Windows : La relation d’approbation entre cette station de travail et le domaine principal a échoué

26 avril 2022 0 Par angelusadeuszabulus

Quand vous vous connecter à un ordinateur qui exécute Windows liée à un domaine, et que vous recevez le message « erreur La relation d’approbation entre cette station de travail et le domaine principal a échoué ».

Quelle est la cause de l’erreur « La relation de confiance entre ce poste de travail et le domaine principal a échoué »

Cette erreur indique que cet ordinateur n’est plus fiable. Le mot de passe de l’ordinateur local ne correspond pas au mot de passe d’objet de cet ordinateur stocké dans la base de données AD.

Explications

Lorsque vous joignez l’ordinateur au domaine Active Directory, le nouveau compte d’ordinateur est créé pour votre appareil et un mot de passe est défini pour celui-ci (comme pour les utilisateurs AD).

La relation d’approbation à ce niveau est fournie par le fait que la jonction de domaine est effectuée par un administrateur de domaine. Ou un autre utilisateur avec des autorisations administratives déléguées a effectué la jointure.

Chaque fois que l’ordinateur du domaine se connecte au domaine AD, il établit un canal sécurisé avec le contrôleur de domaine le plus proche (variable d’environnement %logonserver%). DC envoie les informations d’identification de l’ordinateur. Dans ce cas, la confiance est établie entre le poste de travail et le domaine. Une interaction supplémentaire se produit conformément aux politiques de sécurité définies par l’administrateur.

Le mot de passe du compte d’ordinateur est valide pendant 30 jours (par défaut), puis change. Vous devez garder à l’esprit que l’ordinateur modifie le mot de passe en fonction de la stratégie de groupe de domaine configurée. C’est comme un processus de modification du mot de passe d’un utilisateur.

Vous pouvez configurer l’âge maximal du mot de passe du compte pour les ordinateurs du domaine à l’aide du paramètre GPO Membre du domaine : Âge maximal du mot de passe du compte d’ordinateur.

Il se trouve dans la section suivante de l’éditeur de stratégie de groupe : Configuration ordinateur> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Options de sécurité.

Vous pouvez spécifier le nombre de jours entre 0 et 999 (par défaut, il est de 30 jours).

Le domaine Active Directory stocke le mot de passe actuel de l’ordinateur, ainsi que le précédent. Si le mot de passe a été modifié deux fois, l’ordinateur qui utilise l’ancien mot de passe ne pourra pas s’authentifier sur le contrôleur de domaine. Cela n’établira pas de canal de connexion sécurisé.

Les mots de passe du compte d’ordinateur n’expirent pas dans Active Directory. Cela se produit car la politique de mot de passe de domaine ne s’applique pas aux objets Ordinateur AD. Votre ordinateur peut utiliser le service NETLOGON pour modifier le mot de passe lors de la prochaine connexion au domaine. Cela est possible si son mot de passe a plus de 30 jours. Notez que le mot de passe de l’ordinateur local n’est pas géré par AD, mais par l’ordinateur lui-même.

L’ordinateur tente de modifier son mot de passe sur le contrôleur de domaine. Ce n’est qu’après une modification réussie qu’il met à jour son mot de passe local. Une copie locale du mot de passe est stockée dans la clé de registre HKLM\SECURITY\Policy\Secrets$machine.ACC

Password Last Set

Vous pouvez afficher l’heure du dernier mot de passe défini pour un compte d’objet d’ordinateur dans le domaine AD à l’aide de l’applet de commande PowerShell

Comment résoudre le probleme

Pour résoudre ce problème il existe plusieurs méthodes :

Méthode 1

La plus populaire, qui consiste à retirer l’ordinateur du domaine, puis reconnectez l’ordinateur au domaine.

  1. Cliquez avec le bouton droit sur Ordinateur > Propriétés.
  2. Sélectionnez Modifier les paramètres en regard du nom de l’ordinateur.
  3. Sous l’onglet Nom de l’ordinateur, sélectionnez Modifier.
  4. Sous l’en-tête Membre d’un, sélectionnez Groupe de travail, tapez le nom d’un groupe de travail, puis sélectionnez OK.
  5. Lorsque vous êtes invité à redémarrer l’ordinateur, sélectionnez OK.
  6. Sous l’onglet Nom de l’ordinateur, sélectionnez à nouveau Modifier.
  7. Sous l’en-tête Membre d’un, sélectionnez Domaine, puis tapez le nom du domaine.
  8. Sélectionnez OK, puis tapez les informations d’identification de l’utilisateur disposant des autorisations dans le domaine.
  9. Lorsque vous êtes invité à redémarrer l’ordinateur, sélectionnez OK.
  10. Redémarrez l’ordinateur.

Methode2

L’applet de commande PowerShell Reset-ComputerMachinePassword modifie le mot de passe du compte que les ordinateurs utilisent pour s’authentifier auprès des contrôleurs de domaine.

  • Ouvrir une session avec un compte administrateur local
  • Lancer un PowerShell en administrateur
  • Entrer la commande suivante :

  • Redémarrer l’ordinateur.
  • L’applet de commande PowerShell Reset-ComputerMachinePassword n’estpas disponible dans PowerShell Core 6.0 et 7.x en raison de l’utilisation d’API non prises en charge.

Methode3

Via l’utilitaire Netdom, Il peut être installé sur le PC du client avec le package RSAT (Remote Server Administration Tools). Pour l’utiliser, connectez-vous au système cible avec les informations d’identification de l’administrateur local, ouvrez l’invite cmd.exe en tant qu’administrateur et exécutez la commande suivante

  • Redémarrer l’ordinateur.

Methode4

Vous pouvez vérifier que le mot de passe local de l’ordinateur est synchronisé avec le mot de passe du compte d’ordinateur sur le contrôler de domaine .

Pour ce faire:

  • Connectez vous à l’ordinateur sous le compte administrateur local
  • Démarrez la console PowerShell
  • Exécutez l’applet de commande Test-ComputerSecureChannel.

vous pouvez ajouter le paramètre de commutateur –Verbose :

Vous pouvez réparer un canal sécurisé entre l’ordinateur et le domaine Active Directory démarrez la console PowerShell et exécutez l’applet de commande suivante :

  • Entrer le mot de passe
  • Redémarrer l’ordinateur.

Views: 9944