Certains mots de passe utilisateur ne sont pas synchronisés

Si la synchronisation des mots de passe ne synchronise pas certains mots de passe, procédez comme suit pour résoudre le problème.

Étape 1 : Vérifiez que Password Sync est correctement installé

Vérifiez que vous avez correctement installé Password Sync sur tous les serveurs Microsoft Active Directory (AD) (contrôleurs de domaine) accessibles en écriture de votre domaine :

  1. Vérifiez sur quels contrôleurs de domaine Password Sync est installé à l'aide de l'outil d'assistance Password Sync. Suivez la procédure décrite dans Option 1 : Dépannage automatique.

  2. Pour obtenir la liste des contrôleurs de domaine accessibles en écriture, ouvrez une invite de commande, puis saisissez la commande suivante :

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    Si vous ne savez pas quels contrôleurs de domaine sont accessibles en écriture, installez la synchronisation des mots de passe sur tous vos contrôleurs de domaine. Cette opération ne pose aucun problème.

  3. Examinez le rapport généré et vérifiez que le dossier de chaque contrôleur de domaine contient un fichier service_*.txt indiquant que le service est en cours d'exécution.

    Dans le dossier, deux fichiers indiquent que le service est indisponible et un fichier confirme qu'il est en cours d'exécution.

  4. Essayez de modifier un mot de passe et vérifiez que l'outil se synchronise comme prévu. Si le problème persiste, passez à l'étape suivante.

Étape 2 : Vérifiez les droits de l'utilisateur

Les utilisateurs ne peuvent pas modifier les mots de passe des utilisateurs disposant de droits plus élevés. Par exemple, un administrateur standard ne peut pas modifier le mot de passe d'un super-administrateur. Pour en savoir plus sur les rôles, consultez Attribuer des rôles d'administrateur spécifiques.

  1. Vérifiez que les droits d'administrateur du compte Google de l'utilisateur concerné par le problème ne sont pas supérieurs à ceux de l'administrateur qui a configuré la synchronisation des mots de passe.
  2. Essayez de modifier un mot de passe et vérifiez que l'outil se synchronise comme prévu. Si le problème persiste, passez à l'étape suivante.

Étape 3 : Vérifiez les adresses e-mail

  1. Dans la synchronisation des mots de passe, vérifiez que vous avez ajouté les adresses e-mail de vos utilisateurs dans le champ Mail Attribute (Attribut de messagerie) prévu à cet effet. Les adresses doivent correspondre exactement aux adresses e-mail principales Google, domaine compris. Pour en savoir plus, consultez Configurer les paramètres Active Directory.
  2. Essayez de modifier un mot de passe et vérifiez que l'outil se synchronise comme prévu. Si le problème persiste, passez à l'étape suivante.

Étape 4 : Vérifiez que le mot de passe est valide

Lorsque la présence de caractères non autorisés empêche la synchronisation d'un mot de passe, l'avertissement suivant s'affiche dans le journal des événements de l'application Windows :

Le nouveau mot de passe contient des caractères non autorisés. Le mot de passe ne peut pas être mis à jour dans le compte Google et ne sera plus synchronisé avec AD.

  1. Recherchez le mot de passe et modifiez-le pour qu'il respecte les consignes. Pour en savoir plus, consultez Créer un mot de passe sécurisé pour un compte plus sûr.
  2. Vérifiez que l'outil se synchronise comme prévu. Si le problème persiste, consultez la section J'ai encore besoin d'aide (section suivante sur cette page).

J'ai encore besoin d'aide.

Si vous ne parvenez pas à résoudre le problème en suivant les étapes précédentes, essayez les suivantes.

Étape 1 : Recherchez un exemple

  1. Recherchez un exemple de modification de mot de passe dans AD qui n'a pas été synchronisée avec Google.
  2. Assurez-vous que l'utilisateur n'a pas modifié son mot de passe AD depuis la première modification.
  3. Notez l'heure exacte à laquelle le mot de passe a été modifié dans AD, ainsi que le nom et l'adresse e-mail de l'utilisateur.

Étape 2 : Validez le changement de mot de passe

Vérifiez que le code temporel de l'attribut correspond à l'heure à laquelle l'utilisateur a modifié son mot de passe.

  1. Utilisez des outils d'administration AD, tels que ADSIEdit ou LDIFDE, pour rechercher et copier l'attribut pwdLastSet de l'utilisateur. La valeur de l'attribut correspond au nombre d'intervalles de 100 nanosecondes depuis le 1er janvier 1601 (UTC). Pour en savoir plus sur cet attribut, consultez Attribut Pwd-Last-Set.
  2. Accédez à Google Admin Toolbox Encode/Decode.
  3. Sélectionnez Décodage pwdLastSet/FILETIME.
  4. Dans le champ Collez le texte que vous souhaitez encoder/décoder ci-dessous, collez l'attribut numérique d'AD, puis cliquez sur Envoyer.

