L’utilisateur peut ne pas être en mesure de modifier son mot de passe si vous configurez le paramètre « L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session »

Cet article fournit des informations sur le problème lié au fait que l’utilisateur peut ne pas être en mesure de modifier son mot de passe si vous configurez le paramètre « L’utilisateur doit modifier le mot de passe à la prochaine ouverture de session ».

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 320325

Résumé

Si vous êtes administrateur, vous pouvez configurer le paramètre Utilisateur doit modifier le mot de passe lors de la prochaine ouverture de session sur un compte d’utilisateur si vous réinitialisez un mot de passe. Dans ce cas, l’utilisateur doit modifier son mot de passe la prochaine fois qu’il se connecte. Toutefois, si vous configurez ce paramètre et que l’utilisateur est invité à modifier son mot de passe, la latence de réplication peut amener l’utilisateur à recevoir un message indiquant que son ancien mot de passe est incorrect après avoir tapé son ancien mot de passe. Cet article décrit un scénario dans lequel ce problème se produit.

Plus d’informations

Si vous réinitialisez le mot de passe d’un utilisateur, vous pouvez configurer le paramètre Utilisateur doit modifier le mot de passe lors de la prochaine ouverture de session . En règle générale, vous effectuez cette opération sur les opérations de contrôleur de domaine principal (PDC) master, qui peut se trouver dans un site différent du site auquel l’utilisateur se connecte. Par conséquent, une latence de réplication peut se produire, ce qui peut entraîner les symptômes décrits dans la section précédente. Le scénario suivant décrit ce problème :

1. L’utilisateur oublie son mot de passe (par exemple, password1), puis vous réinitialisez le mot de passe sur password2.
2. L’utilisateur du site distant utilise le mot de passe nouvellement réinitialisé (password2) pour se connecter à son contrôleur de domaine local (le contrôleur de domaine distant).
3. Le contrôleur de domaine distant ne reconnaît pas password2 comme mot de passe (il ne connaît que password1). Le contrôleur de domaine transfère (chaîne) la demande d’ouverture de session au master des opérations du contrôleur de domaine principal.
4. Les opérations du contrôleur de domaine principal master répondent à la demande d’ouverture de session, puis passent un message au contrôleur de domaine distant qui indique que l’utilisateur doit modifier son mot de passe.
5. Ce message est renvoyé à l’ordinateur client, qui invite l’utilisateur à modifier son mot de passe.
6. Lorsqu’un utilisateur est invité à modifier son mot de passe, il est invité à entrer l’ancien mot de passe et un nouveau mot de passe. Dans ce cas, l’utilisateur tape le mot de passe nouvellement réinitialisé (mot de passe2) comme ancien mot de passe, puis entre un nouveau mot de passe.
7. Le client contacte à nouveau le contrôleur de domaine distant (car ce contrôleur de domaine se trouve sur le même site que le client) pour modifier le mot de passe. Toutefois, le contrôleur de domaine distant a le mot de passe que l’utilisateur utilisait au moment où il vous a demandé de réinitialiser le mot de passe (password1) et ne reconnaît pas password2 comme l’ancien mot de passe.
8. Étant donné que password2 n’est pas l’ancien mot de passe correct (selon le contrôleur de domaine distant), l’opération de modification de mot de passe échoue. Toutefois, une fois que le mot de passe nouvellement réinitialisé (password2) est répliqué sur le contrôleur de domaine distant, si l’utilisateur entre password2 lorsqu’il est invité à entrer l’ancien mot de passe, l’opération de modification du mot de passe réussit.