Comment déverrouiller efficacement les comptes utilisateurs Active Directory

Gérer un compte utilisateur verrouillé dans un domaine peut vite devenir un vrai casse-tête, surtout si le problème est fréquent et que vous n’en comprenez pas la raison. Parfois, il s’agit simplement d’un mot de passe oublié ; d’autres fois, une application malveillante tente de se connecter avec des identifiants obsolètes, provoquant des verrouillages répétés. La bonne nouvelle ? La solution n’est pas si compliquée une fois qu’on sait où chercher. Cela peut paraître fastidieux si vous n’êtes pas familier avec le sujet, mais après avoir suivi ces étapes, vous maîtriserez parfaitement le déverrouillage des comptes et la modification des politiques susceptibles d’être à l’origine des verrouillages. Et oui, il est probablement judicieux de configurer des alertes ou des autorisations pour que ce problème ne devienne plus une corvée quotidienne.

Comment résoudre le problème des comptes utilisateurs verrouillés dans Active Directory

Stratégie de verrouillage des comptes dans Active Directory

Il est tout d’abord important de comprendre les causes de ces verrouillages. Par défaut, Active Directory verrouille les comptes après un certain nombre de tentatives de connexion infructueuses afin de prévenir les attaques par force brute. Généralement, cette stratégie se trouve dans la stratégie de domaine par défaut, sous Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de verrouillage de compte. Les trois principaux éléments à modifier sont :

  • Seuil de verrouillage du compte : nombre de tentatives infructueuses avant le verrouillage du compte. Généralement 10 tentatives, ce qui représente un bon compromis entre sécurité et facilité d’utilisation.
  • Durée de blocage du compte : durée pendant laquelle le compte reste bloqué. La valeur par défaut est généralement de 15 ou 30 minutes, mais vous pouvez la modifier en fonction de vos règles.
  • Réinitialiser le compteur de verrouillage de compte après : après combien de minutes les tentatives infructueuses sont remises à zéro. Idéal pour éviter les verrouillages accidentels dus à des erreurs de saisie de mot de passe répétées.

Cette configuration s’applique à la plupart des utilisateurs, sauf s’ils ont des politiques de mots de passe plus précises pour des groupes spécifiques — une option plutôt avancée, mais utile si certaines personnes ont besoin de règles différentes. Dans certaines configurations, cette politique par défaut de 10 tentatives offre un bon compromis : elle contribue à prévenir les attaques par force brute sans être trop contraignante pour les utilisateurs réguliers. Curieusement, Azure AD et Entra ID verrouillent également les comptes après 10 tentatives infructueuses, ce qui n’a rien d’étonnant.

Solution 1 : Déverrouiller un compte utilisateur via Utilisateurs et ordinateurs Active Directory (ADUC)

Si un utilisateur rencontre des difficultés de connexion, il est probable que son compte soit verrouillé dans Active Directory. Dans ce cas, les tentatives de connexion généreront un message du type : « Le compte référencé est actuellement verrouillé et ne peut être utilisé. » Sur certains ordinateurs, un avertissement s’affichera lors de la tentative de connexion, et les journaux d’événements pourront contenir des ID tels que 4740 (verrouillage de compte) ou 4625 (échec de connexion).

Pour débloquer l’accès sans consulter les journaux, vous pouvez ouvrir Utilisateurs et ordinateurs Active Directory (en exécutant dsa.mscla commande depuis Exécuter ou Invite de commandes), puis :

  • Trouvez l’utilisateur dans l’unité organisationnelle ou le conteneur où il se trouve.
  • Faites un clic droit et sélectionnez Propriétés.
  • Accédez à l’ onglet Compte. Si le compte est verrouillé, vous verrez un message du type : « Déverrouillez le compte. Ce compte est actuellement verrouillé sur ce contrôleur de domaine Active Directory
  • Cochez la case Déverrouiller le compte et cliquez sur OK.

L’utilisateur peut désormais se reconnecter. Sur une configuration, la connexion a été instantanée ; sur une autre, il a fallu quelques minutes pour que les stratégies soient appliquées – car, bien sûr, Windows complique parfois les choses inutilement. Notez que, normalement, seuls les administrateurs peuvent effectuer cette opération, mais vous pouvez déléguer les autorisations de déverrouillage si nécessaire.

