Procédure désactiver les modifications automatiques de mot de passe de compte d’ordinateur

Cet article explique comment un administrateur peut désactiver les modifications automatiques de mot de passe de compte d’ordinateur.

Version du produit d’origine :   Windows 10-toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances initiale :   154501

Résumé

Les mots de passe des comptes d’ordinateur sont régulièrement modifiés pour des raisons de sécurité. Par défaut, sur les ordinateurs Windows NT, le mot de passe du compte d’ordinateur est automatiquement modifié tous les sept jours. À partir des ordinateurs Windows 2000, le mot de passe du compte d’ordinateur est automatiquement modifié tous les 30 jours.

Avertissement

Si vous désactivez les modifications de mot de passe du compte d’ordinateur, il existe des risques de sécurité car le canal de sécurité est utilisé pour l’authentification directe. Si quelqu’un identifie un mot de passe, il peut éventuellement effectuer une authentification directe sur le contrôleur de domaine.

Informations supplémentaires

Vous pouvez désactiver les modifications de mot de passe de compte d’ordinateur par défaut pour l’une des raisons suivantes :

  • Vous souhaitez réduire les occurrences de réplication. En tant qu’effet secondaire des modifications de mot de passe de compte d’ordinateur automatiques, un domaine comportant un grand nombre d’ordinateurs clients et de contrôleurs de domaine peut entraîner une réplication de manière fréquente. Vous pouvez désactiver les modifications de mot de passe de compte d’ordinateur automatiques afin de réduire les occurrences de réplication.

  • Vous disposez de deux installations distinctes de Windows NT ou Windows 2000 sur le même ordinateur dans une configuration à double démarrage. Dans ce cas, la seule façon de partager le même compte d’ordinateur entre les deux installations de Windows NT ou Windows 2000 est d’utiliser le mot de passe de compte d’ordinateur par défaut qui est créé lorsque vous rejoignez le domaine.

  • Si vous effectuez fréquemment une nouvelle installation de Windows NT ou Windows 2000, vous devez disposer d’un administrateur sur le domaine qui peut créer le compte d’ordinateur sur le domaine. S’il s’agit d’un problème, vous pouvez laisser le mot de passe du compte d’ordinateur en tant que valeur par défaut.

Vous pouvez désactiver les modifications de mot de passe de compte d’ordinateur sur une station de travail en définissant l’entrée de Registre DisablePasswordChange sur la valeur 1. Pour ce faire, procédez comme suit.

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, reportez-vous à la rubrique How to back up and Restore the registry in Windows.

  1. Démarrez l’Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, exécuter, tapez regedit dans la zone ouvrir , puis cliquez sur OK.

  2. Recherchez et sélectionnez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Dans le volet droit, sélectionnez l’entrée DisablePasswordChange .

  4. Dans le menu Edition , sélectionnez modifier.

  5. Dans la zone données de la valeur , tapez 1, puis cliquez sur OK.

  6. Quittez l’Éditeur du Registre. Dans Windows NT version 4,0 et Windows 2000, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2, vous pouvez désactiver la modification du mot de passe du compte d’ordinateur en définissant l’entrée de Registre refusepasswordchange sur la valeur 1 sur tous les contrôleurs de domaine du domaine au lieu de sur toutes les stations de travail. Pour ce faire, procédez comme suit.

Notes

Sur les contrôleurs de domaine Windows NT 4,0, vous devez modifier l’entrée de Registre refusepasswordchange en lui attribuant la valeur 1 sur tous les contrôleurs de domaine secondaires du domaine avant d’effectuer la modification sur le contrôleur principal de domaine (PDC). Si vous ne suivez pas cette commande, l’ID d’événement 5722 est consigné dans le journal des événements du contrôleur principal de domaine.

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, reportez-vous à la rubrique How to back up and Restore the registry in Windows.

  1. Démarrez l’Éditeur du Registre. Pour ce faire, sélectionnez Démarrer, exécuter, tapez regedit dans la zone ouvrir , puis cliquez sur OK.

  2. Recherchez et sélectionnez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Dans le menu Edition , pointez sur nouveau, puis sélectionnez valeur DWORD.

  4. Tapez RefusePasswordChange comme nom d’entrée de Registre, puis appuyez sur entrée.

  5. Dans le menu Edition , sélectionnez modifier.

  6. Dans la zone données de la valeur , tapez 1, puis cliquez sur OK.

  7. Quittez l’Éditeur du Registre.

Notes

L’entrée de Registre refusepasswordchange oblige le contrôleur de domaine à refuser des demandes de modification de mot de passe uniquement à partir de stations de travail ou de serveurs membres qui exécutent Windows NT version 4,0 ou une version ultérieure.

Si vous définissez l’entrée de Registre refusepasswordchange sur la valeur 1, une fois que le serveur de station de travail ou le serveur membre a d’abord modifié son mot de passe de compte d’ordinateur, les tentatives ultérieures de modification du mot de passe sont bloquées (en renvoyant un code d’état distinct). Un ordinateur Windows NT 4,0 essaiera de modifier le mot de passe de son compte d’ordinateur dans sept jours, et un ordinateur basé sur Windows 2000 recommencera dans 30 jours. Si vous définissez l’entrée de Registre refusepasswordchange sur la valeur 1, le trafic de réplication s’arrêtera, mais pas le trafic client. Si vous définissez l’entrée de Registre DisablePasswordChange sur la valeur 1, le trafic client et de réplication s’arrêtera.

Si vous désactivez les modifications automatiques de mot de passe de compte d’ordinateur, vous pouvez configurer deux (ou plusieurs) installations de Windows NT ou Windows 2000 sur le même ordinateur qui utilise le même compte d’ordinateur. Une autre utilisation possible de cette fonctionnalité est que les invités virtuels où vous réutilisez des instantanés plus anciens ou des images disque, et que vous souhaitez éviter de reconnecter l’ordinateur à un domaine.

Pour plus d’informations sur les effets de la réplication de compte d’ordinateur et sur la modification de la fréquence des modifications de mot de passe de compte d’ordinateur automatiques, voir effets de la réplication de compte d’ordinateur sur un domaine.