マシン アカウントのパスワードの自動変更を無効にする方法
この記事では、管理者がマシン アカウントのパスワードの自動変更を無効にする方法について説明します。
適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 154501
概要
コンピューター アカウントのパスワードは、セキュリティ上の目的で定期的に変更されます。 既定では、Windows NT ベースのコンピューターでは、マシン アカウントのパスワードは 7 日ごとに自動的に変更されます。 Windows 2000 ベースのコンピューター以降、マシン アカウントのパスワードは 30 日ごとに自動的に変更されます。
警告
マシン アカウントのパスワードの変更を無効にすると、セキュリティ チャネルがパススルー認証に使用されるため、セキュリティ 上のリスクがあります。 誰かがパスワードを検出した場合、ドメイン コントローラーへのパススルー認証を実行できる可能性があります。
詳細
次のいずれかの理由で、既定の自動マシン アカウント パスワードの変更を無効にすることもできます。
レプリケーションの発生を減らす必要があります。 マシン アカウントのパスワードの自動変更の副作用として、多くのクライアント コンピューターとドメイン コントローラーを持つドメインによって、レプリケーションが頻繁に発生する可能性があります。 マシン アカウントのパスワードの自動変更を無効にして、レプリケーションの発生を減らすことができます。
デュアル ブート構成では、同じコンピューターに Windows NT または Windows 2000 が 2 つインストールされています。 この場合、Windows NT または Windows 2000 の 2 つのインストール間で同じコンピューター アカウントを共有する唯一の方法は、ドメインに参加するときに作成される既定のマシン アカウント パスワードを使用することです。
Windows NTまたは Windows 2000 のクリーンインストールを頻繁に行う場合は、ドメインでマシン アカウントを作成できるドメインの管理者が必要です。 問題が発生した場合は、コンピューター アカウントのパスワードを既定値のままにすることができます。
DisablePasswordChange レジストリ エントリを値 1 に設定することで、ワークステーションでマシン アカウントのパスワードの変更を無効にすることができます。 これを行うには、次の手順を実行します。
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法」を参照してください。
レジストリ エディターを起動します。 これを行うには、[スタート] を選択し、[実行] を選択し、[開く] ボックスに「regedit」と入力し、[OK] を選択します。
次のレジストリ サブキーを見つけて選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
右側のウィンドウで、 DisablePasswordChange エントリを選択します。
[編集] メニューの [修正] を選択します。
[ 値データ ] ボックスに値 1 を入力し、[OK] を選択 します。
レジストリ エディターを終了します。
Windows NT バージョン 4.0 および Windows 2000、Windows Server 2003、Windows Server 2008、および Windows Server 2008 R2 では、すべてのワークステーションではなく、ドメイン内のすべてのドメイン コントローラーで RefusePasswordChange レジストリ エントリを値 1 に設定することで、マシン アカウントのパスワードの変更を無効にすることができます。 これを行うには、次の手順を実行します。
注:
Windows NT 4.0 ドメイン コントローラーでは、プライマリ ドメイン コントローラー (PDC) で変更を行う前に、ドメイン内のすべてのバックアップ ドメイン コントローラー (BDC) で、RefusePasswordChange レジストリ エントリの値を 1 に変更する必要があります。 この順序に従わないと、PDC のイベント ログにイベント ID 5722 が記録されます。
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法」を参照してください。
レジストリ エディターを起動します。 これを行うには、[ スタート] を選択し、[ 実行] を選択し、[ 開く ] ボックスに「regedit」と入力し、[ OK] を選択します。
次のレジストリ サブキーを見つけて選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
[ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。
レジストリ エントリ名として「RefusePasswordChange」と入力し、 Enter キーを押します。
[編集] メニューの [修正] を選択します。
[ 値データ ] ボックスに値 1 を入力し、[OK] を選択 します。
レジストリ エディターを終了します。
注:
RefusePasswordChange レジストリ エントリにより、ドメイン コントローラーは、バージョン 4.0 以降を実行するワークステーションまたはメンバー サーバーからのみパスワード変更要求Windows NT拒否します。
RefusePasswordChange レジストリ エントリを 1 の値に設定した場合、ワークステーションまたはメンバー サーバーが最初にマシン アカウントのパスワードの変更を試みた後は、パスワードの変更を今後試行できなくなります (個別の状態コードを返すことによって)。 Windows NT 4.0 ベースのコンピューターでは、7 日間でコンピューター アカウントのパスワードの変更が再試行され、Windows 2000 ベースのコンピューターは 30 日間で再試行されます。 RefusePasswordChange レジストリ エントリを値 1 に設定すると、レプリケーション トラフィックは停止しますが、クライアント トラフィックは停止しません。 DisablePasswordChange レジストリ エントリの値を 1 に設定すると、クライアントとレプリケーションの両方のトラフィックが停止します。
マシン アカウントのパスワードの自動変更を無効にした場合は、同じコンピューター アカウントを使用する同じコンピューターに、Windows NTまたは Windows 2000 の 2 つ以上のインストールを設定できます。 この機能で使用できるもう 1 つの用途は、古いスナップショットまたはディスク イメージを取り戻し、マシンをドメインに再参加させないようにする仮想ゲストです。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示