Comment désactiver les modifications automatiques du mot de passe du compte d’ordinateur

  • Article

Cet article explique comment un administrateur peut désactiver les modifications automatiques du mot de passe du compte d’ordinateur.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 154501

Résumé

Les mots de passe des comptes d’ordinateur sont régulièrement modifiés à des fins de sécurité. Par défaut, sur les ordinateurs Windows NT, le mot de passe du compte d’ordinateur change automatiquement tous les sept jours. À compter des ordinateurs Windows 2000, le mot de passe du compte d’ordinateur change automatiquement tous les 30 jours.

Avertissement

Si vous désactivez les modifications de mot de passe du compte d’ordinateur, il existe des risques de sécurité, car le canal de sécurité est utilisé pour l’authentification directe. Si une personne découvre un mot de passe, elle peut potentiellement effectuer une authentification directe auprès du contrôleur de domaine.

Plus d’informations

Vous souhaiterez peut-être désactiver les modifications de mot de passe automatiques par défaut du compte d’ordinateur pour l’une des raisons suivantes :

  • Vous souhaitez réduire les occurrences de réplication. Comme effet secondaire des modifications automatiques du mot de passe du compte d’ordinateur, un domaine avec de nombreux ordinateurs clients et contrôleurs de domaine peut entraîner une réplication fréquente. Vous pouvez désactiver les modifications automatiques du mot de passe du compte d’ordinateur pour réduire les occurrences de réplication.

  • Vous disposez de deux installations distinctes de Windows NT ou Windows 2000 sur le même ordinateur dans une configuration à double démarrage. Dans ce cas, la seule façon de partager le même compte d’ordinateur entre les deux installations de Windows NT ou Windows 2000 consiste à utiliser le mot de passe de compte d’ordinateur par défaut créé lorsque vous rejoignez le domaine.

  • Si vous effectuez fréquemment une installation propre de Windows NT ou Windows 2000, vous devez disposer d’un administrateur sur le domaine qui peut créer le compte d’ordinateur sur le domaine. Si cela pose problème, vous pouvez conserver le mot de passe du compte d’ordinateur par défaut.

Vous pouvez désactiver les modifications de mot de passe du compte d’ordinateur sur une station de travail en définissant l’entrée de Registre DisablePasswordChange sur la valeur 1. Pour ce faire, procédez comme suit.

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

  1. Démarrez l’Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez regedit dans la zone Ouvrir , puis sélectionnez OK.

  2. Recherchez, puis sélectionnez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Dans le volet droit, sélectionnez l’entrée DisablePasswordChange .

  4. Dans le menu Edition, sélectionnez Modifier.

  5. Dans la zone Données de la valeur , tapez la valeur 1, puis sélectionnez OK.

  6. Quittez l’Éditeur du Registre.

Dans Windows NT version 4.0 et Windows 2000, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2, vous pouvez désactiver la modification du mot de passe du compte d’ordinateur en définissant l’entrée de Registre RefusePasswordChange sur la valeur 1 sur tous les contrôleurs de domaine du domaine plutôt que sur toutes les stations de travail. Pour ce faire, procédez comme suit.

Remarque

Sur les contrôleurs de domaine Windows NT 4.0, vous devez remplacer l’entrée de Registre RefusePasswordChange par une valeur de 1 sur tous les contrôleurs de domaine de sauvegarde (BDC) du domaine avant d’effectuer la modification sur le contrôleur de domaine principal (PDC). Si vous ne suivez pas cet ordre, l’ID d’événement 5722 sera enregistré dans le journal des événements du contrôleur de domaine principal.

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

  1. Démarrez l’Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez regedit dans la zone Ouvrir , puis sélectionnez OK.

  2. Recherchez, puis sélectionnez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.

  4. Tapez RefusePasswordChange comme nom d’entrée de Registre, puis appuyez sur Entrée.

  5. Dans le menu Edition, sélectionnez Modifier.

  6. Dans la zone Données de la valeur , tapez la valeur 1, puis sélectionnez OK.

  7. Quittez l’Éditeur du Registre.

Remarque

L’entrée de Registre RefusePasswordChange amène le contrôleur de domaine à refuser les demandes de modification de mot de passe uniquement des stations de travail ou des serveurs membres qui exécutent Windows NT version 4.0 ou ultérieure.

Si vous définissez l’entrée de Registre RefusePasswordChange sur la valeur 1, une fois que la station de travail ou le serveur membre tente pour la première fois de modifier le mot de passe de son compte d’ordinateur, les tentatives futures de modification du mot de passe sont empêchées (en retournant un code status distinct). Un ordinateur Windows NT 4.0 tente de modifier à nouveau le mot de passe de son compte d’ordinateur dans sept jours, et un ordinateur Windows 2000 réessayera dans 30 jours. Si vous définissez l’entrée de Registre RefusePasswordChange sur la valeur 1, le trafic de réplication s’arrête, mais pas le trafic client. Si vous définissez l’entrée de Registre DisablePasswordChange sur la valeur 1, le trafic client et de réplication s’arrête.

Si vous désactivez les modifications automatiques du mot de passe du compte d’ordinateur, vous pouvez configurer deux installations (ou plus) de Windows NT ou Windows 2000 sur le même ordinateur qui utilise le même compte d’ordinateur. Une autre utilisation possible pour cette fonctionnalité est les invités virtuels où vous ramenez des captures instantanées ou des images disque plus anciennes et vous souhaitez éviter d’avoir à joindre la machine à un domaine.