou592 · Answer

Non Florian.

Imagine ton entreprise te délivre un nouveau portable. Quand tu es en entreprise connecté au réseau Ok ca fonctionne. maintenant tu rentres chez toi tu veux travailler pour combler le retard mais tu n'as pas besoin du réseaux c'est un fichier local. Tu te connecte avec le même compte de travail. Le souci est que dans mon cas mes utilisateurs ne peuvent pas donc j'ai été obligé de leur créer un compte local à coté. Je te raconte pas le boxon. Rien qu'avec Outlook!!!! Lol. 

Tu as compris mon soucis?

Quentin

florian91 · Answer

le fichier local dont tu me parles c'est le profil itinérant ? cela fonctionne uiquement quand tu es sur un réseau et tes utilisateurs peuvent  aller sur les PC qu'ils veulent en ayant toujours leur profils.
Mais pour accéder de chez eux je pense qu'il faut un VPN

kinou592 · Answer

Non ce n'est pas un profil itinérant que je veux faire.

Un profil itinérant sert essentiellement quand tu travailles sur plusieurs postes. Là ce n'est pas mon cas.

florian91 · Answer

Bah c'est un VPN !!! Je vois que ca comme solution possible

kinou592 · Answer

Florian

Je penses que tu n'as pas cerné mon problème.

Je ne cherche pas à me connecter aux réseau hors de l'entreprise, mais juste pouvoir utiliser le pc.

Donc pour cela il faudrait que je puisse m'authentifier sur mon compte mais là cà ne fonctionne pas.

florian91 · Answer

je crois qu'on s'est pas compris.

tu souhaite que tes utilisateurs puissent se connecter au domaine de l'entreprise depuis chez eux ?

kinou592 · Answer

Non je veux juste qu'ils puisse utiliser leur compte pour pouvoir s'authentifier chez eux

florian91 · Answer

le compte qu'ils ont sur active directory ?

kinou592 · Answer

login: toto
pasword: tintin
domaine: WORLD

si je suis connecter ok ca fonctionne

si je ne suis pas connecter -> message d'erreur: "Le système n'a pas pu ouvrir de session car le domaine WORLD n'est pas disponible."

Personnelement je penses que ca vient d'une GPO

Joe.lebarjo · Answer

Si j'ai bien compris ton soucis... Tu veux utiliser ton portable sans aucune connexion au domaine AD...

Sur ton ordi, au moment du login, tu as un rectangle ou se trouvent ton ID Utilisateur et ton MDP...

Il suffit de cliquer sur Option...> Et choisir nomdupc (Cet ordinateur) a la place nomdudomaine (serveur)

Attention tes identifiants ne fonctionneront pas si ils n'ont pas été configurés au préalable sur ton poste LOCAL (et non AD)
Par défaut sur WinXP Pro le compte est Administrateur (mot de passe vide)... et ce pour tout PC achetés avec une version préinstallée il me semble-t'il.

Au pire des cas, tu fais une recherche ton moteur préféré sur "identifiants défaut (taversion)"


Voila, en ésperant t'avoir éclairé

A++

kinou592 · Answer

Oui d'accord ca va fonctionner mais je ne veux pas creer de compte local sur les pc et c'est ce qui est actuellement en place

moi je veux que mon pc enregistre le mot de passe du compte d domaine pour qu'apres je puisse me connecte meme si il n'a pas acces au controlleur

Joe.lebarjo · Answer

huuuuummm.... Tu veux te logger sur un ordi qui recherche une authentification auprés d'un serveur qui n'existe pas (vu que ton poste n'est pas connecté au réseau local)

Ça me parait assez peu probable... Ptet' une coche à valider sur le compte AD, mais je n'ai rien sous la main pour pouvoir tester...

Ps : Si tu crées un compte LOCAL ayant les mêmes identifiants que le compte Réseau, l'ordi aura la bonté de garder tes identifiants en mémoire. Mais aperement tu ne veux pas creer de comptes locaux...

Si tu trouves... préviens nous

A++

kinou592 · Answer

Le soucis est réglé mais je n'ai pas encore trouvé la vrai solutions

J'ai sorti le pc de l'unité d'organisation sur laquelle est appliqué une gpo et je l'ai mis dans computers
J'ai fait un gpupdate /force pour appliqué les nouvelles stratégies de comptes
j'ai redémarré l'ordinateur

Donc le soucis vient bien de ma GPO

Je rechercherais le paramètres de la gpo à modifier plutard 

pour l'instant je vais laissé comme ca

Si quelqu'un et motivé ... lol

Merci 

Kinou

kinou592 · Answer

Bonjour,

Ceci peut venir de deux GPO,

Soit celle ci (mais je ne pense pas):

