Ignorer et passer au contenu
The official Faronics logo, representing industry-leading IT management and security solutions. Faronics Cloud delivers powerful endpoint management, system protection, and automation tools to enhance efficiency in businesses, schools, and enterprises.The official Faronics logo, representing industry-leading IT management and security solutions. Faronics Cloud delivers powerful endpoint management, system protection, and automation tools to enhance efficiency in businesses, schools, and enterprises.
Pourquoi les PC joints à un domaine perdent la confiance avec Deep Freeze (et comment y remédier)

Pourquoi les PC joints à un domaine perdent la confiance avec Deep Freeze (et comment y remédier)

Why Domain-Joined PCs Lose Trust with Deep Freeze (And How to Fix It)

Si vous avez déployé Deep Freeze sur des machines jointes à un domaine et que vous avez rencontré le message « La relation de confiance entre cette station de travail et le domaine principal a échoué », vous n'êtes pas seul. C'est l'une des questions les plus fréquentes que nous recevons de la part des administrateurs informatiques gérant des environnements Active Directory.

Voici d'abord la bonne nouvelle : ce problème est tout à fait évitable avec une configuration appropriée, et les versions modernes de Deep Freeze le gèrent automatiquement dans la plupart des cas. Cependant, comprendre pourquoi cela se produit vous aide à configurer les paramètres correctement dès le départ — et à dépanner si vous héritez d'un déploiement plus ancien.

Analysons précisément les causes des problèmes de confiance de domaine avec les machines gelées, comment Deep Freeze gère cela en interne, et ce que vous devez faire pour garantir que vos PC joints au domaine restent opérationnels.

A conceptual image of a strawberry frozen inside an ice cube, symbolizing the power of Faronics Deep Freeze in preserving and protecting system configurations from unwanted changes.

Ce qui cause réellement la perte de confiance envers un domaine

Pour comprendre le problème, vous devez comprendre comment fonctionne l'authentification des ordinateurs dans Active Directory.

Lorsqu'un ordinateur rejoint un domaine Active Directory, deux événements se produisent : un compte d'ordinateur est créé dans l'AD et un secret partagé (mot de passe) est établi entre cet ordinateur et le domaine. Ce mot de passe est stocké à la fois dans l'Active Directory et localement sur la machine, dans un emplacement protégé du registre.

Chaque fois que l'ordinateur démarre et se connecte au réseau, il s'authentifie auprès de l'AD à l'aide de ce mot de passe, avant même qu'un utilisateur ne se connecte. Si les mots de passe correspondent, le canal sécurisé est établi et tout fonctionne normalement.

Voici l'élément crucial : par défaut, Windows modifie automatiquement le mot de passe de ce compte d'ordinateur tous les 30 jours. La machine initie le changement, met à jour la copie locale ainsi que la copie AD, et le processus suit son cours.

Sur une machine figée, ce processus s'interrompt.

Lorsqu'un ordinateur gelé lance un changement de mot de passe, il met à jour avec succès l'Active Directory. L'AD attend désormais le nouveau mot de passe. Cependant, au redémarrage de la machine, Deep Freeze efface toutes les modifications, y compris le nouveau mot de passe stocké localement. La machine revient à sa configuration de base, qui contient l'ancien mot de passe.

Vous vous retrouvez alors face à un décalage : l'AD possède le nouveau mot de passe, la machine locale possède l'ancien, et elles ne peuvent pas s'authentifier. La connexion au domaine échoue. Vous voyez apparaître la redoutable erreur de relation d'approbation.

Cela ne se produit pas immédiatement. AD conserve à la fois le mot de passe actuel et le mot de passe précédent (pour gérer les courts délais de synchronisation), de sorte que les machines survivent généralement à au moins un cycle de changement de mot de passe. Cependant, si une machine figée avec une image de référence obsolète tente de s'authentifier après qu'AD a effectué deux changements de mot de passe, la relation d'approbation est rompue.

Comment Deep Freeze gère cela (depuis la version 7.6)

Nous avons identifié ce problème il y a des années, et Deep Freeze inclut une gestion automatique depuis la version 7.6 (sortie en 2013). Voici comment cela fonctionne :

Suppression du changement de mot de passe pendant le gel. Lorsqu'une machine est dans un état gelé, Deep Freeze supprime les modifications de mot de passe du compte informatique. La machine n'initie aucune demande de changement de mot de passe auprès de l'AD, de sorte qu'aucun décalage ne peut se produire. Le mot de passe actuel dans la configuration de référence gelée reste valide.

