你目前正处于脱机状态,正在等待 Internet 重新连接

你的浏览器不受支持

你需要更新你的浏览器才能使用该网站。

更新到 Internet Explorer 的最新版本

Windows Server 2003 Service Pack 1 修改 NTLM 网络身份验证行为

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 906305
简介
Microsoft Windows Server 2003 Service Pack 1 (SP1) 修改 NTLM 网络身份验证行为。在安装 Windows Server 2003 SP1 后,域用户可以使用旧密码一小时后更改该密码访问网络。要使用 Kerberos 进行身份验证而设计的现有组件不受此更改。
更多信息
可靠地支持 NTLM 分布式环境中的网络身份验证的网络访问,Windows Server 2003 SP1,如下所示修改 NTLM 网络身份验证行为:
  • 域用户成功地使用 NTLM 来更改密码后,旧密码仍可用于网络访问可由用户定义的时间段。此行为,如登录到多个计算机上时更改密码传播访问网络上的服务帐户的帐户。
  • 密码的扩展生存期期间仅适用于网络访问使用 NTLM。交互式登录的行为是不变。此行为不适用于帐户承载在独立服务器或成员服务器上。只有域用户会受到此行为。
  • 可以通过编辑注册表的域控制器上配置的旧密码生存时间段。 没有重新启动是必需的注册表更改生效。

如何更改的旧密码生存时间段

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表


若要将旧密码的生存期期间添加到以下注册表子项的域控制器上名为 OldPasswordAllowedPeriod 一个 DWORD 项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
若要这样做,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,键入 regedit,然后单击 确定
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. 编辑 菜单上指向 新建,然后单击 DWORD 值
  4. 键入 OldPasswordAllowedPeriod 作为 DWORD 的名称,然后按 ENTER 键。
  5. 用鼠标右键单击 OldPasswordAllowedPeriod,然后单击 修改
  6. 数值数据 框中键入所需,以分钟为单位的值,然后单击 确定

    注意设置生存时间段以分钟为单位)。如果未设置此注册表值,则默认情况下的旧密码的生存期期间为 60 分钟。
  7. 退出注册表编辑器。

    注意 此注册表设置不需要重新启动才能生效。
注意此行为不会导致安全漏洞。只要只有一个用户知道这两个密码,用户是通过使用任一密码仍然安全身份验证。

如果用户的密码已知受到破坏,管理员应该重置该用户的密码。管理员应询问用户要尽可能快地使之无效旧密码在下次登录时更改密码。

若要重置用户的密码,请按照下列步骤操作:
  1. 开始 Active Directory 用户和计算机。
  2. 找到必须重置其密码的用户帐户。
  3. 用鼠标右键单击用户对象,然后单击 重设密码
  4. 新密码 框中,并在 确认密码 框中键入新密码。
  5. 单击以选中 用户必须更改在下次登录时的密码 复选框,然后单击 确定
注意只有当域控制器上有效的密码策略已 强制密码历史记录 设置为一个值,该值指定记住两个或多个密码的情况下,才会出现本文所述的行为。应在域级别设置密码策略。您可以确定该策略是否已通过使用 $ l Secpol.msc 管理单元获取域控制器上的效果。

警告:本文已自动翻译

属性

文章 ID:906305 - 上次审阅时间:07/07/2009 21:38:52 - 修订版本: 3.0

  • Microsoft Windows Server 2003 Service Pack 1
  • kbmt kbhowto KB906305 KbMtzh
反馈
var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" .com/ms.js">