Neue Einstellung ändert die NTLM-Authentifizierung Netzwerkpräsenz

Einführung

Ab Microsoft Windows Server 2003 Service Pack 1 (SP1) Es wird NTLM-Authentifizierung Netzwerkpräsenz geändert. Domänenbenutzer können ihr alte Kennwort auf das Netzwerk für eine Stunde, nachdem das Kennwort geändert wird. Vorhandene Komponenten verwenden Kerberos für die Authentifizierung sind von dieser Änderung nicht betroffen.

Diese Änderung soll Hintergrundprozesse wie weiterhin läuft für einige Zeit, bis ein Administrator die Möglichkeit hat, die Anmeldeinformationen für das neue Kennwort aktualisieren können.

Weitere Informationen

Um zuverlässig Netzwerkzugriff für die Authentifizierung in einer verteilten Umgebung NTLM unterstützen, lautet die NTLM-Authentifizierung Netzwerkpräsenz
  • Nach Domänenbenutzer erfolgreich ein Kennwort ändert, indem mit NTLM, kann das alte Kennwort weiterhin lang benutzerdefinierbaren für den Netzwerkzugriff verwendet werden. Dieses Verhalten kann Konten wie Dienstkonten, die angemeldet sind mehrere Computer auf das Netzwerk zugreifen, während die Änderung des Kennworts verteilt wird.
  • Die Erweiterung des Kennworts gilt Lebensdauer Periode nur für Netzwerkzugriff über NTLM. Interaktive Anmeldung Verhalten bleibt unverändert. Dieses Verhalten gilt nicht für Konten, die gehostet werden auf eigenständigen Servern oder Mitgliedsservern. Dies sind nur Domänenbenutzer betroffen.
  • Lebensdauer beträgt das alte Kennwort kann durch Bearbeiten der Registrierung auf einem Domänencontroller konfiguriert werden. Es ist kein Neustart erforderlich, damit diese Änderung der Registrierung zu.


Lebensdauer beträgt ein altes Kennwort ändern

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows


Fügen Sie einen DWORD-Eintrag mit dem Namen OldPasswordAllowedPeriod des folgenden Registrierungsunterschlüssels auf einem Domänencontroller ändern Lebensdauer beträgt ein altes Kennwort:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie und klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
  4. Geben Sie OldPasswordAllowedPeriod als Namen für den DWORD-Wert, und drücken Sie die EINGABETASTE.
  5. Maustaste auf OldPasswordAllowedPeriod, und klicken Sie auf Ändern.
  6. Im Feld Wert Wert in Minuten, die Sie verwenden möchten, und klicken Sie dann auf OK.



    Hinweis Lebensdauer Zeitraum ist in Minuten festgelegt. Wenn dieser Registrierungswert nicht festgelegt ist, beträgt der Standardwert Lebensdauer für ein altes Kennwort 60 Minuten.
  7. Beenden Sie den Registrierungseditor.

    Hinweis Dieser Registrierungseintrag erfordert kein Neustart wirksam.
Hinweis Dieses Verhalten bewirkt keine Sicherheitslücke. Als einzige Benutzer beide Kennwörter kennt, wird er weiterhin sicher entweder Kennwort authentifiziert.


Wenn ein Benutzerkennwort gefährdet bekannt ist, sollte der Administrator das Kennwort für diesen Benutzer zurückgesetzt. Der Systemadministrator sollte des Benutzers das Kennwort bei der nächsten Anmeldung das alte Kennwort möglichst bald ungültig ändern.

Gehen Sie folgendermaßen vor, um das Kennwort eines Benutzers zurücksetzen:
  1. Starten Sie Active Directory-Benutzer und -Computer.
  2. Suchen Sie das Benutzerkonto, dessen Kennwort zurückgesetzt werden muss.
  3. Maustaste auf das Benutzerobjekt, und klicken Sie dann auf Kennwort zurücksetzen.
  4. Geben Sie das neue Kennwort in das Feld Neues Kennwort und im Feld Kennwort bestätigen .
  5. Aktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern , und klicken Sie dann auf OK.
Hinweis Das in diesem Artikel beschriebene Verhalten tritt nur dann, wenn die wirksamen Kennwortrichtlinie auf den Domänencontrollern Kennwortchronik auf einen Wert, der angibt, dass zwei oder mehr Kennwörter erinnert werden. Legen Sie die Kennwortrichtlinie auf Domänenebene. Sie können bestimmen, ob die Richtlinie auf dem Domänencontroller wirksam ist mit Secpol.msc-Snap-in.
Eigenschaften

Artikelnummer: 906305 – Letzte Überarbeitung: 17.02.2017 – Revision: 2

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter

Feedback