Synchronisation du mot de passe après dégel. Lorsque la machine passe en mode dégelé (pendant les fenêtres de maintenance), Deep Freeze autorise le comportement normal de changement de mot de passe. Si un changement de mot de passe est requis, il s'effectue pendant que le système est dégelé, est enregistré à la fois dans l'AD et sur la machine locale, et lors du regel, le nouveau mot de passe est capturé dans la configuration de référence mise à jour.

Cette gestion automatique signifie que tant que vous utilisez une version relativement récente de Deep Freeze et que vous planifiez des fenêtres de maintenance régulières, les problèmes de confiance de domaine ne devraient pas survenir. Le système se gère de lui-même.

Avertissement important : cela ne fonctionne que si vous prévoyez des périodes de dégel régulières. Si une machine reste gelée en continu pendant des mois sans jamais être dégelée, le mot de passe supprimé n'a jamais l'occasion de se mettre à jour. À terme, l'écart entre ce que l'AD attend et ce que contient la configuration de base peut causer des problèmes lorsque la machine doit enfin rétablir la relation d'approbation.

Comment prévenir entièrement les problèmes de confiance

La prévention est simple. Voici vos options, approximativement par ordre de préférence :

Option 1 : Planifiez des fenêtres de maintenance régulières (recommandé). C'est l'approche la plus simple et la plus efficace. Si vous dégelez vos machines au moins une fois par mois pour les mises à jour Windows — ce que vous devriez faire de toute façon — les mots de passe des comptes d'ordinateur se synchroniseront durant ces périodes de dégel. Deep Freeze gère automatiquement le reste.

La plupart des organisations planifient une maintenance hebdomadaire ou bimensuelle. C'est amplement suffisant. Le cycle de changement de mot de passe de 30 jours offre de nombreuses occasions de s'achever avec succès.

Option 2 : Désactiver les modifications de mot de passe des comptes d'ordinateur via la stratégie de groupe. Si vous possédez des machines qui redémarrent rarement ou jamais en mode dégel (les bornes interactives, par exemple), vous pouvez désactiver entièrement les modifications automatiques de mots de passe. Configurez la stratégie de groupe suivante :

Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité → Membre de domaine : désactiver les modifications de mot de passe de compte d'ordinateur → Activé

Avec cette stratégie, l'ordinateur ne tente jamais de modifier son mot de passe, ce qui empêche toute désynchronisation. Le mot de passe d'origine généré lors de la jonction au domaine reste valide indéfiniment.

Considération relative à la sécurité : Certains cadres de sécurité recommandent une rotation régulière des mots de passe. La désactivation du changement des mots de passe machine affaiblit techniquement cette mesure. Pour les machines à accès partagé dans des environnements à faible niveau de sécurité (salles informatiques d'écoles, ordinateurs de bibliothèques), cela est généralement acceptable. Pour les machines traitant des données sensibles, des fenêtres de maintenance régulières sont préférables.

Option 3: Prolongez l'intervalle de changement de mot de passe. Plutôt que de désactiver entièrement les modifications de mot de passe, vous pouvez prolonger l'intervalle. Par défaut, celui-ci est de 30 jours ; vous pouvez le régler sur 90, 180 ou 365 jours via la stratégie de groupe :

Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité → Membre de domaine : durée maximale du mot de passe de compte d'ordinateur → [days]

Cela vous offre une plus grande marge de manœuvre si les fenêtres de maintenance sont peu fréquentes, tout en maintenant la rotation des mots de passe.

Option 4: Incluez la politique dans votre référence de base figée. Vous pouvez également désactiver le changement de mot de passe via le registre avant de figer le système. Ajoutez ceci à votre image de référence :

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange = 1

Cela permet d'obtenir le même résultat que l'approche par stratégie de groupe, mais la configuration est intégrée à l'image plutôt qu'appliquée de manière dynamique.

