Vous pouvez généralement savoir quand un compte AD est verrouillé, car il vous l’indiquera à côté de la case à cocher pour « Déverrouiller » ledit compte.
Cependant, je voulais savoir ce qui se passe si quelqu’un déverrouille un compte d’utilisateur, et que le compte n’est pas verrouillé. Y a-t-il des conséquences ou cela ne fait rien ? La raison pour laquelle je pose cette question est que quelqu’un avec plus de pouvoir que moi dans mon organisation a écrit un guide qui dit de toujours vérifier que la case de déverrouillage est cochée lorsqu’on réinitialise le mot de passe d’un utilisateur.
Sur les DC de niveau inférieur (2000 et 2003), la case à cocher « Déverrouiller le compte » était désactivée si le compte n’était pas verrouillé, puisque si le compte n’est pas verrouillé, la case est sans objet. Mais depuis Server 2008 et ultérieur, la case est toujours activée, et vous pouvez la cocher même si le compte n’est pas verrouillé. Dans ce cas, la cocher ne fait rien de mal et n’a aucun effet négatif.
Donc la recommandation de toujours cocher cette case lors de la réinitialisation d’un mot de passe est inoffensive mais inutile si le compte n’est pas réellement verrouillé. C’est une précaution « au cas où ». Si le compte est verrouillé, cela le déverrouillera, ce qui est probablement ce que vous voulez faire de toute façon si vous réinitialisez le mot de passe de quelqu’un. Si le compte n’est pas verrouillé, cela ne fait rien du tout.
En fait, sur Server 2008+, le dernier attribut lockoutTime est réinitialisé à 0 lorsque vous cochez cette case. Si le compte n’est pas verrouillé et que le lockoutTime est déjà à 0, alors le définir à 0 est effectivement un non-opération. Aucun mal n’est fait.
Donc, le conseil de votre collègue est prudent mais pas incorrect. C’est une bonne habitude surtout parce que parfois il n’est pas évident si le compte est verrouillé ou non, et cocher la case élimine un problème potentiel.