Description des protocoles de modification de mot de passe dans Windows

  • Article

Cet article décrit les mécanismes de modification des mots de passe dans Windows.

S’applique à : Windows 10, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 264480

Résumé

Windows utilise de nombreux mécanismes différents pour modifier les mots de passe. Cet article décrit ces mécanismes.

Plus d’informations

Les protocoles de modification de mot de passe pris en charge sont les suivants :

  1. Protocole NetUserChangePassword
  2. Protocole NetUserSetInfo
  3. Protocole de changement de mot de passe Kerberos (IETF Internet Draft Draft-ietf-cat-kerb-chg-password-02.txt) [port 464]
  4. Protocole Kerberos set-password (IETF Internet Draft Draft-ietf-cat-kerberos-set-passwd-00.txt) [port 464]
  5. Attribut ldap (Lightweight Directory Access Protocol) write-password (si 128-bit Secure Sockets Layer [SSL] est utilisé)
  6. XACT-SMB pour la compatibilité pré-Microsoft Windows NT (LAN Manager)

Les opérations de modification de mot de passe nécessitent que le mot de passe actuel de l’utilisateur soit connu avant que la modification soit autorisée. Les opérations de définition de mot de passe n’ont pas cette exigence, mais elles sont contrôlées par les autorisations Réinitialiser le mot de passe sur le compte.

Lorsque vous utilisez LDAP (méthode 5), le contrôleur de domaine et le client doivent tous deux être en mesure d’utiliser ssl 128 bits pour protéger la connexion. Si le contrôleur de domaine n’est pas configuré pour SSL ou si des clés suffisamment longues ne sont pas disponibles, l’écriture de modification du mot de passe est refusée.

Un contrôleur de domaine Active Directory écoute les demandes de modification de mot de passe sur tous ces protocoles.

Comme indiqué plus haut dans cet article, différents protocoles sont utilisés dans différentes circonstances. Par exemple :

  • Les clients Kerberos interopérables utilisent les protocoles Kerberos. Les systèmes UNIX avec MIT Kerberos version 5 1.1.1 peuvent modifier les mots de passe utilisateur dans un domaine Windows à l’aide du protocole kerberos de changement de mot de passe (méthode 3).
  • Lorsque les utilisateurs modifient leurs propres mots de passe en appuyant sur Ctrl+Alt+Suppr, puis en cliquant sur Modifier le mot de passe, Windows NT jusqu’à Windows 2003, le mécanisme NetUserChangePassword (méthode 1) est utilisé si la cible est un domaine. À partir de Windows Vista, le protocole de changement de mot de passe Kerberos est utilisé pour les comptes de domaine. Si la cible est un domaine Kerberos, le protocole de changement de mot de passe Kerberos (méthode 3) est utilisé.
  • Les demandes de modification d’un mot de passe provenant d’ordinateurs exécutant Microsoft Windows 95/Microsoft Windows 98 utilisent XACT-SMB (méthode 6).
  • Un programme qui utilise la méthode ChangePassword sur l’interface IaDSUser de l’interface de services Active Directory (ADSI) tente d’abord de modifier le mot de passe à l’aide de LDAP (méthode 5), puis en utilisant le protocole NetUserChangePassword (méthode 1).
  • Un programme qui utilise la méthode SetPassword sur l’interface IADSUser ADSI tente d’abord de modifier le mot de passe à l’aide de LDAP (méthode 5), puis du protocole Kerberos set-password (méthode 4), puis du protocole NetUserSetInfo (méthode 2).
  • Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory utilise des opérations ADSI pour définir les mots de passe utilisateur.