Перейти к основному содержанию

Максимальный срок жизни пароля учётной записи контроллера домена

Windows Server

Любая учётная запись компьютера в домене содержит атрибут с паролем, и автоматически обновляет его по инициативе локального компьютера. Периодичность смены пароля определяется ключами реестра:

  • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
  • HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

Первое значение отключает автоматическую смену пароля, второе значение устанавливает срок действия пароля в днях.

win

У меня в примере, судя по данным реестра, срок жизни пароля на контроллере домена 90 дней.

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852252(v=ws.11)

По умолчанию у компьютеров домена срок жизни пароля 30 дней, что не скажешь о самих контроллерах домена. Для них эта политика не определена.

Усиливаем безопасность, устанавливаем максимальный срок жизни пароля учётной записи контроллера домена с помощью групповых политик. Настраивается это в параметрах:

  • Domain member: Disable machine account password changes
  • Domain member: Maximum machine account password age

Их можно обнаружить в локации:

GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Редактирую политику Default Domain Controller Policy.

Default Domain Controller Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Устанавливаю 30 дней.

  • Domain member: Maximum machine account password age = 30

ad

ad

ad

Default Domain Controller Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Устанавливаю Disabled.

  • Domain member: Disable machine account password changes = 0

ad

ad

ad

Дожидаюсь применения политики на контроллере домена.

ad

Срок жизни пароля на всех контроллера домена 30 дней.

Примечания

Простой способ протестировать процесс смены пароля на сервере:

netdom resetpwd /server:<контроллер_домена>
                /userD:<домен>\<администратор_домена> 
                /passwordD:<пароль_администратора_домена>
netdom resetpwd /server:DC01 /userd:mydomain\administrator /passwordd:P@ssw0rd

Или:

nltest.exe /sc_change_pwd:mydomain.corp

Теги

 

Похожие материалы

Ошибка при установке Secret Net 7 — не удаётся записать значение в раздел

При установке Secret Net 7 иногда может возникнуть ошибка вида "Не удаётся записать значение в раздел". Дальше идёт указание ветки реестра и значения, которое не удаётся записать. Ошибка наблюдалась на Windows 7 x64 (и x86), а также на Windows Server 2012 R2. Инсталлятор Secret Net 7 запускался от имени администратора. Изменение прав доступа к веткам реестра не помогло решению проблемы.

0-day уязвимость в Windows 10 — одна команда выводит из строя файловую систему NTFS

Опасный и легко эксплуатируемый баг присутствует в операционной системе Windows 10 начиная с версии 1803.

Теги