Windows Server 2003 с пакетом обновления 1 изменяет поведение сетевой проверки подлинности NTLM

Переводы статьи Переводы статьи
Код статьи: 906305 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Windows Server 2003 с пакетом обновления 1 (SP1) изменяет поведение сетевой проверки подлинности NTLM. После установки пакета обновления 1 для Windows Server 2003 пользователи домена можно использовать старый пароль для доступа к сети для одного часа после изменения пароля. Это изменение не влияет на существующие компоненты, предназначенные для использования проверки подлинности Kerberos.

Дополнительная информация

Для надежной поддержки доступа к сети для сетевой проверки подлинности NTLM в распределенных средах, Windows Server 2003 с пакетом обновления 1 изменяет поведение проверки подлинности NTLM сети следующим образом:
  • После домена успешно изменить пароль с помощью NTLM, старый пароль может по-прежнему использоваться для доступа к сети на период времени, определяемые пользователем. Такое поведение позволяет учетные записи, такие как учетные записи служб, которые вошли в систему на нескольких компьютерах, доступ к сети, пока распространяет изменения пароля.
  • Расширение пароль срока жизни применяется только для доступа к сети с помощью NTLM. Интерактивный вход в систему поведение не меняется. Данная проблема не влияет на учетные записи, размещенные на изолированных серверах или на рядовых серверах. Поведение влияет только на пользователей домена.
  • Срока жизни старого пароля можно настроить путем изменения реестра на контроллере домена. Перезагрузка не требуется это изменение реестра вступили в силу.

Изменение срока жизни старого пароля

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows


Чтобы изменить период времени жизни старого пароля, добавьте запись DWORD с именем OldPasswordAllowedPeriod в следующий раздел реестра на контроллере домена:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. На Редактирование Выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
  4. Тип OldPasswordAllowedPeriod в качестве имени параметра DWORD и нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мыши OldPasswordAllowedPeriod, а затем нажмите кнопку Изменить.
  6. В Значение данных Введите значение в минутах, которые требуется использовать и нажмите кнопку ОК.

    Примечание Срока жизни задается в минутах. Если это значение не задано, по умолчанию срока жизни старого пароля составляет 60 минут.
  7. Закройте редактор реестра.

    Примечание Этот параметр реестра не требуют перезапуска вступили в силу.
Примечание Это поведение не вызывает слабые места системы безопасности. До тех пор, пока только один пользователь знает, что оба пароля, пользователь по-прежнему безопасно проверку подлинности с помощью любой пароль.

Если пароль известен под угрозу, администратор должен сбросить пароль для указанного пользователя. Администратор должен запрашивать у пользователя сменить пароль при следующем входе в систему как можно скорее переводимой старый пароль.

Чтобы сбросить пароль пользователя, выполните следующие действия.
  1. Начало Active Directory-пользователи и компьютеры.
  2. Найдите учетную запись пользователя, чей пароль необходимо сбросить.
  3. Щелкните правой кнопкой мыши объект пользователя и нажмите кнопку Сброс пароля.
  4. Введите новый пароль в Новый пароль поле и в Подтверждение пароля поле.
  5. Выберите Требовать смену пароля при следующем входе в систему Установите флажок и нажмите кнопку ОК.
Примечание Поведение, описанное в данной статье возникает, только если политика паролей на контроллерах домена Требовать неповторяемости паролей Задайте значение, указывающее, использовавшегося два или несколько паролей. Политики паролей должны устанавливаться на уровне домена. Можно определить, будет ли политика имело эффект на контроллерах домена с помощью оснастки Secpol.msc.

Свойства

Код статьи: 906305 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
Ключевые слова: 
kbhowto kbmt KB906305 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:906305

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com