Cómo deshabilitar los cambios automáticos de contraseña de la cuenta de equipo

En este artículo se describe cómo un administrador puede deshabilitar los cambios automáticos de contraseña de la cuenta de equipo.

Se aplica a: Windows 10: todas las ediciones, Windows Server 2012 R2
Número de KB original: 154501

Resumen

Las contraseñas de la cuenta de máquina se cambian periódicamente por motivos de seguridad. De forma predeterminada, en los equipos basados en Windows NT, la contraseña de la cuenta de equipo cambia automáticamente cada siete días. A partir de los equipos basados en Windows 2000, la contraseña de la cuenta de equipo cambia automáticamente cada 30 días.

Advertencia

Si deshabilita los cambios de contraseña de la cuenta de equipo, hay riesgos de seguridad porque el canal de seguridad se usa para la autenticación de paso a través. Si alguien detecta una contraseña, puede realizar la autenticación de paso a través en el controlador de dominio.

Más información

Es posible que desee deshabilitar los cambios de contraseña predeterminados de la cuenta automática de máquina por cualquiera de los siguientes motivos:

  • Quiere reducir las repeticiones de replicación. Como efecto secundario de los cambios automáticos en la contraseña de la cuenta de máquina, un dominio con muchos equipos cliente y controladores de dominio puede hacer que la replicación se produzca con frecuencia. Puede deshabilitar los cambios automáticos de contraseña de la cuenta de equipo para reducir las repeticiones de replicación.

  • Tiene dos instalaciones independientes de Windows NT o Windows 2000 en el mismo equipo en una configuración de arranque dual. En este caso, la única manera de compartir la misma cuenta de equipo entre las dos instalaciones de Windows NT o Windows 2000 es usar la contraseña de cuenta de equipo predeterminada que se crea al unirse al dominio.

  • Si con frecuencia realiza una instalación limpia de Windows NT o Windows 2000, debe tener un administrador en el dominio que pueda crear la cuenta de equipo en el dominio. Si se trata de un problema, puede dejar la contraseña de la cuenta de equipo como valor predeterminado.

Puede deshabilitar los cambios de contraseña de la cuenta de equipo en una estación de trabajo estableciendo la entrada del Registro DisablePasswordChange en un valor de 1. Para hacerlo, siga estos pasos:

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

  1. Inicie el Editor del Registro. Para ello, seleccione Inicio, Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, seleccione Aceptar.

  2. Busque la siguiente subclave del Registro y selecciónela: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. En el panel derecho, seleccione la entrada DisablePasswordChange .

  4. En el menú Edición, seleccione Modificar.

  5. En el cuadro Datos de valor , escriba un valor de 1 y, a continuación, seleccione Aceptar.

  6. Salga del editor del Registro.

En windows NT versión 4.0 y Windows 2000, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2, puede deshabilitar el cambio de contraseña de la cuenta de equipo estableciendo la entrada del Registro RefusePasswordChange en un valor de 1 en todos los controladores de dominio del dominio en lugar de en todas las estaciones de trabajo. Para hacerlo, siga estos pasos:

Nota:

En los controladores de dominio de Windows NT 4.0, debe cambiar la entrada del Registro RefusePasswordChange a un valor de 1 en todos los controladores de dominio de copia de seguridad (BDC) del dominio antes de realizar el cambio en el controlador de dominio principal (PDC). Si no se sigue este orden, se registrará el identificador de evento 5722 en el registro de eventos del PDC.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, consulte Copia de seguridad y restauración del Registro en Windows.

  1. Inicie el Editor del Registro. Para ello, seleccione Inicio, Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, seleccione Aceptar.

  2. Busque la siguiente subclave del Registro y selecciónela: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.

  4. Escriba RefusePasswordChange como nombre de la entrada del Registro y, a continuación, presione ENTRAR.

  5. En el menú Edición, seleccione Modificar.

  6. En el cuadro Datos de valor , escriba un valor de 1 y, a continuación, seleccione Aceptar.

  7. Salga del editor del Registro.

Nota:

La entrada del Registro RefusePasswordChange hace que el controlador de dominio rechace las solicitudes de cambio de contraseña solo desde estaciones de trabajo o servidores miembros que ejecutan Windows NT versión 4.0 o posterior.

Si establece la entrada del Registro RefusePasswordChange en un valor de 1, después de que la estación de trabajo o el servidor miembro intenten cambiar por primera vez su contraseña de cuenta de equipo, se impedirán los intentos futuros de cambiar la contraseña (devolviendo un código de estado distinto). Un equipo basado en Windows NT 4.0 intentará cambiar la contraseña de su cuenta de equipo de nuevo en siete días y un equipo basado en Windows 2000 lo intentará de nuevo en 30 días. Si establece la entrada del Registro RefusePasswordChange en un valor de 1, el tráfico de replicación se detendrá, pero no el tráfico del cliente. Si establece la entrada del Registro DisablePasswordChange en un valor de 1, se detendrá el tráfico de cliente y replicación.

Si deshabilita los cambios automáticos de contraseña de la cuenta de equipo, puede configurar dos (o más) instalaciones de Windows NT o Windows 2000 en el mismo equipo que usan la misma cuenta de equipo. Otro uso posible para esta instalación son los invitados virtuales en los que se devuelven instantáneas o imágenes de disco más antiguas y se quiere evitar tener que volver a unir la máquina a un dominio.