Windows Server 2003 Service Pack 1 modifie le comportement de l'authentification NTLM réseau

Traductions disponibles Traductions disponibles
Numéro d'article: 906305 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Windows Server 2003 Service Pack 1 (SP1) modifie le comportement de l'authentification NTLM réseau. Après avoir installé Windows Server 2003 SP1, les utilisateurs de domaine peuvent utiliser leur ancien mot de passe pour accéder au réseau pour une heure après que le mot de passe est modifié. Composants existants qui sont conçus pour utiliser Kerberos pour l'authentification ne sont pas affectés par cette modification.

Plus d'informations

Pour correctement prendre en charge l'accès réseau pour l'authentification NTLM réseau dans des environnements distribués, Windows Server 2003 SP1 modifie le comportement de l'authentification NTLM réseau comme suit :
  • Après qu'un utilisateur de domaine modifie correctement un mot de passe à l'aide de NTLM, ancien mot de passe peut toujours être utilisé pour l'accès réseau pour une période définissables par l'utilisateur. Ce comportement permet de comptes, tels que comptes de service, qui sont connectés à plusieurs ordinateurs pour accéder au réseau alors que la modification du mot de passe propage.
  • L'extension du mot de passe durée de vie s'applique uniquement aux accès réseau à l'aide de NTLM. Comportement d'ouverture de session interactive est inchangé. Ce comportement ne s'applique pas aux comptes qui sont hébergés sur des serveurs autonomes ou sur les serveurs membres. Uniquement les utilisateurs de domaine sont affectés par ce problème.
  • La période de durée de vie de l'ancien mot de passe peut être configurée en modifiant le Registre sur un contrôleur de domaine. Aucun redémarrage n'est requis pour que cette modification du Registre prennent effet.

Comment faire pour modifier la période de durée de vie d'un ancien mot de passe

important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, les problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que ces étapes avec soin. Pour ajouter une protection, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre de Windows


Pour modifier la période de durée de vie d'un ancien mot de passe, ajouter une entrée DWORD nommée OldPasswordAllowedPeriod à la sous-clé de Registre suivante sur un contrôleur de domaine :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez regedit et cliquez sur OK .
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Dans le menu Edition , pointez sur Nouveau et cliquez sur Valeur DWORD .
  4. Tapez OldPasswordAllowedPeriod comme nom de la valeur DWORD et appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur OldPasswordAllowedPeriod , puis cliquez sur Modifier .
  6. Dans la zone données de la valeur , tapez la valeur en minutes que vous souhaitez utiliser et puis cliquez sur OK .

    Remarque La période de durée de vie est définie en minutes. Si cette valeur de Registre n'est pas définie, la valeur par défaut durée de vie pour un ancien mot de passe est de 60 minutes.
  7. Quittez l'Éditeur du Registre.

    Remarque Ce paramètre de Registre ne nécessite pas un redémarrage en vigueur.
Remarque Ce problème ne provoque pas une faille de sécurité. Tant que seul un utilisateur connaît les deux mots de passe, l'utilisateur est toujours en toute sécurité authentifié en utilisant un mot de passe.

Si un mot de passe d'utilisateur est connue pour être compromise, l'administrateur doit réinitialisez le mot de passe utilisateur de configuration. L'administrateur doit demander à l'utilisateur modifier le mot de passe à la prochaine ouverture de session à invalider l'ancien mot de passe dès que possible.

Pour réinitialiser le mot de passe d'un utilisateur, procédez comme suit :
  1. Début Directory utilisateurs et ordinateurs Active.
  2. Recherchez le compte d'utilisateur dont le mot de passe doit être réinitialisé.
  3. Cliquez avec le bouton droit sur l'objet utilisateur, puis cliquez sur Réinitialiser le mot de passe .
  4. Tapez le nouveau mot de passe dans la zone Nouveau mot de passe et dans la zone Confirmer le mot de passe .
  5. Activez la case à cocher utilisateur doit changer de mot de passe à la prochaine ouverture de session , puis OK .
Remarque Le comportement décrit dans cet article se produit uniquement si la stratégie de mot de passe efficace sur les contrôleurs de domaine a Conserver l'historique de mot de passe une valeur qui indique que deux ou plusieurs mots de passe seront mémorisés. La stratégie de mot de passe doit être définie au niveau du domaine. Vous pouvez déterminer si la stratégie a pris effet sur les contrôleurs de domaine en utilisant le composant logiciel enfichable dans secpol.msc.

Propriétés

Numéro d'article: 906305 - Dernière mise à jour: mardi 7 juillet 2009 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003 Service Pack 1 sur le système suivant
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbmt kbhowto KB906305 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 906305
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com