Comment désactiver les modifications automatiques du mot de passe du compte de machine

Cet article explique comment un administrateur peut désactiver les modifications automatiques du mot de passe du compte de machine.

S’applique à : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de base de connaissances d’origine : 154501

Résumé

Les mots de passe de compte d’ordinateur sont régulièrement modifiés à des fins de sécurité. Par défaut, sur les ordinateurs Windows NT, le mot de passe du compte d’ordinateur change automatiquement tous les sept jours. À compter des ordinateurs Windows 2000, le mot de passe du compte d’ordinateur change automatiquement tous les 30 jours.

Avertissement

Si vous désactivez les modifications de mot de passe du compte d’ordinateur, il existe des risques de sécurité, car le canal de sécurité est utilisé pour l’authentification directe. Si une personne détecte un mot de passe, elle peut potentiellement effectuer une authentification directe au contrôleur de domaine.

Plus d’informations

Vous pouvez désactiver les modifications par défaut du mot de passe du compte de machine automatique pour l’une des raisons suivantes :

  • Vous souhaitez réduire les occurrences de réplication. En tant qu’effet secondaire des modifications automatiques du mot de passe du compte de machine, un domaine avec de nombreux ordinateurs clients et contrôleurs de domaine peut entraîner une réplication fréquente. Vous pouvez désactiver les modifications automatiques du mot de passe du compte de machine pour réduire les occurrences de réplication.

  • Vous disposez de deux installations distinctes de Windows NT ou Windows 2000 sur le même ordinateur dans une configuration à double démarrage. Dans ce cas, la seule façon de partager le même compte d’ordinateur entre les deux installations de Windows NT ou Windows 2000 consiste à utiliser le mot de passe de compte d’ordinateur par défaut créé lorsque vous rejoignez le domaine.

  • Si vous effectuez souvent une nouvelle installation de Windows NT ou Windows 2000, vous devez disposer d’un administrateur sur le domaine qui peut créer le compte d’ordinateur sur le domaine. Si c’est un problème, vous pouvez laisser le mot de passe du compte d’ordinateur comme valeur par défaut.

Vous pouvez désactiver les modifications de mot de passe du compte d’ordinateur sur une station de travail en définissant l’entrée de Registre DisablePasswordChange sur la valeur 1. Pour ce faire, procédez comme suit.

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

  1. Démarrez l’Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir , puis sélectionnez OK.

  2. Recherchez, puis sélectionnez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Dans le volet droit, sélectionnez l’entrée DisablePasswordChange .

  4. Dans le menu Edition, sélectionnez Modifier.

  5. Dans la zone de données Valeur , tapez la valeur 1, puis sélectionnez OK.

  6. Quittez l’Éditeur du Registre.

Dans Windows NT version 4.0 et Windows 2000, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2, vous pouvez désactiver la modification du mot de passe du compte d’ordinateur en définissant l’entrée de Registre RefusePasswordChange sur la valeur 1 sur tous les contrôleurs de domaine du domaine au lieu de toutes les stations de travail. Pour ce faire, procédez comme suit.

Remarque

Sur les contrôleurs de domaine Windows NT 4.0, vous devez modifier l’entrée de Registre RefusePasswordChange sur la valeur 1 sur tous les contrôleurs de domaine de sauvegarde (BDC) du domaine avant d’apporter la modification sur le contrôleur de domaine principal (PDC). Si vous ne suivez pas cet ordre, l’ID d’événement 5722 est consigné dans le journal des événements du contrôleur de domaine principal.

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

  1. Démarrez l’Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir , puis sélectionnez OK.

  2. Recherchez, puis sélectionnez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.

  4. Tapez RefusePasswordChange comme nom d’entrée de Registre, puis appuyez sur Entrée.

  5. Dans le menu Edition, sélectionnez Modifier.

  6. Dans la zone de données Valeur , tapez la valeur 1, puis sélectionnez OK.

  7. Quittez l’Éditeur du Registre.

Remarque

L’entrée du Registre RefusePasswordChange entraîne le refus des demandes de modification de mot de passe par le contrôleur de domaine uniquement à partir de stations de travail ou de serveurs membres qui exécutent Windows NT version 4.0 ou ultérieure.

Si vous définissez l’entrée de Registre RefusePasswordChange sur la valeur 1, une fois que la station de travail ou le serveur membre tente d’abord de modifier son mot de passe de compte d’ordinateur, les futures tentatives de modification du mot de passe sont empêchées (en retournant un code d’état distinct). Un ordinateur Windows NT 4.0 essaiera de modifier à nouveau son mot de passe de compte d’ordinateur dans sept jours, et un ordinateur Windows 2000 réessayera dans 30 jours. Si vous définissez l’entrée de Registre RefusePasswordChange sur la valeur 1, le trafic de réplication s’arrête, mais pas le trafic client. Si vous définissez l’entrée de Registre DisablePasswordChange sur la valeur 1, le trafic client et le trafic de réplication s’arrêtent.

Si vous désactivez les modifications automatiques du mot de passe du compte d’ordinateur, vous pouvez configurer deux installations (ou plus) de Windows NT ou Windows 2000 sur le même ordinateur qui utilise le même compte d’ordinateur. Une autre utilisation possible pour cette installation est les invités virtuels où vous ramènez des captures instantanées ou des images de disque plus anciennes et que vous souhaitez éviter d’avoir à rejoindre la machine à un domaine.