文章編號: 906305 - 上次校閱: 2009年7月7日 - 版次: 3.0

Windows Server 2003 Service Pack 1 修改 NTLM 網路驗證行為

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

簡介

Microsoft Windows Server 2003 Service Pack 1 (SP1) 修改 NTLM 網路驗證行為。安裝 Windows Server 2003 SP1 之後網域使用者可以使用舊密碼來存取網路的一小時之後變更密碼。這項變更不影響現有的元件設計來使用 Kerberos 來驗證。
回此頁最上方

其他相關資訊

若要可靠地支援 NTLM 網路驗證,在分散式環境中存取網路,Windows Server 2003 SP1,如下所示修改 NTLM 網路驗證行為:
  • 網域使用者成功變更密碼,藉由使用 NTLM 之後舊密碼可仍然用於網路存取使用者可定義的時間期間。這種行為可以讓如登入多部電腦來存取網路,而密碼變更會傳播的服務帳戶的帳戶。
  • 密碼的副檔名存留期 (Lifetime) 期間只適用於網路存取使用 NTLM。互動式登入行為是不變。這個行為不會套用到帳戶所裝載的獨立伺服器或成員伺服器上。只有網域使用者會受到這個問題。
  • 您可以藉由編輯登錄的網域控制站上設定的舊密碼存留期 (Lifetime) 期間。 沒有重新啟動時需要這個登錄變更才會生效。
回此頁最上方

如何變更的舊密碼存留期 (Lifetime) 期間

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄


若要將舊的密碼存留期 (Lifetime) 期間新增 DWORD 項目到下列登錄子機碼,在網域控制站上名為 OldPasswordAllowedPeriod:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
要這麼做,請您執行下列步驟:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並點選下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. 在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
  4. 鍵入 OldPasswordAllowedPeriod 作為 [DWORD 名稱,然後按下 ENTER。
  5. OldPasswordAllowedPeriod,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 數值資料] 方塊中輸入像您想要使用的分鐘值,然後按一下 [[確定]

    附註在存留期 (Lifetime) 期間設定以分鐘為單位。如果未設定此登錄值則預設的舊密碼的存留期 (Lifetime) 期間是 60 分鐘。
  7. 結束 「 登錄編輯程式 」。

    附註 這個登錄設定值並不需要重新啟動才會生效。
附註這個行為不會造成安全性弱點。只要只有一個使用者知道這兩個密碼,使用任一個密碼仍然安全地驗證使用者。

如果使用者的密碼已知會遭到洩漏,系統管理員應該重設為該使用者密碼。系統管理員應要求使用者在下次登入時,儘速失效舊密碼變更密碼。

若要重設使用者的密碼,請依照下列步驟執行:
  1. 開始 Active Directory 使用者和電腦。
  2. 找出必須重設其密碼的使用者帳戶。
  3. [使用者] 物件上按一下滑鼠右鍵,然後按一下 [重設密碼
  4. 在 [新密碼] 方塊和 [確認密碼] 方塊中,輸入新密碼。
  5. 按一下以選取 [使用者必須變更密碼,在下次登入時] 核取方塊,然後再按一下 [確定]
附註有效的密碼原則的網域控制站已 強制密碼歷程記錄 設為指定記憶兩個或多個密碼的值時,才會發生本文所述的行為。密碼原則應該在網域層級設定。您可以判斷原則是否有採取網域控制站會影響的使用 Secpol.msc 嵌入式管理單元。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
回此頁最上方
關鍵字:?
kbmt kbhowto KB906305 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:906305? (http://support.microsoft.com/kb/906305/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。