Lorsqu’un compte utilisateur est verrouillé, la cause est souvent attribuée à un utilisateur qui a simplement saisi trop souvent un mot de passe ancien ou incorrect. Cependant, c’est loin d’être la seule chose qui peut entraîner le verrouillage d’un compte.

Une autre cause courante, par exemple, est une application ou un script configuré pour se connecter au système à l’aide d’un ancien mot de passe. Cependant, la cause la plus facilement négligée des verrouillages de compte est l’utilisation d’informations d’identification mises en cache.

Avant que j’explique pourquoi les informations d’identification mises en cache peuvent être problématiques, examinons d’abord ce que font les informations d’identification Windows mises en cache et pourquoi elles sont nécessaires.

Informations d’identification mises en cache et stockées

Les informations d’identification mises en cache sont un mécanisme utilisé pour garantir que les utilisateurs disposent d’un moyen de se connecter à leur appareil au cas où l’appareil ne pourrait pas accéder à Active Directory. Supposons un instant qu’un utilisateur travaille à partir d’un ordinateur portable appartenant au domaine et soit connecté au réseau d’entreprise.

Dans ce type de situation, Active Directory authentifierait les informations d’identification de l’utilisateur lorsque celui-ci se connecte. Si, en revanche, l’utilisateur travaille à domicile en utilisant le même ordinateur portable mais n’a pas de connexion au réseau d’entreprise, alors Active Directory ne peut pas traiter la demande d’ouverture de session de l’utilisateur.

C’est là que les informations d’identification mises en cache entrent en jeu. S’il n’y avait pas d’informations d’identification mises en cache, l’utilisateur ne serait pas en mesure de se connecter à son appareil car aucun contrôleur de domaine n’est disponible pour traiter la demande d’ouverture de session. Cependant, étant donné que Windows prend en charge l’utilisation des informations d’identification mises en cache, les informations d’identification mises en cache résidant sur l’appareil de l’utilisateur peuvent traiter la demande d’authentification.

L’utilisateur ne pourra accéder à aucune des ressources du réseau d’entreprise car aucune connexion au réseau n’existe et l’authentification de l’utilisateur n’a pas été traitée par un contrôleur de domaine. Même ainsi, l’utilisateur aura au moins la possibilité de se connecter à son ordinateur portable et d’utiliser toutes les applications installées localement sur l’appareil.

Même si les informations d’identification mises en cache sont principalement utilisées comme mécanisme permettant aux utilisateurs de se connecter localement lorsqu’ils travaillent à l’extérieur du bureau, les informations d’identification mises en cache ont une autre utilisation importante. Si une organisation subissait une défaillance catastrophique entraînant une panne d’Active Directory, le personnel informatique pourrait utiliser les informations d’identification mises en cache comme moyen de se connecter à leurs appareils afin de pouvoir commencer à diagnostiquer et à réparer les problèmes d’Active Directory.

Tout cela pour dire que les informations d’identification Windows mises en cache ont un cas d’utilisation valide. En tant que tels, ils ne sont pas le genre de chose que vous voudriez désactiver. Comme indiqué précédemment, cependant, l’utilisation d’informations d’identification mises en cache peut être source de confusion et même entraîner le verrouillage des comptes dans certaines circonstances.

Informations d’identification mises en cache provoquant des verrouillages de compte

Imaginez un instant qu’un utilisateur travaille à partir de deux appareils joints à un domaine: un ordinateur de bureau d’entreprise et un ordinateur portable. Supposons maintenant que l’utilisateur travaille depuis son bureau et modifie son mot de passe Windows. En supposant que l’ordinateur portable est éteint à ce stade, l’ordinateur portable n’est pas au courant du changement de mot de passe. Les anciennes informations d’identification de l’utilisateur sont toujours stockées dans le cache des mots de passe.

Dans cet esprit, pensez à ce qui se passerait la prochaine fois que l’utilisateur tentera de se connecter à partir de son ordinateur portable. Si l’utilisateur n’est pas connecté au réseau d’entreprise, son nouveau mot de passe ne fonctionnera pas car l’ancien mot de passe est toujours stocké dans le cache. Cependant, l’utilisateur peut toujours se connecter à l’appareil en utilisant son ancien mot de passe. Une fois que l’utilisateur se connecte au réseau d’entreprise, cependant, le mot de passe sera mis à jour. Cela signifie que si l’utilisateur tente à plusieurs reprises de se connecter à son ordinateur portable en utilisant son ancien mot de passe, le processus d’authentification échouera et l’utilisateur sera finalement verrouillé hors de son compte.

Mise à jour des informations d’identification de l’utilisateur mises en cache

Spécops uReset peut vous aider à résoudre ce problème. Les utilisateurs peuvent réinitialiser leurs mots de passe Windows directement à partir de l’écran de connexion Windows. Plus important encore, lorsqu’un utilisateur modifie ou réinitialise son mot de passe, le logiciel Specops uReset synchronise automatiquement le nouveau mot de passe sur les appareils de l’utilisateur, mettant à jour le cache local dans le processus. Cela signifie qu’un utilisateur ne doit jamais se trouver dans une situation dans laquelle certains appareils ont été mis à jour avec leur nouveau mot de passe alors que d’autres appareils continuent d’utiliser l’ancien mot de passe. D’un point de vue informatique, cela signifie moins d’appels de service liés aux mots de passe à votre service d’assistance.