Come disabilitare le modifiche automatiche della password dell'account computer

Questo articolo descrive come un amministratore può disabilitare le modifiche automatiche della password dell'account computer.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 154501

Riepilogo

Le password dell'account computer vengono modificate regolarmente per motivi di sicurezza. Per impostazione predefinita, nei computer basati su Windows NT la password dell'account computer cambia automaticamente ogni sette giorni. A partire dai computer basati su Windows 2000, la password dell'account computer cambia automaticamente ogni 30 giorni.

Avviso

Se si disabilitano le modifiche delle password dell'account computer, esistono rischi per la sicurezza perché il canale di sicurezza viene usato per l'autenticazione pass-through. Se qualcuno individua una password, può potenzialmente eseguire l'autenticazione pass-through al controller di dominio.

Ulteriori informazioni

È possibile disabilitare le modifiche automatiche predefinite della password dell'account computer per uno dei motivi seguenti:

  • Si vuole ridurre le occorrenze di replica. Come effetto collaterale delle modifiche automatiche della password dell'account computer, un dominio con molti computer client e controller di dominio può causare la replica su base frequente. È possibile disabilitare le modifiche automatiche della password dell'account computer per ridurre le occorrenze di replica.

  • Sono disponibili due installazioni separate di Windows NT o Windows 2000 nello stesso computer in una configurazione a doppio avvio. In questo caso, l'unico modo per condividere lo stesso account computer tra le due installazioni di Windows NT o Windows 2000 consiste nell'usare la password predefinita dell'account computer creata quando si aggiunge il dominio.

  • Se si esegue spesso un'installazione pulita di Windows NT o Windows 2000, è necessario disporre di un amministratore nel dominio in grado di creare l'account computer nel dominio. Se si tratta di un problema, è possibile lasciare la password dell'account computer come predefinita.

È possibile disabilitare le modifiche della password dell'account computer in una workstation impostando la voce del Registro di sistema DisablePasswordChange su un valore pari a 1. A tale scopo, procedere come segue.

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.

  1. Avviare l'editor del Registro di sistema. A tale scopo, selezionare Avvia, selezionare Esegui, digitare regedit nella casella Apri e quindi selezionare OK.

  2. Individuare e selezionare la sottochiave seguente del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Nel riquadro destro selezionare la voce DisablePasswordChange .

  4. Dal menu Modifica, selezionare Modifica.

  5. Nella casella Dati valore digitare un valore pari a 1 e quindi selezionare OK.

  6. Chiudere l'editor del Registro di sistema.

In Windows NT versione 4.0 e Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 è possibile disabilitare la modifica della password dell'account computer impostando la voce del Registro di sistema RefusePasswordChange su un valore pari a 1 in tutti i controller di dominio del dominio anziché in tutte le workstation. A tale scopo, procedere come segue.

Nota

Nei controller di dominio Windows NT 4.0, è necessario modificare la voce del Registro di sistema RefusePasswordChange impostando il valore 1 su tutti i controller di dominio di backup (BDC) nel dominio prima di apportare la modifica nel controller di dominio primario . Se non si segue questo ordine, l'ID evento 5722 verrà registrato nel registro eventi del controller di dominio primario.

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.

  1. Avviare l'editor del Registro di sistema A tale scopo, selezionare Avvia, selezionare Esegui, digitare regedit nella casella Apri e quindi selezionare OK.

  2. Individuare e selezionare la sottochiave seguente del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Scegliere Nuovo dal menu Modifica, quindi selezionare Valore DWORD.

  4. Digitare RefusePasswordChange come nome della voce del Registro di sistema e quindi premere INVIO.

  5. Dal menu Modifica, selezionare Modifica.

  6. Nella casella Dati valore digitare un valore pari a 1 e quindi selezionare OK.

  7. Chiudere l'editor del Registro di sistema.

Nota

La voce del Registro di sistema RefusePasswordChange fa sì che il controller di dominio rifiuti le richieste di modifica della password solo dalle workstation o dai server membri che eseguono Windows NT versione 4.0 o successiva.

Se si imposta la voce del Registro di sistema RefusePasswordChange su un valore pari a 1, dopo che la workstation o il server membro tenta per la prima volta di modificare la password dell'account computer, i tentativi futuri di modificare la password vengono impediti (restituendo un codice di stato distinto). Un computer basato su Windows NT 4.0 tenterà di modificare nuovamente la password dell'account computer in sette giorni e un computer basato su Windows 2000 proverà di nuovo tra 30 giorni. Se si imposta la voce del Registro di sistema RefusePasswordChange su un valore pari a 1, il traffico di replica verrà interrotto, ma non il traffico client. Se si imposta la voce del Registro di sistema DisablePasswordChange su un valore pari a 1, il traffico client e di replica verrà interrotto.

Se si disabilitano le modifiche automatiche della password dell'account computer, è possibile configurare due (o più) installazioni di Windows NT o Windows 2000 nello stesso computer che usano lo stesso account computer. Un altro possibile uso per questa funzionalità sono gli utenti guest virtuali in cui si riportano snapshot o immagini del disco meno recenti e si vuole evitare di dover ricongiungere il computer a un dominio.