Vous essayez d’ajouter un ordinateur à un domaine Active Directory (AD) et vous rencontrez cette erreur ? C’est effectivement embêtant, mais ce problème est lié à des mises à jour de sécurité déployées en octobre 2022. En résumé, Microsoft a renforcé les protections afin d’empêcher la réutilisation intempestive d’anciens comptes d’ordinateur, ce qui permet de corriger des vulnérabilités critiques comme CVE-2022-38042. Si vous rencontrez ce problème, il est possible que le domaine refuse tout simplement de gérer les comptes existants. Parfois, les journaux peuvent afficher des messages tels que : « NetpManageMachineAccountWithSid : Le compte d’ordinateur existe déjà dans Active Directory. La réutilisation du compte a été bloquée par la stratégie de sécurité », ce qui est un signe révélateur. De plus, les ID d’événement 4100 et 4101 dans votre journal système indiqueront un problème similaire. En bref, Windows fait tout son possible pour empêcher la réutilisation d’anciens comptes, sauf indication contraire de votre part.
La solution rapide consiste à renommer la machine ou à accéder à Active Directory et à supprimer le compte existant associé à ce nom d’hôte. C’est la méthode la plus simple pour repartir de zéro et intégrer le domaine. En revanche, si certains utilisateurs (non administrateurs) doivent réutiliser des comptes existants, il faudra modifier les paramètres de stratégie de groupe (GPO).Voici l’essentiel :
Comment résoudre l’erreur d’association de domaine « Réutilisation du compte bloquée » sous Windows
Méthode 1 : Renommer l’ordinateur ou supprimer l’ancien compte
- Ouvrez les propriétés système (clic droit sur Ce PC > Propriétés > Paramètres système avancés ).
- Changez le nom de l’ordinateur — quelque chose de simple, facile à retenir et unique.
- Sur votre contrôleur de domaine, ouvrez Utilisateurs et ordinateurs Active Directory (via Gestionnaire de serveur ou exécutez
dsa.msc). - Accédez au conteneur Ordinateurs, trouvez l’ancien nom d’hôte et supprimez l’objet ordinateur.
- Essayez maintenant de rejoindre le domaine à nouveau. En général, cela fonctionne car le conflit est résolu !
C’est une solution de contournement assez simple, surtout si le compte existant est obsolète ou orphelin. N’oubliez pas cependant que vous devez disposer des autorisations nécessaires sur Active Directory pour supprimer cet objet ordinateur.
Méthode 2 : Autoriser certains utilisateurs à réutiliser des comptes d’ordinateur via une stratégie de groupe
- Commencez par créer un nouveau groupe de sécurité dans Active Directory, par exemple « HQ_Allow_Domain_Join ».Ajoutez-y les utilisateurs de confiance autorisés à réutiliser les comptes (comme certains techniciens du support ou des administrateurs juniors).Car, bien sûr, Windows se doit de compliquer les choses.
- Ouvrez la console de gestion des stratégies de groupe (
gpmc.msc), créez un nouvel objet de stratégie de groupe (GPO) et liez-le à l’ unité d’organisation (UO) des contrôleurs de domaine. - Dans la GPO, accédez à Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité.
- Recherchez et activez le contrôleur de domaine : autoriser la réutilisation du compte d’ordinateur lors de l’intégration au domaine.
- Dans la section « Modifier la sécurité », ajoutez votre groupe HQ_Allow_Domain_Join avec les autorisations nécessaires pour joindre des ordinateurs. Restez vigilant : n’autorisez pas un accès illimité.
- Exécutez la commande
gpupdate /forcesur vos contrôleurs de domaine pour appliquer immédiatement la stratégie. Sur certaines configurations, la propagation des modifications peut prendre un certain temps ; patientez quelques minutes ou redémarrez le contrôleur de domaine. - Vérifiez le registre sur le DC (
HKLM\SYSTEM\CurrentControlSet\Control\Lsa) pour l’ entrée computeraccountreuseallowlist, qui devrait maintenant répertorier le SDDL de votre groupe.
Si, après cela, la désactivation persiste et que les journaux continuent de signaler des problèmes, vous devrez peut-être vérifier que votre utilisateur dispose des autorisations de connexion à distance à la base de données SAM ou consulter la politique de sécurité Accès réseau : Restreindre les clients autorisés à effectuer des appels à distance vers SAM.
Ah oui, et il y avait une petite modification du registre reg add HKLM\System\CurrentControlSet\Control\Lsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f— mais la prise en charge de cette fonction a été supprimée lors des dernières mises à jour, alors ne perdez plus votre temps avec ça.
Voilà, c’est tout. En résumé, Windows fait tout son possible pour empêcher la réutilisation d’un ancien compte pour des raisons de sécurité. Renommer ou supprimer l’ancien compte, ou configurer vos groupes d’utilisateurs et vos GPO, sont les éléments déclencheurs.
D’un côté, c’est un peu agaçant, mais honnêtement, ça protège probablement votre réseau contre des attaques malveillantes. Néanmoins, comprendre exactement comment fonctionnent ces protections est un vrai casse-tête, surtout quand elles génèrent des journaux confus et des erreurs obscures. Espérons que ce guide aidera certains à surmonter l’obstacle du « compte déjà existant » sans s’arracher les cheveux.
Résumé
- Renommez votre PC ou supprimez l’ancien compte AD s’il s’agit simplement d’un problème de doublon.
- Configurez un groupe de sécurité avec des utilisateurs autorisés à réutiliser les comptes via une stratégie de groupe (GPO).
- Exécutez cette commande gpupdate /forcesur vos contrôleurs de domaine après avoir effectué les modifications.
- Consultez vos
NetSetup. LOGjournaux d’activité pour y trouver des indices.
Conclure
Pour contourner cette erreur, il faut comprendre que les mises à jour récentes ajoutent une couche de sécurité ; par conséquent, réutiliser d’anciens comptes n’est pas toujours simple. Cependant, avec quelques ajustements d’autorisations et un peu de patience, c’est faisable. Espérons que cela permette à certains de gagner du temps et d’éviter bien des tracas. En tout cas, c’est ce qui a fonctionné pour nous sur certains appareils.