Любая учётная запись компьютера в домене содержит атрибут с паролем, и автоматически обновляет его по инициативе локального компьютера. Периодичность смены пароля определяется ключами реестра:
- HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
- HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Первое значение отключает автоматическую смену пароля, второе значение устанавливает срок действия пароля в днях.
У меня в примере, судя по данным реестра, срок жизни пароля на контроллере домена 90 дней.
По умолчанию у компьютеров домена срок жизни пароля 30 дней, что не скажешь о самих контроллерах домена. Для них эта политика не определена.
Усиливаем безопасность, устанавливаем максимальный срок жизни пароля учётной записи контроллера домена с помощью групповых политик. Настраивается это в параметрах:
- Domain member: Disable machine account password changes
- Domain member: Maximum machine account password age
Их можно обнаружить в локации:
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Редактирую политику Default Domain Controller Policy.
Default Domain Controller Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Устанавливаю 30 дней.
- Domain member: Maximum machine account password age = 30
Default Domain Controller Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Устанавливаю Disabled.
- Domain member: Disable machine account password changes = 0
Дожидаюсь применения политики на контроллере домена.
Срок жизни пароля на всех контроллера домена 30 дней.
Примечания
Простой способ протестировать процесс смены пароля на сервере:
netdom resetpwd /server:<контроллер_домена>
/userD:<домен>\<администратор_домена>
/passwordD:<пароль_администратора_домена>
netdom resetpwd /server:DC01 /userd:mydomain\administrator /passwordd:P@ssw0rd
Или:
nltest.exe /sc_change_pwd:mydomain.corp
