Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie ein Administrator die Kennwortänderungen des automatischen Computerkontos deaktivieren kann.
Ursprüngliche KB-Nummer: 154501
Übersicht
Computerkonto-Kennwörter werden regelmäßig zu Sicherheitszwecken geändert. Auf Windows NT-basierten Computern ändert sich das Kennwort des Computerkontos standardmäßig automatisch alle sieben Tage. Ab Windows 2000-basierten Computern ändert sich das Computerkontokennwort automatisch alle 30 Tage.
Warnung
Wenn Sie Kennwortänderungen für Computerkonten deaktivieren, bestehen Sicherheitsrisiken, da der Sicherheitskanal für die Pass-Through-Authentifizierung verwendet wird. Wenn jemand ein Kennwort entdeckt, kann er möglicherweise die Pass-Through-Authentifizierung an den Domänencontroller ausführen.
Weitere Informationen
Möglicherweise möchten Sie die Kennwortänderungen des standardmäßigen automatischen Computerkontos aus einem der folgenden Gründe deaktivieren:
Sie möchten Replikationsinstanzen reduzieren. Als Nebeneffekt von Kennwortänderungen des automatischen Computerkontos kann eine Domäne mit vielen Clientcomputern und Domänencontrollern zu einer häufigen Replikation führen. Sie können Kennwortänderungen für automatische Computerkonten deaktivieren, um Replikationsinstanzen zu reduzieren.
Sie verfügen über zwei separate Installationen von Windows NT oder Windows 2000 auf demselben Computer in einer Dual-Boot-Konfiguration. In diesem Fall besteht die einzige Möglichkeit zum Freigeben desselben Computerkontos zwischen den beiden Installationen von Windows NT oder Windows 2000 darin, das Standardkennwort des Computerkontos zu verwenden, das erstellt wird, wenn Sie der Domäne beitreten.
Wenn Sie häufig eine Neuinstallation von Windows NT oder Windows 2000 durchführen, müssen Sie über einen Administrator in der Domäne verfügen, der das Computerkonto in der Domäne erstellen kann. Wenn dies ein Problem ist, können Sie das Kennwort des Computerkontos als Standard beibehalten.
Sie können die Änderungen des Computerkontokennworts auf einer Arbeitsstation deaktivieren, indem Sie den Registrierungseintrag "DisablePasswordChange " auf den Wert 1 festlegen. Führen Sie hierzu die folgenden Schritte aus.
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Starten Sie den Registrierungs-Editor. Wählen Sie dazu "Start" aus, wählen Sie "Ausführen" aus, geben Sie "regedit" in das Feld "Öffnen" ein, und wählen Sie dann "OK" aus.
Finden und wählen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersWählen Sie im rechten Bereich den Eintrag "DisablePasswordChange " aus.
Wählen Sie im Menü Bearbeiten die Option Ändern aus.
Geben Sie im Feld "Wert" einen Wert von 1 ein, und wählen Sie dann "OK" aus.
Schließen Sie den Registrierungs-Editor.
In Windows NT Version 4.0 und Windows 2000, Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 können Sie die Kennwortänderung des Computerkontos deaktivieren, indem Sie den Registrierungseintrag "RefusePasswordChange " auf einen Wert von 1 für alle Domänencontroller in der Domäne festlegen, anstatt auf allen Arbeitsstationen. Führen Sie dazu die folgenden Schritte aus.
Notiz
Auf Windows NT 4.0-Domänencontrollern müssen Sie den Registrierungseintrag "RefusePasswordChange " in einen Wert von 1 für alle Sicherungsdomänencontroller (BDCs) in der Domäne ändern, bevor Sie die Änderung am primären Domänencontroller (PDC) vornehmen. Wenn Sie dieser Reihenfolge nicht folgen, wird die Ereignis-ID 5722 im Ereignisprotokoll der PDC protokolliert.
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Starten Sie den Registrierungs-Editor. Wählen Sie dazu "Start" aus, wählen Sie "Ausführen" aus, geben Sie "regedit" in das Feld "Öffnen" ein, und wählen Sie dann "OK" aus.
Finden und wählen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersZeigen Sie im Menü Bearbeiten auf Neu und wählen Sie dann DWORD-Wert.
Geben Sie "RefusePasswordChange" als Registrierungseintragsnamen ein, und drücken Sie dann die EINGABETASTE.
Wählen Sie im Menü Bearbeiten die Option Ändern aus.
Geben Sie im Feld "Wert" einen Wert von 1 ein, und wählen Sie dann "OK" aus.
Schließen Sie den Registrierungs-Editor.
Notiz
Der Registrierungseintrag "RefusePasswordChange " bewirkt, dass der Domänencontroller Kennwortänderungsanforderungen nur von Arbeitsstationen oder Mitgliedsservern ablehnt, auf denen Windows NT, Version 4.0 oder höher ausgeführt wird.
Wenn Sie den Registrierungseintrag "RefusePasswordChange " auf einen Wert von 1 festlegen, nachdem die Arbeitsstation oder der Mitgliedsserver zuerst versucht, sein Kennwort für das Computerkonto zu ändern, werden zukünftige Versuche zum Ändern des Kennworts verhindert (durch Zurückgeben eines eindeutigen Statuscodes). Ein Windows NT 4.0-basierter Computer versucht, sein Computerkontokennwort in sieben Tagen erneut zu ändern, und ein Windows 2000-basierter Computer wird in 30 Tagen erneut versuchen. Wenn Sie den Registrierungseintrag "RefusePasswordChange " auf den Wert 1 festlegen, wird der Replikationsverkehr beendet, aber nicht der Clientdatenverkehr. Wenn Sie den Registrierungseintrag DisablePasswordChange auf einen Wert von 1 festlegen, wird sowohl der Client- als auch der Replikationsdatenverkehr beendet.
Wenn Sie Kennwortänderungen für automatische Computerkonten deaktivieren, können Sie zwei (oder mehr) Installationen von Windows NT oder Windows 2000 auf demselben Computer einrichten, auf dem dasselbe Computerkonto verwendet wird. Eine weitere mögliche Verwendung für diese Einrichtung ist virtuelle Gäste, bei denen Sie ältere Momentaufnahmen oder Datenträgerimages zurückbringen und vermeiden möchten, dass Sie den Computer erneut an einer Domäne teilnehmen müssen.