Перейти к основному содержанию

Максимальный срок жизни пароля учётной записи контроллера домена

Windows Server

Любая учётная запись компьютера в домене содержит атрибут с паролем, и автоматически обновляет его по инициативе локального компьютера. Периодичность смены пароля определяется ключами реестра:

  • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
  • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

Первое значение отключает автоматическую смену пароля, второе значение устанавливает срок действия пароля в днях.

win

У меня в примере, судя по данным реестра, срок жизни пароля на контроллере домена 90 дней.

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852252(v=ws.11)

По умолчанию у компьютеров домена срок жизни пароля 30 дней, что не скажешь о самих контроллерах домена. Для них эта политика не определена.

Усиливаем безопасность, устанавливаем максимальный срок жизни пароля учётной записи контроллера домена с помощью групповых политик. Настраивается это в параметрах:

  • Domain member: Disable machine account password changes
  • Domain member: Maximum machine account password age

Их можно обнаружить в локации:

GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Редактирую политику Default Domain Controller Policy.

Default Domain Controller Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Устанавливаю 30 дней.

  • Domain member: Maximum machine account password age = 30

ad

ad

ad

Default Domain Controller Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Устанавливаю Disabled.

  • Domain member: Disable machine account password changes = 0

ad

ad

ad

Дожидаюсь применения политики на контроллере домена.

ad

Срок жизни пароля на всех контроллера домена 30 дней.

Примечания

Простой способ протестировать процесс смены пароля на сервере:

netdom resetpwd /server:<контроллер_домена>
                /userD:<домен>\<администратор_домена> 
                /passwordD:<пароль_администратора_домена>
netdom resetpwd /server:DC01 /userd:mydomain\administrator /passwordd:P@ssw0rd

Или:

nltest.exe /sc_change_pwd:mydomain.corp

Теги

 

Похожие материалы

Уязвимость SigRed в DNS сервере Windows

В DNS сервере Windows обнаружена критическая уязвимость семнадцатилетней давности. Уязвимость получила 10 баллов из 10 возможных по шкале CVSSv3, это плохо, так как эксплуатация уязвимости не требует особого ума. Патчи уже есть, так что не откладываем обновление.

Теги