Automatische wachtwoordwijzigingen voor computeraccounts uitschakelen

  • Artikel

In dit artikel wordt beschreven hoe een beheerder automatische wachtwoordwijzigingen van computeraccounts kan uitschakelen.

Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 154501

Samenvatting

Wachtwoorden van computeraccounts worden regelmatig gewijzigd voor beveiligingsdoeleinden. Op Windows NT-computers wordt het wachtwoord van het computeraccount standaard elke zeven dagen automatisch gewijzigd. Vanaf Windows 2000-computers wordt het wachtwoord van het computeraccount automatisch elke 30 dagen gewijzigd.

Waarschuwing

Als u wachtwoordwijzigingen voor computeraccounts uitschakelt, zijn er beveiligingsrisico's omdat het beveiligingskanaal wordt gebruikt voor passthrough-verificatie. Als iemand een wachtwoord ontdekt, kan hij of zij mogelijk passthrough-verificatie uitvoeren voor de domeincontroller.

Meer informatie

U kunt de standaard automatische wachtwoordwijzigingen voor computeraccounts uitschakelen om een van de volgende redenen:

  • U wilt replicatie-exemplaren verminderen. Als neveneffect van automatische wachtwoordwijzigingen van computeraccounts kan een domein met veel clientcomputers en domeincontrollers ertoe leiden dat replicatie regelmatig plaatsvindt. U kunt automatische wachtwoordwijzigingen voor computeraccounts uitschakelen om replicatie-exemplaren te verminderen.

  • U hebt twee afzonderlijke installaties van Windows NT of Windows 2000 op dezelfde computer in een configuratie voor dubbel opstarten. In dit geval is de enige manier om hetzelfde computeraccount te delen tussen de twee installaties van Windows NT of Windows 2000 door het standaardwachtwoord voor het computeraccount te gebruiken dat is gemaakt wanneer u lid wordt van het domein.

  • Als u regelmatig een schone installatie van Windows NT of Windows 2000 uitvoert, moet u een beheerder in het domein hebben die het computeraccount in het domein kan maken. Als dat een probleem is, kunt u het wachtwoord van het computeraccount als standaard laten.

U kunt de wachtwoordwijzigingen van het computeraccount op een werkstation uitschakelen door de registervermelding DisablePasswordChange in te stellen op de waarde 1. Volg hiervoor deze stappen.

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken van het register en het herstellen van het register in Windows voor meer informatie.

  1. De Register-editor starten. Selecteer hiervoor Start, selecteer Uitvoeren, typ regedit in het vak Openen en selecteer vervolgens OK.

  2. Zoek en selecteer de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Selecteer in het rechterdeelvenster de vermelding DisablePasswordChange .

  4. Selecteer in het menu Bewerken de optie Wijzigen.

  5. Typ in het vak Waardegegevens de waarde 1 en selecteer OK.

  6. Sluit de Register-editor af.

In Windows NT versie 4.0 en Windows 2000, Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 kunt u de wijziging van het wachtwoord van het computeraccount uitschakelen door de registervermelding RefusePasswordChange in te stellen op een waarde van 1 op alle domeincontrollers in het domein in plaats van op alle werkstations. Volg hiervoor deze stappen.

Opmerking

Op Windows NT 4.0-domeincontrollers moet u de registervermelding RefusePasswordChange wijzigen in een waarde van 1 op alle back-updomeincontrollers (BPC's) in het domein voordat u de wijziging op de primaire domeincontroller (PDC) aanbrengt. Als u deze volgorde niet volgt, wordt gebeurtenis-id 5722 geregistreerd in het gebeurtenislogboek van de PDC.

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie Een back-up maken van het register en het herstellen van het register in Windows voor meer informatie.

  1. De Register-editor starten. Selecteer hiervoor Start, selecteer Uitvoeren, typ regedit in het vak Openen en selecteer vervolgens OK.

  2. Zoek en selecteer de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Wijs in het menu Bewerkende optie Nieuw aan en selecteer vervolgens DWORD-waarde.

  4. Typ RefusePasswordChange als de naam van de registervermelding en druk op Enter.

  5. Selecteer in het menu Bewerken de optie Wijzigen.

  6. Typ in het vak Waardegegevens de waarde 1 en selecteer OK.

  7. Sluit de Register-editor af.

Opmerking

De registervermelding RefusePasswordChange zorgt ervoor dat de domeincontroller alleen aanvragen voor wachtwoordwijziging weigert van werkstations of lidservers waarop Windows NT versie 4.0 of hoger wordt uitgevoerd.

Als u de registervermelding RefusePasswordChange instelt op een waarde van 1 nadat het werkstation of de lidserver eerst probeert het wachtwoord van het computeraccount te wijzigen, worden toekomstige pogingen om het wachtwoord te wijzigen voorkomen (door een afzonderlijke statuscode te retourneren). Een Windows NT 4.0-computer probeert het wachtwoord van het computeraccount over zeven dagen opnieuw te wijzigen en een Windows 2000-computer probeert het over 30 dagen opnieuw. Als u de registervermelding RefusePasswordChange instelt op een waarde van 1, stopt het replicatieverkeer, maar niet het clientverkeer. Als u de registervermelding DisablePasswordChange instelt op een waarde van 1, stopt zowel client- als replicatieverkeer.

Als u automatische wachtwoordwijzigingen voor computeraccounts uitschakelt, kunt u twee (of meer) installaties van Windows NT of Windows 2000 instellen op dezelfde computer die hetzelfde computeraccount gebruiken. Een andere mogelijke toepassing voor deze faciliteit zijn virtuele gasten waarbij u oudere momentopnamen of schijfinstallatiekopieƫn terugbrengt en u wilt voorkomen dat u de machine opnieuw moet koppelen aan een domein.