Ne peut utilisateur pas accéder au certificat fonctionnalités après modification du mot de passe ou lorsque vous utilisez un profil itinérant

Traductions disponibles Traductions disponibles
Numéro d'article: 331333 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Lorsqu'un utilisateur tente d'utiliser la fonctionnalité de certificat après qu'ils modifier leur mot de passe ou lorsqu'ils utilisent un profil itinérant, elles risquez de perdre l'accès à cette fonctionnalité de certificat. Fonctionnalités de certificat qui peut ne pas fonctionnent comme auparavant sont les suivantes :
  • L'accès aux fichiers chiffrés avec le fichier système (Encrypting File System)
  • Accéder à une page Web sécurisée qui requiert une authentification de certificat
  • Message électronique avec Secure/Multipurpose Internet Mail de signature S/MIME (extensions
Lorsqu'ils tentent d'accéder un site Web sécurisé à, le message d'erreur suivant est enregistré :
Événement Schannel : 36870
Une erreur irrécupérable s'est produite lorsque vous essayez d'accéder à la clé privée client d'informations d'identification SSL. Le code d'erreur renvoyé par le module cryptographique est 0x80090016.

Cause

Ce problème se produit uniquement si le compte d'utilisateur client est dans un domaine Microsoft Windows NT 4.0 et si elles sont connectés à une station de travail Microsoft Windows XP Professionnel. La version Windows XP de la fonction DPAPI (Data Protection API) permet de protéger les clés privées EFS et autres données que vous souhaitez protéger. La fonctionnalité de récupération de DPAPI n'est pas prise en charge pour les utilisateurs qui sont membres des domaines qui exécutent Microsoft Windows NT 4.0 et versions antérieures.

Résolution

Pour préserver les accès client aux fonctionnalités de certificat une fois que les utilisateurs modifient leurs mots de passe ou lorsque leur utilisez des profils itinérants, mettez à niveau du domaine vers service d'annuaire Active Directory. Actives Directory domaines fournissent un mécanisme permettant de protéger la clé maître DPAPI avec une paire de clés publique/privée. (Cette clé maître DPAPI est utilisée pour protéger EFS clés privées et les autres fonctions basée sur les certificats.)

Dans un domaine Windows NT 4.0, la possibilité de restaurer l'accès aux clés de certificat et les données se trouve sur la station de travail. Ce n'est pas le cas dans un domaine 2000 de Microsoft Windows. Car le mécanisme de récupération se trouve pas sur la station de travail, domaines Windows 2000 fournir un niveau plu important de protection pour les certificats si la station de travail est physiquement compromise.

Bien que vous seulement disposer mettre à niveau un contrôleur de domaine unique pour tirer parti du mécanisme de récupération du domaine DPAPI, envisagez la mise à niveau au moins deux contrôleurs de domaine pour des raisons de tolérance de pannes.

Il est vivement recommandé que vous prévoyez votre Active Directory avant d'implémenter il. Pour plus d'informations sur Active Directory, reportez-vous au site de Web Microsoft suivant :
http://technet.microsoft.com/en-us/library/bb727085.aspx

Contournement

Pour contourner ce problème, installez Windows XP Service Pack 1 (SP1) ou version ultérieure sur la station de travail cliente, puis créez l'entrée de Registre suivante pour émuler le comportement de Windows 2000.

important Cette section, la méthode ou la tâche, contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si modification incorrecte du Registre. Par conséquent, assurez-vous que ces étapes avec soin. Pour la protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows
Suivez ces étapes et puis quittez l'Éditeur du Registre :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez regedit et cliquez sur OK .
  2. Recherchez et cliquez ensuite la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. Dans le menu Edition , pointez sur Nouveau , puis cliquez sur valeur DWORD .
  4. Tapez MasterKeyLegacyNt4Domain et puis appuyez sur ENTRÉE.
  5. Dans le menu Edition , cliquez sur Modifier .
  6. Tapez 1 , puis cliquez sur OK .
Après avoir créé cette écriture, le client va déterminer si l'utilisateur est un membre d'un domaine Windows NT 4.0. S'ils sont un membre, le client Windows XP émuler le comportement de Windows 2000 et DPAPI s'attribuer des utilisateurs disposant d'un mot de passe modifié accès aux leurs clés.

note Si vous contourner ce problème en modifiant le Registre, vous modifiez uniquement le comportement décrit dans la section Symptômes à partir du moment que vous apportez la modification du Registre. Toutes mot de passe les modifications qui ont été apportées avant de la modification du Registre ne sont pas être annulée et vous êtes toujours recevoir d'un message d'erreur « Accès refusé » lorsque vous ouvrez le fichier EFS.

Implications de sécurité importantes

L'aide de cette entrée de Registre considérablement réduit la sécurité d'un ordinateur physiquement compromis. Un utilisateur malveillant ayant accès physique à l'ordinateur peut accéder aux fichiers chiffrés EFS certains ou tous les et à un certificat clés privées sur celui-ci.

Récupérer l'accès aux fichiers après une modification de mot de passe

Pour reprendre l'accès à la fonctionnalité certificat sur une station de travail individuelle après une modification de mot de passe, redéfinissez le mot de passe sur le mot de passe utilisé lorsque les fichiers ont été chiffrés dernière.

note Ces étapes permettent uniquement de changer le mot de passe que vous utilisez pour ouvrir une session sur votre ordinateur. Ils ne changent pas votre mot de passe de domaine.
  1. Ouvrez une session sur l'ordinateur en tant qu'utilisateur avec le mot en cours.
  2. Cliquez sur Démarrer , puis cliquez sur le Panneau de configuration .
  3. Double-cliquez sur comptes d'utilisateurs .
  4. Cliquez pour sélectionner votre nom d'utilisateur.
  5. Cliquez sur Réinitialiser le mot de passe .
  6. Tapez votre mot de passe d'origine dans la zone de texte Nouveau mot de passe et tapez le mot de passe dans la zone de texte Confirmer nouveau mot de passe . Cliquez sur OK .
  7. Redémarrez votre ordinateur.

Statut

Ce comportement est voulu par la conception même du produit.

Plus d'informations

Le comportement décrit dans la section « Symptômes » de cet article s'applique uniquement aux utilisateurs qui sont membres d'un domaine Windows NT 4.0 et qui ouvrent une session sur des ordinateurs qui exécutent Windows XP. Le comportement des clients Windows XP Professionnel qui sont membres d'un groupe de travail ou d'un domaine Windows 2000 Active Directory diffère considérablement la description dans cet article.

Pour plus savoir DPAPI dans Windows XP, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Pour plus d'informations sur la résolution des problèmes DPAPI, notamment la perte d'accès à une clé privée ou de fichiers EFS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
309408 Dépannage des données Protection API (DPAPI)

Propriétés

Numéro d'article: 331333 - Dernière mise à jour: vendredi 14 septembre 2007 - Version: 4.6
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professional
Mots-clés : 
kbmt kbprb KB331333 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 331333
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com