Meilleures pratiques pour une stabilité à long terme

Au-delà du problème spécifique lié au mot de passe, voici des recommandations plus larges pour assurer le bon fonctionnement de Deep Freeze dans les environnements Active Directory :

Assurez-vous d'utiliser une version actuelle de Deep Freeze. La gestion automatique des mots de passe que nous avons décrite est intégrée au produit depuis la version 7.6, et les versions ultérieures en ont perfectionné le comportement. Si vous utilisez une version obsolète, effectuez une mise à jour. Les versions actuelles gèrent l'intégration au domaine de manière beaucoup plus fluide.

Planifiez les fenêtres de maintenance de manière cohérente. La maintenance hebdomadaire ou bimensuelle des mises à jour Windows offre naturellement les périodes de dégel nécessaires à la synchronisation des mots de passe. Ne laissez pas les machines passer des mois sans dégel.

Mettez à jour votre référence après la maintenance. Lorsque les machines dégèlent et se mettent à jour, elles doivent être recongelées avec le nouvel état, y compris tout changement de mot de passe. Si vous gérez manuellement les configurations de référence, assurez-vous que l'état post-maintenance devienne la nouvelle référence.

Surveillez les machines dont la maintenance n'a pas été effectuée. Deep Freeze Cloud fournit des rapports sur l'état d'exécution des tâches de maintenance. Les machines qui sont éteintes pendant la maintenance planifiée manquent leur créneau de dégel. Identifiez ces machines et assurez-vous qu'elles rattrapent les tâches manquées.

Documentez la configuration de votre domaine. Indiquez si vous utilisez la rotation des mots de passe par défaut, si les mots de passe sont désactivés ou si les intervalles sont prolongés. Le prochain administrateur vous en remerciera.

Testez avec un groupe pilote. Avant le déploiement massif, effectuez un projet pilote restreint pendant 60 à 90 jours — une durée suffisante pour couvrir plusieurs cycles de changement de mot de passe. Vérifiez que les relations de confiance restent saines avant de procéder à un déploiement généralisé.

Résoudre les problèmes de confiance lorsqu'ils surviennent

Si vous avez déjà rencontré un échec de la relation d'approbation, voici comment le résoudre :

Étape 1: Dégivrez la machine concernée. Vous devrez vous connecter avec un compte administrateur local (et non un compte de domaine, car l'authentification de domaine est interrompue). Dégelez la machine afin que les modifications soient conservées.

Étape 2: Réinitialiser le mot de passe du compte d'ordinateur. Plusieurs options s'offrent à vous :

PowerShell (recommandé) : Ouvrez une invite PowerShell avec des privilèges élevés et exécutez :

Reset-ComputerMachinePassword -Server VotreContrôleurDeDomaine -Credential Domaine\Admin

Ou utilisez :

Test-ComputerSecureChannel -Repair -Credential Domain\Admin

L'une ou l'autre de ces commandes réinitialise le mot de passe de l'ordinateur et le synchronise avec l'AD. En cas de succès, l'authentification au domaine devrait fonctionner immédiatement.

Utilisateurs et ordinateurs Active Directory : Sinon, à partir d'un contrôleur de domaine ou d'une station de travail de gestion, ouvrez ADUC, localisez l'objet ordinateur, faites un clic droit et sélectionnez « Réinitialiser le compte ». Joignez ensuite à nouveau la machine du côté client.

Étape 3: Congeler à nouveau avec l'état corrigé. Une fois la confiance rétablie, gelez à nouveau la machine. Le nouveau mot de passe correct fait désormais partie de la configuration de référence gelée.

Étape 4: Prévenir la récurrence. Mettez en œuvre l'une des stratégies de prévention décrites ci-dessus — fenêtres de maintenance régulières, désactivation des modifications de mots de passe ou intervalles prolongés — afin que cela ne se reproduise plus.

Foire aux questions

À quelle fréquence cela arrive-t-il réellement ?

Avec les versions actuelles de Deep Freeze et des fenêtres de maintenance régulières, ce phénomène est rare. Nous l'observons principalement dans deux scénarios : les déploiements hérités utilisant de très anciennes versions de Deep Freeze sans gestion automatique des mots de passe, ou les machines qui n'ont pas été dégelées pendant de longues périodes (plusieurs mois). Les déploiements modernes correctement configurés ne rencontrent pas ce problème.

S'agit-il d'un bug de Deep Freeze ?

