Efekty replikacji konta komputera w domenie

Dotyczy: Microsoft Windows XP ProfessionalMicrosoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Standard Edition (32-bit x86)

Pomocy technicznej dla systemu Windows Vista Service Pack 1 (SP1) kończy się w dniu 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, upewnij się, że korzystasz z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Więcej informacji można znaleźć w tej strony sieci web firmy Microsoft: Obsługa kończące się w niektórych wersjach systemu Windows.

Objawy


Dla każdego komputera systemu Windows, który jest członkiem domeny jest ustanawiany kanał komunikacji z kontrolerem domeny.


Uwaga Przykładem kanał komunikacji dyskretnej jest bezpieczny kanał.

Hasło bezpiecznego kanału jest przechowywany wraz z kontem komputera na podstawowego kontrolera domeny (PDC) i są replikowane do wszystkich zapasowych kontrolerów domeny (BDC). Hasło jest również $MACHINE tajny LSA. (ACC) stacji roboczej. Każda stacja robocza posiada takie dane poufne.


Co siedem dni, stacja robocza wysyła zmiany hasła kanału zabezpieczeń i aktualizacja hasła konta komputera. Jeśli podstawowego kontrolera domeny (PDC) jest uruchomiony system Windows NT 4.0 z dodatkiem Service Pack 3 lub starszym, zmiany hasła konta komputera są oznaczone jako "Zawiadomienie o natychmiastowe" i za każdym razem hasło konta komputera jest modyfikowany, że replikacja odbywa się natychmiast. Jeśli podstawowy kontroler domeny jest uruchomiony system Windows NT 4.0 Service Pack 4 lub nowszym, konto komputera jest replikowany podczas następnego impulsu replikacji.



Microsoft Windows 2000 i nowszych domyślne zmiany hasła konta komputera wynosi 30 dni. Ponadto tych systemów operacyjnych można zmienić hasło przed zapisywalnego kontrolera domeny.

Rozwiązanie


System Windows NT 4.0

Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek service pack dla systemu Windows NT 4.0 lub Windows NT Server 4.0, Terminal Server Edition. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
152734 jak uzyskać najnowszy dodatek Service Pack dla systemu Windows NT 4.0


Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows


Istnieją dwa obejścia tego problemu.

Metoda 1

Aby obejść ten problem, Dodaj następujący parametr rejestru na wszystkich stacjach roboczych z systemem Windows NT:

Key = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Value = DisablePasswordChange REG_DWORD 1
Default = 0

Stacje robocze uniemożliwi zmianę haseł. Po dołączeniu do domeny można dodać tę wartość rejestru i ponownego uruchamiania, aby hasła do konta komputera będzie co najmniej zostały zmienione jeden raz wartością losową, która jest znana tylko przez system.

Metoda 2

Aby obejść ten problem, należy odmówić hasła, które są zmieniane na poziomie kontrolera domeny. Aby to zrobić, dodaj następującą wartość rejestru na wszystkich kontrolerach domeny: klucz = wartość HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters = domyślny 1 typu REG_DWORD RefusePasswordChange = 0
Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

Jak wyłączyć zmiany hasła konta komputera automatycznego 154501

Windows XP i nowszych wersjach

W systemie Windows XP i nowszych ustawienia hasła konta komputera można również skonfigurować za pomocą edytora zasady grupy (Gpedit.msc). Aby skonfigurować te ustawienia, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz Gpedit.msc, a następnie naciśnij klawisz ENTER.
  2. Rozwiń węzeł Lokalne zasady komputera, ustawienia Systemu Windows, ustawienia Zabezpieczeń, zasady Lokalne, rozwiń węzeł Ustawienia zabezpieczeń, zasady Lokalne, a następnie rozwiń Opcje zabezpieczeń .
  3. Skonfiguruj następujące ustawienia:
    • Członek domeny: Wyłącz zmiany hasła konta komputera (DisablePasswordChange)
    • Członek domeny: maksymalny wiek hasła konta komputera (MaximumPasswordAge)
    • Kontroler domeny: odrzucaj zmiany hasła konta komputera (RefusePasswordChange)

MaximumPasswordAge ma wartość domyślna wynosi 30. Interfejs użytkownika zasady grupy umożliwia maksymalną wartość 999 dni, a składnik pozwala na maksymalnie 1 000 000 dni za pośrednictwem rejestru.

Stan


Firma Microsoft potwierdziła, że jest to problem występujący w systemie Windows NT 4.0 i Windows NT Server 4.0, Terminal Server Edition. Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 4.0 dla systemu Windows NT 4.0 i Windows NT Server 4.0, Terminal Server Edition Service Pack 4.