[AD] Exemples de problèmes d’ouverture de session

 

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

.

Si l'utilisateur a déjà ouvert une session récemment sur le poste et que vous n'avez pas modifié les paramètres de mise en cache des mots de passe, celui-ci pourra ouvrir une session même si aucun DC n'est disponible à l'aide du mécanisme de mise en cache (pratique pour les équipements mobiles) :

https://technet.microsoft.com/fr-fr/library/jj852209(v=ws.11).aspx

Si le poste est bien connecté au domaine, vérifié la connectivité réseau (attention au filtrage de port entre des LANs différends et la résolution de nom DNS.

Certains messages peuvent provenir de limitation sur le compte utilisateur ou de paramètre de sécurité spécifique sur les postes.

Le message « le compte référencé actuellement et verrouillé  … » indique que le compte est verrouillé. Le verrouillage d'un compte est un mécanisme de protection automatique et paramétrable qui permet de bloquer temporairement un compte si plusieurs mots de passes erronés ont été saisis dans un intervalle de temps court. Le compte sera verrouillé pendant une durée définie dans la stratégie puis sera automatiquement débloqué.

Voir : Stratégie de verrouillage de compte (par défaut aucune stratégie n'est configurée).

Vous pouvez également débloquer un compte depuis la console « Utilisateurs et Ordinateurs Active Directory » :

Le compte est verrouillé tant que le moment indiqué par la valeur de l'attribut « LockoutTime » est atteint. Ce nombre entier indique le nombre de 100 de nanoseconde depuis le 1/01/1601, d'où sa valeur assez conséquente.

Lorsqu'un compte n'est pas (ou plus) verrouillé, la valeur de l'attribut « LockOutTime » est égale à 0.

 

Un autre cas que vous pouvez rencontrer est l'expiration du compte :

Il ne faut pas confondre le message « le compte a expiré » avec l'expiration du mot de passe. Si un compte a expiré cela signifie que le compte a été configuré avec une date d'expiration de compte. Par défaut, les comptes créés n'expirent jamais. Vous pouvez modifier la date d'expiration du compte depuis la console « Utilisateur et Ordinateurs Active Directory », dans la page « Compte », avec la valeur « Date d'expiration du compte ».

Cet attribut peut être intéressant si vous souhaitez automatiser la gestion des comptes depuis une base de données des ressources humaines. Il vous sera donc possible d'indiquer une expiration de compte afin de garantir que les intérimaires, stagiaires, CDD et autres, n'aient plus d'accès après la fin de leur contrat.

Le message d'information « votre compte a été désactivé … », présenté ci-dessous n'est pas lié à la date d'expiration du compte, mais a un état spécifique avec 2 options (activée ou désactivée).

Par défaut, lors de la création d'un compte dans l'annuaire, celui-ci est automatiquement désactivé, lorsque le mot de passe ne respecte pas les critères de la stratégie de mot de passe de l'entreprise. Si le compte respecte la stratégie lors de la création, il est activé par défaut.

 

Il est possible d'activer un compte depuis la console « Utilisateurs et Ordinateurs Active Directory » :

 

Si votre utilisateur rencontre le message « Votre compte possède une limitation horaire », lors de l'ouverture de session, cela indique que le compte a été configuré avec des restrictions horaires.

Les restrictions horaires peuvent être modifiées, entre autres, depuis la console « Utilisateurs et Ordinateurs Active Directory », dans la page « compte » sur « horaire d'accès ».

Par défaut, en dehors des horaires d'accès, les comptes déjà connectés ne sont pas automatiquement déconnectés. Il est possible de modifier le comportement par les stratégies de groupes (paramètre : « Définir l'action à entreprendre à l'expiration des horaires d'accès » dans « Configuration utilisateurs \ Modèle d'administration \ Composants Windows \ options d'ouverture de sessions Windows »).

Le message suivant « votre compte est configuré de sorte que vous ne pouvez pas utiliser ce PC », indique que le compte a été configuré avec une limitation sur les postes sur lesquels il peut ouvrir une session.

Cette option se trouve également dans la page compte de l'utilisateur en cliquant sur « se connecter à » :

 

 

Par défaut, un compte est configuré avec l'option « tous les ordinateurs » et peut ouvrir une session sur tous les postes clients membres du domaine (enfin s'il dispose du droit d'ouverture d'une session locale, comme nous le verrons au prochain exemple). Il est possible de spécifier une liste d'ordinateurs.

Le message suivant indique que l'utilisateur n'est pas autorisé à se connecter localement sur ce poste.

Dans les stratégies de sécurité locale, sous « Configuration Ordinateur \ Paramètres Windows \ Paramètre de sécurité \ Stratégies locales \ Attribution des droits utilisateur », le paramètre « Permettre l'ouverture d'une session locale », indique les personnes ayant le droit d'ouvrir une session localement.

Par défaut il contient « administrateurs » (qui inclut « admins du domaine » pour un poste membre), « opérateurs de sauvegarde » et « utilisateurs » pour un poste client (qui inclut « utilisateurs du domaine »).

Si vous supprimez par exemple « utilisateurs », un utilisateur qui n'est pas membre des « administrateurs » ou « opérateur de serveurs aura le message.

Le paramètre « Accéder à cet ordinateur à partir du réseau », lui permet entre autres d'accéder à des partages.

 

Si vous supprimez des droits votre utilisateur pourrait rencontrer le message d'erreur « La connexion a été refusé car le compte d'utilisateur n'est pas autorisé à ouvrir une de session à distance » :

 

Dans le cas d'un serveur de bureau à distance l'utilisateur doit disposer du droit « Autoriser l'ouverture de session par les services Bureau à distance ». Par défaut les membres du groupe local « utilisateurs du Bureau à distance » disposent de ce droit.

Theme: 

Systeme: 

Annee: