Ne peut utilisateur pas accéder au certificat fonctionnalités après modification du mot de passe ou lorsque vous utilisez un profil itinérant

Lorsqu'un utilisateur tente d'utiliser la fonctionnalité de certificat après qu'ils modifier leur mot de passe ou lorsqu'ils utilisent un profil itinérant, elles risquez de perdre l'accès à cette fonctionnalité de certificat. Fonctionnalités de certificat qui peut ne pas fonctionnent comme auparavant sont les suivantes :

• L'accès aux fichiers chiffrés avec le fichier système (Encrypting File System)
• Accéder à une page Web sécurisée qui requiert une authentification de certificat
• Message électronique avec Secure/Multipurpose Internet Mail de signature S/MIME (extensions

Lorsqu'ils tentent d'accéder un site Web sécurisé à, le message d'erreur suivant est enregistré :

Ce problème se produit uniquement si le compte d'utilisateur client est dans un domaine Microsoft Windows NT 4.0 et si elles sont connectés à une station de travail Microsoft Windows XP Professionnel. La version Windows XP de la fonction DPAPI (Data Protection API) permet de protéger les clés privées EFS et autres données que vous souhaitez protéger. La fonctionnalité de récupération de DPAPI n'est pas prise en charge pour les utilisateurs qui sont membres des domaines qui exécutent Microsoft Windows NT 4.0 et versions antérieures.

Pour préserver les accès client aux fonctionnalités de certificat une fois que les utilisateurs modifient leurs mots de passe ou lorsque leur utilisez des profils itinérants, mettez à niveau du domaine vers service d'annuaire Active Directory. Actives Directory domaines fournissent un mécanisme permettant de protéger la clé maître DPAPI avec une paire de clés publique/privée. (Cette clé maître DPAPI est utilisée pour protéger EFS clés privées et les autres fonctions basée sur les certificats.)

Dans un domaine Windows NT 4.0, la possibilité de restaurer l'accès aux clés de certificat et les données se trouve sur la station de travail. Ce n'est pas le cas dans un domaine 2000 de Microsoft Windows. Car le mécanisme de récupération se trouve pas sur la station de travail, domaines Windows 2000 fournir un niveau plu important de protection pour les certificats si la station de travail est physiquement compromise.

Bien que vous seulement disposer mettre à niveau un contrôleur de domaine unique pour tirer parti du mécanisme de récupération du domaine DPAPI, envisagez la mise à niveau au moins deux contrôleurs de domaine pour des raisons de tolérance de pannes.

Il est vivement recommandé que vous prévoyez votre Active Directory avant d'implémenter il. Pour plus d'informations sur Active Directory, reportez-vous au site de Web Microsoft suivant :

Pour contourner ce problème, installez Windows XP Service Pack 1 (SP1) ou version ultérieure sur la station de travail cliente, puis créez l'entrée de Registre suivante pour émuler le comportement de Windows 2000.

important Cette section, la méthode ou la tâche, contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si modification incorrecte du Registre. Par conséquent, assurez-vous que ces étapes avec soin. Pour la protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : Suivez ces étapes et puis quittez l'Éditeur du Registre :

1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez regedit et cliquez sur OK .
2. Recherchez et cliquez ensuite la clé de Registre suivante :
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
3. Dans le menu Edition , pointez sur Nouveau , puis cliquez sur valeur DWORD .
4. Tapez MasterKeyLegacyNt4Domain et puis appuyez sur ENTRÉE.
5. Dans le menu Edition , cliquez sur Modifier .
6. Tapez 1 , puis cliquez sur OK .

Après avoir créé cette écriture, le client va déterminer si l'utilisateur est un membre d'un domaine Windows NT 4.0. S'ils sont un membre, le client Windows XP émuler le comportement de Windows 2000 et DPAPI s'attribuer des utilisateurs disposant d'un mot de passe modifié accès aux leurs clés.

note Si vous contourner ce problème en modifiant le Registre, vous modifiez uniquement le comportement décrit dans la section Symptômes à partir du moment que vous apportez la modification du Registre. Toutes mot de passe les modifications qui ont été apportées avant de la modification du Registre ne sont pas être annulée et vous êtes toujours recevoir d'un message d'erreur « Accès refusé » lorsque vous ouvrez le fichier EFS.

Implications de sécurité importantes

L'aide de cette entrée de Registre considérablement réduit la sécurité d'un ordinateur physiquement compromis. Un utilisateur malveillant ayant accès physique à l'ordinateur peut accéder aux fichiers chiffrés EFS certains ou tous les et à un certificat clés privées sur celui-ci.

Récupérer l'accès aux fichiers après une modification de mot de passe

Pour reprendre l'accès à la fonctionnalité certificat sur une station de travail individuelle après une modification de mot de passe, redéfinissez le mot de passe sur le mot de passe utilisé lorsque les fichiers ont été chiffrés dernière.

note Ces étapes permettent uniquement de changer le mot de passe que vous utilisez pour ouvrir une session sur votre ordinateur. Ils ne changent pas votre mot de passe de domaine.

1. Ouvrez une session sur l'ordinateur en tant qu'utilisateur avec le mot en cours.
2. Cliquez sur Démarrer , puis cliquez sur le Panneau de configuration .
3. Double-cliquez sur comptes d'utilisateurs .
4. Cliquez pour sélectionner votre nom d'utilisateur.
5. Cliquez sur Réinitialiser le mot de passe .
6. Tapez votre mot de passe d'origine dans la zone de texte Nouveau mot de passe et tapez le mot de passe dans la zone de texte Confirmer nouveau mot de passe . Cliquez sur OK .
7. Redémarrez votre ordinateur.

Ce comportement est voulu par la conception même du produit.

Le comportement décrit dans la section « Symptômes » de cet article s'applique uniquement aux utilisateurs qui sont membres d'un domaine Windows NT 4.0 et qui ouvrent une session sur des ordinateurs qui exécutent Windows XP. Le comportement des clients Windows XP Professionnel qui sont membres d'un groupe de travail ou d'un domaine Windows 2000 Active Directory diffère considérablement la description dans cet article.

Pour plus savoir DPAPI dans Windows XP, reportez-vous au adresse site Web de Microsoft à l'adresse suivante : Pour plus d'informations sur la résolution des problèmes DPAPI, notamment la perte d'accès à une clé privée ou de fichiers EFS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :