Deaktivieren von Kennwortänderungen für automatische Computerkonten

  • Artikel

In diesem Artikel wird beschrieben, wie ein Administrator automatische Kennwortänderungen für Computerkonten deaktivieren kann.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 154501

Zusammenfassung

Computerkontokennwörter werden aus Sicherheitsgründen regelmäßig geändert. Auf Windows NT-basierten Computern wird das Computerkontokennwort standardmäßig alle sieben Tage automatisch geändert. Ab Windows 2000-basierten Computern ändert sich das Computerkontokennwort automatisch alle 30 Tage.

Warnung

Wenn Sie Kennwortänderungen für Computerkonten deaktivieren, bestehen Sicherheitsrisiken, da der Sicherheitskanal für die Passthrough-Authentifizierung verwendet wird. Wenn jemand ein Kennwort entdeckt, kann er möglicherweise eine Passthrough-Authentifizierung beim Domänencontroller durchführen.

Weitere Informationen

Sie können die Standardmäßigen Kennwortänderungen für automatische Computerkonten aus einem der folgenden Gründe deaktivieren:

  • Sie möchten Replikationsereignisse reduzieren. Als Nebeneffekt automatischer Kennwortänderungen für Computerkonten kann eine Domäne mit vielen Clientcomputern und Domänencontrollern häufig zu einer Replikation führen. Sie können automatische Kennwortänderungen für Computerkonten deaktivieren, um Replikationsereignisse zu reduzieren.

  • Sie verfügen über zwei separate Installationen von Windows NT oder Windows 2000 auf demselben Computer in einer Dual-Boot-Konfiguration. In diesem Fall besteht die einzige Möglichkeit zum Freigeben desselben Computerkontos zwischen den beiden Installationen von Windows NT oder Windows 2000 darin, das Standardkennwort für das Computerkonto zu verwenden, das beim Beitritt zur Domäne erstellt wird.

  • Wenn Sie häufig eine sauber Installation von Windows NT oder Windows 2000 durchführen, benötigen Sie einen Administrator in der Domäne, der das Computerkonto in der Domäne erstellen kann. Wenn dies ein Problem ist, können Sie das Kennwort des Computerkontos als Standard beibehalten.

Sie können die Kennwortänderungen des Computerkontos auf einer Arbeitsstation deaktivieren, indem Sie den Registrierungseintrag DisablePasswordChange auf den Wert 1 festlegen. Führen Sie hierzu die folgenden Schritte aus.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  1. Starten Sie den Registrierungs-Editor. Wählen Sie hierzu Start aus, wählen Sie Ausführen aus, geben Sie regedit in das Feld Öffnen ein, und wählen Sie dann OK aus.

  2. Finden und wählen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Wählen Sie im rechten Bereich den Eintrag DisablePasswordChange aus.

  4. Wählen Sie im Menü Bearbeiten die Option Ändern aus.

  5. Geben Sie im Feld Wert den Wert 1 ein, und wählen Sie dann OK aus.

  6. Schließen Sie den Registrierungs-Editor.

In Windows NT Version 4.0 und Windows 2000, Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 können Sie die Änderung des Computerkontokennworts deaktivieren, indem Sie den Registrierungseintrag RefusePasswordChange auf den Wert 1 auf allen Domänencontrollern in der Domäne und nicht auf allen Arbeitsstationen festlegen. Führen Sie hierzu die folgenden Schritte aus.

Hinweis

Auf Windows NT 4.0-Domänencontrollern müssen Sie den Registrierungseintrag RefusePasswordChange auf allen Sicherungsdomänencontrollern (BDCs) in der Domäne in den Wert 1 ändern, bevor Sie die Änderung auf dem primären Domänencontroller (PDC) vornehmen. Wenn Sie diese Reihenfolge nicht befolgen, wird die Ereignis-ID 5722 im Ereignisprotokoll des PDC protokolliert.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  1. Starten Sie den Registrierungs-Editor. Wählen Sie hierzu Start aus, wählen Sie Ausführen aus, geben Sie regedit in das Feld Öffnen ein, und wählen Sie dann OK aus.

  2. Finden und wählen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert aus.

  4. Geben Sie RefusePasswordChange als Registrierungseintragsnamen ein, und drücken Sie dann die EINGABETASTE.

  5. Wählen Sie im Menü Bearbeiten die Option Ändern aus.

  6. Geben Sie im Feld Wert den Wert 1 ein, und wählen Sie dann OK aus.

  7. Schließen Sie den Registrierungs-Editor.

Hinweis

Der Registrierungseintrag RefusePasswordChange bewirkt, dass der Domänencontroller Kennwortänderungsanforderungen nur von Arbeitsstationen oder Mitgliedsservern ablehnt, auf denen Windows NT Version 4.0 oder höher ausgeführt wird.

Wenn Sie den Registrierungseintrag RefusePasswordChange auf den Wert 1 festlegen, werden zukünftige Versuche, das Kennwort für das Computerkonto zu ändern, verhindert (indem ein eindeutiger status Code zurückgegeben wird). Ein Windows NT 4.0-basierter Computer versucht in sieben Tagen erneut, sein Computerkontokennwort zu ändern, und ein Windows 2000-computer versucht es in 30 Tagen erneut. Wenn Sie den Registrierungseintrag RefusePasswordChange auf den Wert 1 festlegen, wird der Replikationsdatenverkehr beendet, aber nicht der Clientdatenverkehr. Wenn Sie den Registrierungseintrag DisablePasswordChange auf den Wert 1 festlegen, wird sowohl der Client- als auch der Replikationsdatenverkehr beendet.

Wenn Sie automatische Kennwortänderungen für Computerkonten deaktivieren, können Sie zwei (oder mehr) Installationen von Windows NT oder Windows 2000 auf demselben Computer einrichten, der dasselbe Computerkonto verwendet. Eine weitere mögliche Verwendung für diese Einrichtung sind virtuelle Gäste, bei denen Sie ältere Momentaufnahmen oder Datenträgerimages zurückbringen und vermeiden möchten, dass Sie den Computer erneut in eine Domäne einbinden müssen.