Réinitialisation des comptes d'ordinateur dans Windows 2000 et Windows XP

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·             Microsoft Windows 2000 Server

·             Microsoft Windows 2000 Advanced Server

·             Microsoft Windows 2000 Professional

·             Microsoft Windows XP Home Edition

·             Microsoft Windows XP Professional

Résumé

Pour chaque station de travail Windows 2000 ou Windows XP qui est membre d'un domaine, il existe un canal de communication discret, appelé canal sécurisé, qui est associé à un contrôleur de domaine.

Le mot de passe du canal sécurisé est stocké avec le compte d'ordinateur sur tous les contrôleurs de domaine. Pour Windows 2000 ou Windows XP, la période de changement du mot de passe par défaut du compte d'ordinateur est fixée à 30 jours. Si pour certaines raisons, le mot de passe du compte d'ordinateur et le secret de l'Autorité de sécurité locale (LSA, Local Security Authority) ne sont pas synchronisés, le service Netlogon enregistre l'un ou les deux messages d'erreur suivants :

Échec de l'authentification de la configuration de session de l'ordinateur MEMBRE_DOMAINE. Le nom du compte référencé dans la base de données de la sécurité est MEMBRE_DOMAINE$. L'erreur suivante s'est produite : accès refusé.

 

ID d'événement NETLOGON 3210 :
Échec de l'authentification avec \\DOMAINDC, contrôleur de domaine Windows NT associé au domaine DOMAINE.

Le service Netlogon du contrôleur de domaine enregistre le message d'erreur suivant lorsque le mot de passe n'est pas synchronisé.

Événement NETLOGON 5722 :
Échec de l'authentification de la configuration de session de l'ordinateur %1. Le nom du compte référencé dans la base de données de la sécurité est %2. L'erreur suivante s'est produite : %n%3

Cet article décrit quatre méthodes de réinitialisation des comptes d'ordinateur dans Windows 2000 ou Windows XP. Ces méthodes sont les suivantes :

·             Utilisation de l'utilitaire à ligne de commande Netdom.exe

·             Utilisation de l'utilitaire à ligne de commande Nltest.exe

REMARQUE : Vous trouverez les utilitaires Netdom.exe et Nltest.exe sur le CD-ROM de Windows Server dans le dossier Support\Tools. Pour installer ces outils, exécuter Setup.exe ou extrayez les fichiers du fichier Support.cab.

·             Utilisation de la console MMC (Microsoft Management Console) du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

·             Utilisation d'un script Microsoft Visual Basic

Ces outils autorisent une administration à distance ou locale.

Plus d'informations

Netdom.exe

Pour chaque membre, il existe un canal de communication discret (le canal sécurisé) qui est associé à un contrôleur de domaine. Le service Netlogon utilise le canal sécurisé pour communiquer avec le membre et le contrôleur de domaine. Netdom permet de réinitialiser le canal sécurisé du membre. Pour réinitialiser le canal sécurisé du membre, utilisez la commande suivante :

netdom reset 'nom_ordinateur' /domain:'nom_domaine

où 'nom_ordinateur' est le nom de l'ordinateur local et 'nom_domaine' représente le domaine dans lequel le compte d'ordinateur est stocké.

Supposons un membre de domaine MEMBRE_DOMAINE dans un domaine MON_DOMAINE. Pour réinitialiser le canal sécurisé du membre, utilisez la commande suivante :

netdom reset membre_domaine /domain:mon_domaine

Vous pouvez exécuter cette commande sur le membre MEMBRE_DOMAINE ou sur n'importe quel autre membre ou contrôleur du domaine, à condition d'avoir ouvert une session sur MEMBRE_DOMAINE avec un compte disposant des accès d'un administrateur.

Nltest.exe

Vous pouvez utiliser Nltest.exe pour tester la relation d'approbation entre un ordinateur Windows 2000 ou Windows XP membre d'un domaine et un contrôleur de domaine hébergeant son compte d'ordinateur.

C:\Ntreskit\Nltest.exe

Usage: nltest [/OPTIONS]

/SC_QUERY:nom_domaine - Demande de canal sécurisé pourdomaine surnom_serveur

/SERVER:nom_serveur

/SC_QUERY:Nom_domaine - Vérifie le canal sécurisé du domaine spécifié pour une station de travail, un serveur ou un contrôleur de domaine secondaire local ou distant.

Flags: 30 HAS_IP HAS_TIMESERV
Nom de contrôleur de domaine approuvé \\server.windows2000.com
Statut d'approbation d'une connexion au contrôleur de domaine = 0 0x0 NERR_Success
La commande s'est terminée correctement

Utilisateurs et ordinateurs Active Directory (DSA)

Avec Windows 2000 ou Windows XP, vous pouvez aussi réinitialiser le compte d'ordinateur à partir de l'interface utilisateur graphique (GUI). Dans la console MMC Utilisateurs et ordinateurs Active Directory (Agent de système d'annuaire (DSA, Directory System Agent)), cliquez avec le bouton droit sur l'objet ordinateur du conteneur Ordinateurs ou du conteneur approprié, puis cliquez sur Réinitialiser le compte. Vous réinitialisez ainsi le compte d'ordinateur. L'utilisation de cette méthode pour réinitialiser le mot de passe des contrôleurs de domaine n'est pas autorisée. La réinitialisation d'un compte d'ordinateur interrompt la connexion de l'ordinateur vers le domaine et l'oblige à se rattacher au domaine.

REMARQUE : cette méthode qui empêche un ordinateur établi de se connecter au domaine, ne doit être utilisée que pour un ordinateur qui vient d'être reconstruit.

Script Microsoft Visual Basic

Vous pouvez utiliser un script pour réinitialiser un compte d'ordinateur. Vous devez utiliser l'interface IADsUser pour vous connecter au compte d'ordinateur. La méthode SetPassword vous permet ainsi de définir le mot de passe à une valeur initiale. Le mot de passe initial d'un ordinateur est toujours "nom_ordinateur$".

Les scripts fournis ici en exemple peuvent ne pas fonctionner dans tous les environnements et il convient de les tester avant de les implémenter. Le premier exemple concerne les comptes d'ordinateur Windows NT 4.0 tandis que le second s'adresse aux comptes d'ordinateur Windows 2000 ou Windows XP.

Exemple 1

Dim objComputer

 

Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")

objComputer.SetPassword "computername$"

 

Wscript.Quit

                            

Exemple 2

Dim objComputer

 

Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")

objComputer.SetPassword "computername$"

 

Wscript.Quit

 

                            

Dernière modification le :24/02/2003

Mot(s) clé(s) :kbenv kbhowto KB216393

 

******