Efectos de la replicación de la cuenta de equipo en un dominio

Se aplica: Microsoft Windows XP ProfessionalMicrosoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Standard Edition (32-bit x86)

Soporte para Windows Vista Service Pack 1 (SP1) finaliza el 12 de julio de 2011. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de que está ejecutando Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte la página web de Microsoft: está finalizando el soporte para algunas versiones de Windows.

Síntomas


Para cada equipo con Windows que sea miembro de un dominio, hay un canal de comunicación discreto con un controlador de dominio.


Nota: Un ejemplo de un canal de comunicación discreto es el canal de seguridad.

Contraseña del canal de seguridad se almacena junto con la cuenta de equipo en el controlador de dominio principal (PDC) y se replica en todos los controladores de dominio de reserva (BDC). La contraseña también está en $MACHINE secreto de LSA. ACC de la estación de trabajo. Cada estación de trabajo posee datos secretos.


Cada siete días, la estación de trabajo envía un cambio de contraseña del canal de seguridad y se actualiza la contraseña de la cuenta de equipo. Si el controlador de dominio principal (PDC) está ejecutando Windows NT 4.0 Service Pack 3 o versiones anteriores, los cambios de contraseña de cuenta de equipo se marcan como "Anunciar inmediato" y cada vez que se modifica la contraseña de una cuenta de equipo, una replicación se produce inmediatamente. Si el PDC ejecuta Windows NT 4.0 Service Pack 4 o una versión posterior, la cuenta de equipo se replica durante el siguiente pulso de replicación.



Para Microsoft Windows 2000 y versiones posteriores, el cambio de contraseña de cuenta de equipo predeterminado es 30 días. Además, estos sistemas operativos puede cambiar la contraseña en cualquier controlador de dominio grabable.

Solución


Windows NT 4.0

Para resolver este problema, obtenga el service pack más reciente para Windows NT 4.0 o Windows NT Server 4.0, Terminal Server Edition. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
152734 cómo obtener el Service Pack más reciente para Windows NT 4.0


Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Hay dos soluciones para este problema.

Método 1

Para evitar este problema, agregue el siguiente parámetro del registro en todas las estaciones de trabajo de Windows NT:

Key = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Value = DisablePasswordChange REG_DWORD 1
Default = 0

Esto impedirá que las estaciones de trabajo cambiando las contraseñas. Puede agregar este valor del registro después de unirse al dominio y reiniciar para que la contraseña de la cuenta de equipo hubiera al menos ha cambiado una vez con un valor aleatorio que sólo se conoce por el sistema.

Método 2

Para evitar este problema, rechazar las contraseñas que se cambian en el nivel de controlador de dominio. Para ello, agregue el siguiente valor del registro en todos los controladores de dominio: clave = valor HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters = RefusePasswordChange REG_DWORD 1 predeterminado = 0
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

154501 cómo deshabilitar los cambios de contraseña de cuentas de máquina automática

Windows XP y versiones posteriores

En Windows XP y versiones posteriores, la configuración de contraseña de cuenta de equipo también puede configurarse utilizando el Editor de directiva de grupo (Gpedit.msc). Para configurar estas opciones, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Gpedit.mscy, a continuación, presione ENTRAR.
  2. Expanda Directiva de equipo Local, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas locales, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, expanda Opciones de seguridad .
  3. Configurar las siguientes opciones:
    • Miembro de dominio: deshabilitar los cambios de contraseña de cuenta de equipo (DisablePasswordChange)
    • Miembro de dominio: vigencia máxima de contraseña de cuenta de máquina (MaximumPasswordAge)
    • Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo (RefusePasswordChange)

MaximumPasswordAge tiene un valor predeterminado de 30. La interfaz de usuario de directiva de grupo permite un valor máximo de 999 días, y el componente permite un máximo de 1.000.000 de días desde el registro.

Estado


Microsoft ha confirmado que se trata de un problema de Windows NT 4.0 y Windows NT Server 4.0, Terminal Server Edition. Este problema se corrigió primero en Windows NT 4.0 Service Pack 4.0 y Windows NT Server 4.0, Terminal Server Edition Service Pack 4.