Correctif 2 : Déléguer les autorisations de déverrouillage aux non-administrateurs

Vous pourriez souhaiter que le personnel du service d’assistance ou d’autres utilisateurs de confiance déverrouillent les comptes sans leur accorder de droits d’administrateur complets. Pour ce faire, dans Utilisateurs et ordinateurs Active Directory :

  • Cliquez avec le bouton droit sur l’unité organisationnelle contenant les utilisateurs et sélectionnez Déléguer le contrôle.
  • Choisissez le groupe d’utilisateurs ou le personnel de support (par exemple, nyHelpDesk).
  • Créer une tâche personnalisée —> Choisissez uniquement les objets Utilisateur.
  • Cochez la case en regard de « Écrire la durée de verrouillage ».
  • Terminé, et désormais les membres de ce groupe peuvent déverrouiller les comptes.

C’est beaucoup plus rapide que d’attendre qu’un administrateur le fasse, surtout si les verrouillages de compte sont fréquents. Et pour savoir qui déverrouille quoi, activez l’option « Auditer la gestion des comptes d’utilisateurs » dans la stratégie de groupe du contrôleur de domaine par défaut.

  • Accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d’audit > Stratégies d’audit > Gestion des comptes.
  • Activez la stratégie d’audit de la gestion des comptes utilisateurs.
  • Consultez le journal des événements pour l’ID d’événement 4767 (utilisateur déverrouillé).
  • Ou exécutez simplement ce PowerShell pour voir les déverrouillages récents : Get-WinEvent -FilterHashtable @{logname=’Security’;id=4767}|ft TimeCreated, Id, Message.

Conseil de pro : augmentez la taille du journal de l’Observateur d’événements pour conserver davantage de ces événements si les verrouillages se produisent fréquemment.

Solution 3 : Déverrouillage à l’aide de PowerShell

Si vous préférez PowerShell, ou si vous souhaitez simplement une méthode plus rapide, cette Unlock-ADAccountcmdlet est idéale. Elle fait partie du module Active Directory de Windows PowerShell ; assurez-vous donc qu’il est installé et importé.

Vérifiez d’abord si le compte de l’utilisateur est verrouillé :

Get-ADUser -Identity j.brion -Properties LockedOut, DisplayName | Select-Object samaccountName, displayName, LockedOut

Si le compte est verrouillé, déverrouillez-le avec :

Unlock-ADAccount j.brion

Vous voulez en savoir plus ? Vérifiez la date de leur dernière connexion ou de la dernière modification de leur mot de passe :

Get-ADUser j.brion -Properties Name, Lockedout, lastLogonTimestamp, lockoutTime, pwdLastSet | Select-Object Name, Lockedout, @{n='LastLogon';e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}}, @{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}, @{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}}

Et si vous souhaitez déverrouiller en masse tous les utilisateurs verrouillés, il vous suffit d’exécuter :

Search-ADAccount -UsersOnly -lockedout | Unlock-ADAccount

Cela permettra de débloquer instantanément tous les comptes verrouillés, ce qui peut s’avérer salvateur si vous êtes confronté à une situation très compliquée.

Conclure

Gérer les blocages de comptes n’est pas si compliqué une fois qu’on a compris où sont définies les politiques et comment débloquer les utilisateurs, manuellement ou par script. Parfois, les blocages sont dus à un mot de passe en cache persistant ou à une application défectueuse ; pensez donc à vérifier ces causes si le problème est récurrent. De plus, configurer la délégation et les alertes vous évitera bien des soucis par la suite. N’oubliez pas qu’une petite configuration maintenant peut vous faire gagner un temps précieux plus tard.

Résumé

  • Sachez où vos politiques de verrouillage de compte sont définies dans Active Directory.
  • Utilisez ADUC pour les déverrouillages manuels rapides — c’est simple.
  • La délégation des droits de déverrouillage permet aux équipes de support de rester agiles.
  • PowerShell peut automatiser et accélérer le processus.
  • Surveillez les journaux d’audit pour savoir qui déverrouille quoi.

J’espère que ça aidera.

Comment désinstaller les mises à jour Windows à l'aide de l'invite de commandes ou de PowerShell
Comment déverrouiller des fichiers ou des dossiers verrouillés par des processus système ou d'application