    La boîte à outils affiche la valeur temporelle décodée dans votre fuseau horaire local et en UTC.

  5. Si le code temporel ne correspond pas à l'heure à laquelle le mot de passe de l'utilisateur a été modifié, cela signifie qu'AD n'a pas traité le changement de mot de passe. Résolvez les problèmes de mot de passe dans AD, puis réessayez.

Étape 3 : Identifiez le problème

  1. Dans la console d'administration Google, accédez à Menu  puis Création de rapports puisAudit et enquête puisÉvénements du journal d'administration.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Recherchez des événements de modification de mot de passe pour l'utilisateur afin de vérifier si un mot de passe a été modifié dans les 1 à 2 minutes suivant le code temporel de l'attribut pwdLastSet. N'oubliez pas de prendre en compte les différences de fuseau horaire. Pour en savoir plus sur les événements de journaux, consultez Événements du journal d'administration.
  3. Si vous vérifiez un événement de modification de mot de passe dans les événements de journaux au bon moment, vérifiez les points suivants :
    1. Vérifiez que l'administrateur qui a modifié le mot de passe est bien celui qui a autorisé la synchronisation des mots de passe dans les journaux. S'il s'agit bien du même administrateur, la synchronisation des mots de passe fonctionne comme prévu.
    2. Vérifiez si d'autres sources ont modifié le mot de passe de l'utilisateur Google après sa synchronisation (ce qui a entraîné sa désynchronisation avec AD). Résolvez le problème avant de réessayer.

Étape 4 : Créez un rapport de l'outil d'assistance Password Sync

Pour créer le rapport, vous devez collecter les journaux et les informations Password Sync de tous les contrôleurs de domaine accessibles en écriture dans un seul dossier. Pour ce faire, suivez la procédure décrite dans Option 1 : Dépannage automatique.

Étape 5 : Recherchez le contrôleur de domaine responsable du changement de mot de passe

  1. Ouvrez une invite de commande et exécutez la commande cd pour accéder au répertoire dans lequel vous avez créé le rapport à l'étape précédente.

    Exemple : cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. Pour rechercher le nom d'utilisateur dans AD, exécutez la commande findstr.

    Pour en savoir plus, consultez Exemples : Utilisation de la commande finstr (plus loin sur cette page).

  3. Si vous trouvez plusieurs fichiers journaux contenant le nom d'utilisateur, sélectionnez celui dont le code temporel correspond à l'heure indiquée dans l'attribut pwdLastSet. N'oubliez pas de prendre en compte les différences de fuseau horaire.
  4. Dans le journal, vérifiez les lignes qui mentionnent le nom d'utilisateur pour trouver un message ou un code d'erreur associé.

    Pour obtenir de l'aide supplémentaire concernant les erreurs, consultez Codes et messages d'erreur Password Sync.

  5. Si le nom d'utilisateur ne s'affiche pas, vérifiez que vous avez installé la synchronisation des mots de passe sur tous les contrôleurs de domaine accessibles en écriture. Pour en savoir plus, consultez Vérifier que Password Sync est correctement installé (plus haut sur cette page).

  6. Si le problème persiste, contactez l'assistance Google Workspace. Fournissez les informations suivantes :
    • Fichier ZIP du rapport de l'outil d'assistance Password Sync
    • Adresse e-mail de l'utilisateur et heure à laquelle son mot de passe a été modifié
    • Fichier de vidage LDIF (LDAP Data Interchange Format) de l'utilisateur

    Pour savoir comment contacter l'assistance, consultez Contacter l'assistance Google Workspace.

Exemples : Utilisation de la commande findstr

Exemple 1 : La commande suivante recherche les fichiers journaux dans le répertoire actuel et ses sous-répertoires contenant le nom d'utilisateur (la casse n'a pas d'importance). Dans la fenêtre d'invite de commande, vous pouvez consulter le nom des fichiers journaux correspondants.

findstr /S /I /M /C:"username" *.log

Exemple 2 : La commande suivante recherche les fichiers journaux dans le répertoire actuel et ses sous-répertoires contenant le nom d'utilisateur (la casse n'a pas d'importance). Dans la fenêtre d'invite de commande, vous pouvez consulter le nom des fichiers journaux correspondants et le numéro de ligne contenant le nom d'utilisateur.

findstr /S /I /N /C:"username" *.log


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.