マシン アカウントのパスワードの自動変更を無効にする方法

  • [アーティクル]

この記事では、管理者がマシン アカウントのパスワードの自動変更を無効にする方法について説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 154501

概要

コンピューター アカウントのパスワードは、セキュリティ上の目的で定期的に変更されます。 既定では、Windows NT ベースのコンピューターでは、マシン アカウントのパスワードは 7 日ごとに自動的に変更されます。 Windows 2000 ベースのコンピューター以降、マシン アカウントのパスワードは 30 日ごとに自動的に変更されます。

警告

マシン アカウントのパスワードの変更を無効にすると、セキュリティ チャネルがパススルー認証に使用されるため、セキュリティ 上のリスクがあります。 誰かがパスワードを検出した場合、ドメイン コントローラーへのパススルー認証を実行できる可能性があります。

詳細

次のいずれかの理由で、既定の自動マシン アカウント パスワードの変更を無効にすることもできます。

  • レプリケーションの発生を減らす必要があります。 マシン アカウントのパスワードの自動変更の副作用として、多くのクライアント コンピューターとドメイン コントローラーを持つドメインによって、レプリケーションが頻繁に発生する可能性があります。 マシン アカウントのパスワードの自動変更を無効にして、レプリケーションの発生を減らすことができます。

  • デュアル ブート構成では、同じコンピューターに Windows NT または Windows 2000 が 2 つインストールされています。 この場合、Windows NT または Windows 2000 の 2 つのインストール間で同じコンピューター アカウントを共有する唯一の方法は、ドメインに参加するときに作成される既定のマシン アカウント パスワードを使用することです。

  • Windows NTまたは Windows 2000 のクリーンインストールを頻繁に行う場合は、ドメインでマシン アカウントを作成できるドメインの管理者が必要です。 問題が発生した場合は、コンピューター アカウントのパスワードを既定値のままにすることができます。

DisablePasswordChange レジストリ エントリを値 1 に設定することで、ワークステーションでマシン アカウントのパスワードの変更を無効にすることができます。 これを行うには、次の手順を実行します。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  1. レジストリ エディターを起動します。 これを行うには、[スタート] を選択し、[実行] を選択し、[開く] ボックスに「regedit」と入力し、[OK] を選択します

  2. 次のレジストリ サブキーを見つけて選択します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. 右側のウィンドウで、 DisablePasswordChange エントリを選択します。

  4. [編集] メニューの [修正] を選択します。

  5. [ 値データ ] ボックスに値 1 を入力し、[OK] を選択 します

  6. レジストリ エディターを終了します。

Windows NT バージョン 4.0 および Windows 2000、Windows Server 2003、Windows Server 2008、および Windows Server 2008 R2 では、すべてのワークステーションではなく、ドメイン内のすべてのドメイン コントローラーで RefusePasswordChange レジストリ エントリを値 1 に設定することで、マシン アカウントのパスワードの変更を無効にすることができます。 これを行うには、次の手順を実行します。

注:

Windows NT 4.0 ドメイン コントローラーでは、プライマリ ドメイン コントローラー (PDC) で変更を行う前に、ドメイン内のすべてのバックアップ ドメイン コントローラー (BDC) で、RefusePasswordChange レジストリ エントリの値を 1 に変更する必要があります。 この順序に従わないと、PDC のイベント ログにイベント ID 5722 が記録されます。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  1. レジストリ エディターを起動します。 これを行うには、[ スタート] を選択し、[ 実行] を選択し、[ 開く ] ボックスに「regedit」と入力し、[ OK] を選択します

  2. 次のレジストリ サブキーを見つけて選択します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. [ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。

  4. レジストリ エントリ名として「RefusePasswordChange」と入力し、 Enter キーを押します。

  5. [編集] メニューの [修正] を選択します。

  6. [ 値データ ] ボックスに値 1 を入力し、[OK] を選択 します

  7. レジストリ エディターを終了します。

注:

RefusePasswordChange レジストリ エントリにより、ドメイン コントローラーは、バージョン 4.0 以降を実行するワークステーションまたはメンバー サーバーからのみパスワード変更要求Windows NT拒否します。

RefusePasswordChange レジストリ エントリを 1 の値に設定した場合、ワークステーションまたはメンバー サーバーが最初にマシン アカウントのパスワードの変更を試みた後は、パスワードの変更を今後試行できなくなります (個別の状態コードを返すことによって)。 Windows NT 4.0 ベースのコンピューターでは、7 日間でコンピューター アカウントのパスワードの変更が再試行され、Windows 2000 ベースのコンピューターは 30 日間で再試行されます。 RefusePasswordChange レジストリ エントリを値 1 に設定すると、レプリケーション トラフィックは停止しますが、クライアント トラフィックは停止しません。 DisablePasswordChange レジストリ エントリの値を 1 に設定すると、クライアントとレプリケーションの両方のトラフィックが停止します。

マシン アカウントのパスワードの自動変更を無効にした場合は、同じコンピューター アカウントを使用する同じコンピューターに、Windows NTまたは Windows 2000 の 2 つ以上のインストールを設定できます。 この機能で使用できるもう 1 つの用途は、古いスナップショットまたはディスク イメージを取り戻し、マシンをドメインに再参加させないようにする仮想ゲストです。