Action à la déconnexion du serveur	Activé
Spécifie comment le système doit répondre lorsqu'un serveur réseau
devient indisponible.
Action : 	Travailler hors connexion
Ne jamais travailler hors connexion = Les fichiers du serveur ne sont pas disponibles sur l'ordinateur local
Travailler hors connexion = Les fichiers du serveur sont disponibles sur l'ordinateur local

Soit celle là

Ouvertures de sessions interactives : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de domaine n'est disponible)	10 Ouvertures de session
Inscrire les certificats automatiquement	Activé
Renouveler les certificats expirés, mettre à jour les certificats en attente, et supprimer les certificats révoqués	Désactivé
Mettre à jour les certificats qui utilisent les modèles de certificats	Désactivé
Autorise les utilisateurs à crypter les données avec EFS (Encrypting File System)	Activé
Autoriser les utilisateurs à sélectionner de nouvelles autorités de certification racine à approuver	Activé
Les ordinateurs clients peuvent faire confiance aux magasins de certificats suivants	Autorités de certification racine tierce partie et autorités de certification racine de l'entreprise
Pour effectuer une authentification basée sur les certificats d'utilisateurs et d'ordinateurs, les autorités de certification doivent correspondre aux critères suivants	Inscription dans Active Directory uniquement
Autoriser les non-administrateurs à recevoir les notifications de mise à jour	Désactivé
Autoriser l'installation immédiate des mises à jour automatiques	Activé
Configuration des mises à jour automatiques	Activé
Configuration de la mise à jour automatique :	4 - Télécharger et planifier l'installation
Les paramètres suivants ne sont nécessaires et ne
s'appliquent que si l'option 4 est sélectionnée.
Jour de l'installation planifiée : 	0 - Tous les jours
Heure de l'installation planifiée :	12:00
Fréquence de détection des mises à jour automatiques	Activé
Vérifier la présence de mise à jour à
l'intervalle suivant (heures) : 	1
Ne pas afficher l'option 'Installer les mises à jour et éteindre' dans la boîte de dialogue Arrêt de Windows	Désactivé
Ne pas modifier l'option par défaut 'Installer les mises à jour et éteindre' dans la boîte de dialogue Arrêt de Windows	Désactivé
Pas de redémarrage planifié des installations planifiées des mises à jour automatiques	Activé
Spécifier l'emplacement intranet du service de Mise à jour Microsoft	Activé
Configurer le service intranet de Mise à jour pour la détection des mises à jour :	http://******
Configurer le serveur intranet de statistiques :	http://******
(par exemple : http://IntranetUpd01)
Liste de recherche de suffixes DNS	Activé
Suffixes DNS :	**********
Action à la déconnexion du serveur	Activé
Spécifie comment le système doit répondre lorsqu'un serveur réseau
devient indisponible.
Action : 	Travailler hors connexion
Ne jamais travailler hors connexion = Les fichiers du serveur ne sont pas disponibles sur l'ordinateur local
Travailler hors connexion = Les fichiers du serveur sont disponibles sur l'ordinateur local

merci

Kinou

Frankoye · Answer

Active les fichiers hors connexion et bingo!

Frankoye · Answer

C'est pas compliquer pour regler ton prob de logon a dehors du reseaux tu dois activer les fichiers hors connexion poste de travail options des dossiers fichiers hors connexion et bingo!

FoX'x · Answer

Salut Kinou

Est-ce que tes comptes d'utilisateurs du domaines sont enregistrés sur les postes locaux ?

FoX'x

LoL · Answer

C'est pas possible, ils le font exprès de pas comprendre comme ça ou quoi ? -__-
Ayant actuellement le même problème je désésperais de voir quelqu'un qui comprend en voyant les réponses totalement à coté de la plaque.
Merci a funkter

Lephoceen64 · Answer

il faut peut etre passer les profil en "profil local"
Il y a une option à cocher.... (je ne sais plus où, je suis tomber par hasard dans la journée, en cherchant complètement autre chose... )

Mathieu Lamour · Answer

Il faut modifier la stratégie de sécurité locale (Via GPO ou directement)
Via les GPO :
Configuration ordinateur
 ParamètresWinfows
  Paramètres de sécurité
   Stratégie Loclaes
    Attribution des droits utilisateurs
     Options de sécurité
Startégie "Permettre l'ouverture de sécurité locale"
Ajouter le groupe désiré sans oublier les comptes classiquement autorisés :

Opérateurs de compte
Administrateurs
Opérateurs de sauvegarde
Opérateurs d'impression
Opérateurs de serveur

ça devrait être mieux

Cautex · Answer

Sa peut aussi venir du fait que le compte AD comporte des accents, j'ai résolu le problème en les supprimant.

[Active Directory] Problème d'accès comptes

25 réponses

Votre réponse

Discussions similaires