Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Windows Server 2003 Service Pack 1 modifie le comportement de l'authentification NTLM réseau

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 906305
INTRODUCTION
Windows Server 2003 Service Pack 1 (SP1) modifie le comportement de l'authentification NTLM réseau. Après avoir installé Windows Server 2003 SP1, les utilisateurs de domaine peuvent utiliser leur ancien mot de passe pour accéder au réseau pour une heure après que le mot de passe est modifié. Composants existants qui sont conçus pour utiliser Kerberos pour l'authentification ne sont pas affectés par cette modification.
Plus d'informations
Pour correctement prendre en charge l'accès réseau pour l'authentification NTLM réseau dans des environnements distribués, Windows Server 2003 SP1 modifie le comportement de l'authentification NTLM réseau comme suit :
  • Après qu'un utilisateur de domaine modifie correctement un mot de passe à l'aide de NTLM, ancien mot de passe peut toujours être utilisé pour l'accès réseau pour une période définissables par l'utilisateur. Ce comportement permet de comptes, tels que comptes de service, qui sont connectés à plusieurs ordinateurs pour accéder au réseau alors que la modification du mot de passe propage.
  • L'extension du mot de passe durée de vie s'applique uniquement aux accès réseau à l'aide de NTLM. Comportement d'ouverture de session interactive est inchangé. Ce comportement ne s'applique pas aux comptes qui sont hébergés sur des serveurs autonomes ou sur les serveurs membres. Uniquement les utilisateurs de domaine sont affectés par ce problème.
  • La période de durée de vie de l'ancien mot de passe peut être configurée en modifiant le Registre sur un contrôleur de domaine. Aucun redémarrage n'est requis pour que cette modification du Registre prennent effet.

Comment faire pour modifier la période de durée de vie d'un ancien mot de passe

important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, les problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que ces étapes avec soin. Pour ajouter une protection, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre de Windows


Pour modifier la période de durée de vie d'un ancien mot de passe, ajouter une entrée DWORD nommée OldPasswordAllowedPeriod à la sous-clé de Registre suivante sur un contrôleur de domaine :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez regedit et cliquez sur OK .
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Dans le menu Edition , pointez sur Nouveau et cliquez sur Valeur DWORD .
  4. Tapez OldPasswordAllowedPeriod comme nom de la valeur DWORD et appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur OldPasswordAllowedPeriod , puis cliquez sur Modifier .
  6. Dans la zone données de la valeur , tapez la valeur en minutes que vous souhaitez utiliser et puis cliquez sur OK .

    Remarque La période de durée de vie est définie en minutes. Si cette valeur de Registre n'est pas définie, la valeur par défaut durée de vie pour un ancien mot de passe est de 60 minutes.
  7. Quittez l'Éditeur du Registre.

    Remarque Ce paramètre de Registre ne nécessite pas un redémarrage en vigueur.
Remarque Ce problème ne provoque pas une faille de sécurité. Tant que seul un utilisateur connaît les deux mots de passe, l'utilisateur est toujours en toute sécurité authentifié en utilisant un mot de passe.

Si un mot de passe d'utilisateur est connue pour être compromise, l'administrateur doit réinitialisez le mot de passe utilisateur de configuration. L'administrateur doit demander à l'utilisateur modifier le mot de passe à la prochaine ouverture de session à invalider l'ancien mot de passe dès que possible.

Pour réinitialiser le mot de passe d'un utilisateur, procédez comme suit :
  1. Début Directory utilisateurs et ordinateurs Active.
  2. Recherchez le compte d'utilisateur dont le mot de passe doit être réinitialisé.
  3. Cliquez avec le bouton droit sur l'objet utilisateur, puis cliquez sur Réinitialiser le mot de passe .
  4. Tapez le nouveau mot de passe dans la zone Nouveau mot de passe et dans la zone Confirmer le mot de passe .
  5. Activez la case à cocher utilisateur doit changer de mot de passe à la prochaine ouverture de session , puis OK .
Remarque Le comportement décrit dans cet article se produit uniquement si la stratégie de mot de passe efficace sur les contrôleurs de domaine a Conserver l'historique de mot de passe une valeur qui indique que deux ou plusieurs mots de passe seront mémorisés. La stratégie de mot de passe doit être définie au niveau du domaine. Vous pouvez déterminer si la stratégie a pris effet sur les contrôleurs de domaine en utilisant le composant logiciel enfichable dans secpol.msc.

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 906305 - Dernière mise à jour : 07/07/2009 21:38:52 - Révision : 3.0

Microsoft Windows Server 2003 Service Pack 1

  • kbmt kbhowto KB906305 KbMtfr
Commentaires
/html>html>ml>