Comment désactiver et réparer l’expiration du mot de passe dans Windows Server –
Les mots de passe Windows Server expirent. Après un certain temps, votre mot de passe sera invalide et vous devrez « contacter votre administrateur informatique » pour le réinitialiser manuellement. Mais que se passe-t-il quand toi sont l’administrateur informatique ?
Sommaire
Le problème
Par défaut, les organisations Windows ont activé l’expiration du mot de passe. L’idée est que vous devez changer votre mot de passe de temps en temps (la valeur par défaut n’est que de 42 jours) pour minimiser l’impact des failles de sécurité. C’est une bonne idée pour les grandes organisations, mais si vous essayez simplement d’exécuter une machine avec Windows Server, cela peut être assez ennuyeux.
Pire encore, si vous débutez dans l’hébergement Windows, vous avez peut-être manqué l’invite à son expiration si vous ne vous êtes pas connecté récemment. Par défaut, rien n’est configuré pour vous avertir si vous ne vous connectez pas régulièrement. Cela peut en fait vous verrouiller complètement hors de votre compte, nécessitant un redémarrage du serveur en mode de secours.
Heureusement, il est assez facile de désactiver la fonctionnalité avant que cela ne pose un problème, et si vous avez été bloqué par l’expiration du mot de passe, le démarrage en mode de secours résoudra le problème en vous permettant de réinitialiser le mot de passe depuis l’extérieur du système d’exploitation.
Réparer tôt
Le moyen d’empêcher l’expiration des mots de passe consiste simplement à les désactiver à l’aide du panneau de configuration Utilisateurs et groupes locaux. Ouvrez-le en recherchant lusrmgr.msc dans les menus démarrer ou exécuter.
Cliquez sur « Utilisateurs » et recherchez votre compte d’utilisateur. Cliquez avec le bouton droit de la souris et affichez les propriétés, puis cochez « Le mot de passe n’expire jamais » dans les paramètres.
Alternativement, vous pouvez le faire manuellement à partir de la ligne de commande :
wmic UserAccount where Name="username" set PasswordExpires=False
Que faire si vous avez déjà été en lock-out
Si vous avez déjà été verrouillé, vous pourriez recevoir une erreur indiquant « Vous devez changer votre mot de passe avant de vous connecter pour la première fois. Veuillez mettre à jour votre mot de passe ou contacter votre administrateur système.
Malheureusement, cela signifie que vous avez probablement été verrouillé à moins que vous ne puissiez réinitialiser le mot de passe depuis un autre endroit de votre organisation. Si vous n’avez pas d’accès extérieur, cela a peut-être simplement coupé vos seules informations d’identification pour accéder au serveur.
Cependant, vous n’aurez peut-être pas besoin d’informations d’identification RDP. Certains fournisseurs de serveurs offrent un accès KVM direct, ce qui peut vous permettre de contourner votre connexion à distance et de modifier le mot de passe à partir de là. Vous devriez essayer ceci en premier, car cela n’entraînera aucun temps d’arrêt.
Réinitialisation avec Win PE
Vous devrez démarrer le serveur dans un système d’exploitation de secours. De nombreux fournisseurs devraient avoir cette option, par exemple, OVH vous permet de changer le mode de démarrage réseau en un environnement de préinstallation Windows ou Win PE. Cela vous permet d’utiliser des outils tels que NTPWEdit pour modifier directement les fichiers SAM.
Pour l’utiliser, vous devrez ouvrir le fichier SAM, déverrouiller l’utilisateur que vous souhaitez modifier et cliquer sur « Modifier le mot de passe ». Saisissez-le deux fois et cliquez sur « Enregistrer les modifications ».
Réinitialisation avec Linux et chntpw
Alternativement, vous pourriez recevoir un système de secours basé sur Linux comme rescue64-pro
. Dans ce cas, vous devrez monter le lecteur Windows et le modifier manuellement avec chntpw
.
Répertoriez les disques et montez la partition principale :
fdisk -l mount /dev/sda4 /mnt
Accédez à l’emplacement du fichier SAM et exécutez chntpw
cd /mnt/Windows/System32/config chntpw -l SAM
Ensuite, suivez les invites pour effacer le mot de passe de votre compte.
Vous devrez vous reconnecter avec le mot de passe vierge et le remplacer par un mot de passe sécurisé.