Descripción de los protocolos de cambio de contraseña en Windows

  • Artículo

En este artículo se describen los mecanismos para cambiar las contraseñas en Windows.

Se aplica a: Windows 10, Windows Server 2012 R2
Número de KB original: 264480

Resumen

Windows usa muchos mecanismos diferentes para cambiar las contraseñas. En este artículo se describen esos mecanismos.

Más información

Los protocolos de cambio de contraseña admitidos son:

  1. Protocolo NetUserChangePassword
  2. Protocolo NetUserSetInfo
  3. Protocolo de cambio de contraseña de Kerberos (IETF Internet Draft Draft-ietf-cat-kerb-chg-password-02.txt) [puerto 464]
  4. Protocolo de contraseña de conjunto de Kerberos (IETF Internet Draft Draft-ietf-cat-kerberos-set-passwd-00.txt) [puerto 464]
  5. Atributo de contraseña de escritura del Protocolo ligero de acceso a directorios (LDAP) (si se usa capa de sockets seguros de 128 bits [SSL])
  6. XACT-SMB para la compatibilidad previa a Microsoft Windows NT (Administrador de LAN)

Las operaciones de cambio de contraseña requieren que se conozca la contraseña actual del usuario antes de permitir el cambio. Las operaciones de configuración de contraseña no tienen este requisito, pero se controlan mediante los permisos Restablecer contraseña en la cuenta.

Cuando se usa LDAP (método 5), el controlador de dominio y el cliente deben poder usar SSL de 128 bits para proteger la conexión. Si el controlador de dominio no está configurado para SSL o si las claves largas adecuadamente no están disponibles, se deniega la escritura de cambio de contraseña.

Un controlador de dominio de Active Directory escucha las solicitudes de cambio de contraseña en todos estos protocolos.

Como se indicó anteriormente en este artículo, se usan diferentes protocolos en diferentes circunstancias. Por ejemplo:

  • Los clientes Kerberos interoperables usan los protocolos Kerberos. Los sistemas basados en UNIX con MIT Kerberos versión 5 1.1.1 pueden cambiar las contraseñas de usuario en un dominio basado en Windows mediante el protocolo de cambio de contraseña de Kerberos (método 3).
  • Cuando los usuarios cambian sus propias contraseñas presionando CTRL+ALT+ELIMINAR y, a continuación, haciendo clic en Cambiar contraseña, Windows NT hasta Windows 2003 se usa el mecanismo NetUserChangePassword (método 1) si el destino es un dominio. A partir de Windows Vista, el protocolo de contraseña de cambio de Kerberos se usa para las cuentas de dominio. Si el destino es un dominio kerberos, se usa el protocolo de cambio de contraseña de Kerberos (método 3).
  • Las solicitudes para cambiar una contraseña de equipos que ejecutan Microsoft Windows 95 o Microsoft Windows 98 usan XACT-SMB (método 6).
  • Un programa que usa el método ChangePassword en la interfaz IaDSUser de la Interfaz de servicios de Active Directory (ADSI) primero intenta cambiar la contraseña mediante LDAP (método 5) y, a continuación, mediante el protocolo NetUserChangePassword (método 1).
  • Un programa que usa el método SetPassword en la interfaz ADSI IaDSUser primero intenta cambiar la contraseña mediante LDAP (método 5), luego el protocolo set-password de Kerberos (método 4) y, a continuación, el protocolo NetUserSetInfo (método 2).
  • El complemento Usuarios y equipos de Active Directory usa operaciones ADSI para establecer contraseñas de usuario.