À quoi sert le «déverrouillage» d'un compte AD non verrouillé?

Vous pouvez généralement savoir quand un compte AD est verrouillé, car il vous indiquera à côté de la case à cocher «Déverrouiller» ledit compte.

Cependant, je voulais savoir s'il y avait une raison pour laquelle je cocherais cette case lorsque le compte n'est pas verrouillé? Si oui, que fait le "déverrouillage" de ce compte?

Sur les contrôleurs de domaine de niveau inférieur (2000 et 2003), la case à cocher "Déverrouiller le compte" était auparavant désactivée si le compte n'était pas verrouillé, car si le compte n'était pas verrouillé, il n'y aurait aucune raison de la sélectionner.

Mais à Longhorn, les contrôleurs de domaine en lecture seule ont été introduits. La case à cocher "Déverrouiller le compte" est donc désormais activée, que le compte soit réellement verrouillé ou non. (À moins que l'utilisateur qui affiche la boîte de dialogue ne dispose pas des autorisations pour écrire dans l'attribut lockoutTime du compte. La case à cocher serait alors désactivée.)

[ Plus d'infos ]

La réinitialisation de lockoutTime à 0 déverrouille un compte. C'est vraiment juste écrire dans un attribut sur le compte utilisateur, c'est tout ce que fait la case à cocher.

La définition de lockoutTime à 0 déclenche à son tour une réplication urgente et réinitialise également badPwdCount à 0.

Si le lockoutTime de l'utilisateur est déjà 0, le définir sur 0 réinitialise badPwdCount à 0 et si badPwdCount était déjà 0, cela n'a aucun effet.