demande d'information sur l'authentification

[ferhat.adel]

bonjour à tous le monde voila j'ai une machine virtuelle qui héberge le contrôleur de domaine qui héberge Windows serveur 2003 ,aujourd’hui la machine la virtuelle ne sait pas allumé pourtant j'ai pu me logger au domaine je voudrais savoir pourquoi
merci

[Michaël]

Bonjour,
Il y a un système de cache de l'authentification dans windows qui te permet d'ouvrir une session même si le contrôleur de domaine est absent.
Cela est particulièrement utile pour les pc portables. Lorsque l'utilisateur est en dehors de l'entreprise, il faut qu'il puisse ouvrir sa session même s'il ne peut pas contacter le contrôleur de domaine sinon il n'y a pas d'intérêt à avoir un portable

[ferhat.adel]

bonjour merci pour ta réponse
je voudrais savoir c'est combien la durée du cache de la session
merci

[ali_zoroo]

la réponse de mekael est très claire, la durée du cache de la session n'a pas de limite, juste des fois il se présente un soucis concernant les changements de mots de passes, qui ne réussissent pas au niveau de la machine locale, le cache reçoit l'instruction que le mot de passe est changé, mais au niveau de la machine locale tu ne peut pas faire l'authentification via le domaine.

[gretch]

Citation:

la réponse de mekael est très claire, la durée du cache de la session n'a pas de limite,

faux, enfin en partie, pas de durée limite mais un nombre d'ouverture de session limite. ce nombre est de 10 par defaut on peut le mettre à 0 afin de supprimer le cache d'authentification et l'on peut l'augmenter jusqu'à 50.

ce paramètre peut etre définit dans gpedit.msc (ou via GPO) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

configuration ordinateur / param. windows / param. sécurité / strategie locales / option de sécurité / Ouverture de session interactive : nombre de demandes d’ouverture de  session à mettre en cache (au cas où le contrôleur de domaine ne serait  pas disponible)

[ferhat.adel]

slt je te remercie pour ta réponse
j'ai une autre question
si le bureau de l'utilisateur n'est pas enregistré dans sa machine( profil itinérant )
je voudrais savoir si l'ouverture par le cache fonctionne encore?
merci

[gretch]

oui mais il ne retrouvera pas son profil, il utilisera alors un profil temporaire basée sur le profil par défaut de la machine.

[ali_zoroo]

Citation:

faux, enfin en partie, pas de durée limite mais un nombre d'ouverture de session limite. ce nombre est de 10 par defaut on peut le mettre à 0 afin de supprimer le cache d'authentification et l'on peut l'augmenter jusqu'à 50.

Ce que vous venez d'expliquer est lié aux nombre de tentatives de saisie d'un mot de passe avant que la machine se vérouille, ça existe aussi même en cas d'un travail sur le réseau, c'est dire en cas de possibilité de contacte d'un controleur de domaine, mais le cas évoqué ici, est bien expliqué comme j'ai dit déjà par mekaël, c'est dans le cas d'un lap-top par exemple.

Concernant le profil iténérant, je vous donne un conseil de ne pas cocher la case "Move" dans les propriétés de la GPO lorsque vous les programmer, car c'est vous la cocher, le profil vas de déplacer carrément sur le serveur de destination, mais c vous ne la coche pas, vous aller faire une copie sur le serveur, et pas la déplacer, et qnd en dit déplacer c'est a dire, pas de copie physique sur la machine, il y a une copie dans le cash mémoire, et plusieurs fois en cas de problèmes réseaux par exemple, vous allez pénaliser l'utilisateur d'attendre que le problème soit réglé pour qu'il travaille, surtout sur le répertoire AppData.

Donc je vous conseil de ne pas cocher la propriété "Move"

[gretch]

Citation:

Envoyé par ali_zoroo

Ce que vous venez d'expliquer est lié aux nombre de tentatives de saisie d'un mot de passe avant que la machine se verrouille

non, pour le nombre de tentative avant verrouillage du compte c'est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

configuration ordinateur / param. windows / param. sécurité / Stratégie des compte / Strategie de verrouillage / Seuil de verrouillage du compte

je vous invite à allez relire la description du paramètre dans gpedit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

configuration ordinateur / param. windows / param. sécurité / stratégie locales / option de sécurité / Ouverture de session interactive : nombre de demandes d’ouverture de  session à mettre en cache (au cas où le contrôleur de domaine ne serait  pas disponible)

oh et puis allez je vous la colle (c'est celle d'un XP...)

Citation:

Envoyé par windows qui te parle

Ouverture de session interactive : nombre de demandes d’ouverture de session à mettre en cache (au cas où le contrôleur de domaine ne serait pas disponible)

Toutes les informations d’ouvertures de session précédentes des utilisateurs sont mises en cache localement afin que, au cas où le contrôleur de domaine serait indisponible lors de tentatives d’ouvertures de session ultérieures, ils puissent ouvrir une session. Si un contrôleur de domaine est indisponible et que les informations d’ouverture de session d’un utilisateur se trouvent dans le cache, l’utilisateur reçoit une invite avec un message comme suit :

Windows ne peut pas se connecter à un serveur pour confirmer vos paramètres de session. La session a été ouverte en utilisant les informations de compte enregistrées précédemment. Si vous avez modifié vos informations de compte depuis votre dernière ouverture de session sur cet ordinateur, ces modifications ne sont pas reflétées dans cette session.

Si un contrôleur de domaine est indisponible et que les informations d’ouverture de session d’un utilisateur ne se trouvent pas dans le cache, l’utilisateur reçoit une invite avec le message suivant :

Le système n’a pas pu ouvrir de session car le domaine <NOM_DOMAINE> n’est pas disponible.

Dans ce paramètre de stratégie, une valeur 0 désactive la mise en cache de l’ouverture de session. Toute valeur au-dessus de 50 met en cache 50 tentatives d’ouverture de session uniquement.

Valeur par défaut : 10

on ne peut plus clair !