Non, c'est une conséquence naturelle de la manière dont la technologie de restauration au redémarrage interagit avec le mécanisme de rotation des mots de passe d'Active Directory. Tout système qui rétablit son état initial au redémarrage serait confronté au même défi. Deep Freeze résout ce problème en bloquant les modifications de mots de passe pendant que le système est gelé et en les autorisant pendant les périodes de dégel — ce qui fonctionne parfaitement lorsque la maintenance est planifiée régulièrement.

Les problèmes de confiance peuvent-ils être totalement évités ?

Oui. Vous pouvez soit planifier des fenêtres de maintenance régulières (recommandé), soit désactiver les modifications de mots de passe des comptes d'ordinateur via la stratégie de groupe (GPO). L'une ou l'autre de ces approches élimine tout risque de désynchronisation des mots de passe. Des milliers d'organisations utilisent Deep Freeze sur des machines jointes à un domaine sans aucun problème de relation d'approbation car elles ont configuré l'une de ces méthodes.

Cela affecte-t-il les machines jointes à Azure AD ?

Azure AD (désormais Entra ID) utilise des mécanismes d'authentification différents de ceux de l'Active Directory traditionnel. Le comportement spécifique de rotation du mot de passe du compte d'ordinateur abordé ici s'applique aux jonctions de domaine AD sur site. Les machines jointes à Azure AD et les machines hybrides font l'objet de considérations particulières. Contactez-nous si vous effectuez un déploiement dans des environnements Azure AD afin que nous puissions vous fournir des conseils spécifiques.

Que faire si je ne connais pas le mot de passe de l'administrateur local ?

C'est une complication courante. Si la relation d'approbation est rompue et que vous ne disposez pas d'identifiants d'administrateur local, vous pouvez essayer de vous connecter avec des identifiants de domaine mis en cache tout en étant déconnecté du réseau. Sinon, vous devrez utiliser des outils de récupération de mot de passe ou réinstaller l'image système. C'est un excellent argument en faveur de la documentation et de l'accessibilité des identifiants d'administrateur local — ou de l'utilisation de LAPS (Local Administrator Password Solution) pour les gérer.

Dois-je désactiver les modifications de mot de passe sur toutes les machines gelées ?

C'est l'approche la plus simple, mais elle n'est pas toujours nécessaire. Si vous planifiez déjà une maintenance régulière (hebdomadaire ou bimensuelle), les mots de passe se synchronisent naturellement pendant les périodes de dégel et la désactivation n'est pas requise. La désactivation est plus judicieuse pour les machines qui sont rarement dégelées — les bornes interactives dédiées, par exemple — ou dans les environnements où la simplicité l'emporte sur les exigences strictes de rotation des mots de passe.

L'essentiel : Un problème résolu

Les problèmes de confiance liés au domaine avec Deep Freeze sont bien connus et tout à fait évitables. Les versions modernes de Deep Freeze gèrent cette complexité automatiquement : tant que vous planifiez des fenêtres de maintenance régulières, la synchronisation des mots de passe s'effectue de manière transparente en arrière-plan.

Pour les machines qui redémarrent rarement, la désactivation des modifications de mot de passe du compte d'ordinateur via la stratégie de groupe élimine entièrement le problème.

Si vous avez hérité d'un déploiement présentant des problèmes de confiance, la solution est simple : dégelez, réinitialisez le mot de passe, regelez et mettez en place des mesures de prévention appropriées pour l'avenir.

Des milliers d'organisations utilisent Deep Freeze sur des machines jointes à un domaine au sein d'écoles, d'entreprises et d'organismes gouvernementaux sans aucun problème de confiance. Avec une configuration appropriée, il en sera de même pour vous.

Besoin d'aide pour le déploiement de votre domaine ?

Notre équipe d'assistance possède une vaste expérience des environnements Active Directory. N'hésitez pas à nous contacter si vous avez besoin de conseils pour le déploiement.

Contacter l'assistance

Consulter l'article de la base de connaissances

Continuer la lecture
Bien installer le congélateur dans les écoles et les laboratoires : un guide pratique
Lire la suite
Getting Deep Freeze Right in Schools and Labs: A Practical Setup Guide
Connexion au Centre des Partenaires

© 2026 Faronics Cloud, Tous droits réservés.

Trending Now