Udostępnij za pośrednictwem


Jak wyłączyć automatyczne zmiany hasła konta komputera

W tym artykule opisano, jak administrator może wyłączyć automatyczne zmiany hasła konta komputera.

Oryginalny numer KB: 154501

Podsumowanie

Hasła konta maszyny są regularnie zmieniane na potrzeby zabezpieczeń. Domyślnie na komputerach z systemem Windows NT hasło konta komputera automatycznie zmienia się co siedem dni. Począwszy od komputerów z systemem Windows 2000, hasło konta komputera automatycznie zmienia się co 30 dni.

Ostrzeżenie

Jeśli wyłączysz zmiany hasła konta komputera, istnieją zagrożenia bezpieczeństwa, ponieważ kanał zabezpieczeń jest używany do uwierzytelniania przekazywanego. Jeśli ktoś wykryje hasło, może potencjalnie przeprowadzić uwierzytelnianie przekazywane do kontrolera domeny.

Więcej informacji

Możesz wyłączyć domyślne zmiany hasła konta maszyny automatycznej z jednego z następujących powodów:

  • Chcesz zmniejszyć liczbę wystąpień replikacji. W związku ze zmianami ubocznymi automatycznego hasła konta komputera domena z wieloma komputerami klienckimi i kontrolerami domeny może często powodować występowanie replikacji. Aby zmniejszyć liczbę wystąpień replikacji, można wyłączyć automatyczne zmiany hasła konta komputera.

  • Istnieją dwie oddzielne instalacje systemu Windows NT lub Windows 2000 na tym samym komputerze w konfiguracji podwójnego rozruchu. W takim przypadku jedynym sposobem współużytkowania tego samego konta komputera między dwiema instalacjami systemu Windows NT lub Windows 2000 jest użycie domyślnego hasła konta komputera utworzonego podczas dołączania do domeny.

  • Jeśli często wykonujesz czystą instalację systemu Windows NT lub Windows 2000, musisz mieć administratora w domenie, która może utworzyć konto komputera w domenie. Jeśli jest to problem, możesz pozostawić hasło konta komputera jako domyślne.

Możesz wyłączyć zmiany hasła konta komputera na stacji roboczej, ustawiając wpis rejestru DisablePasswordChange na wartość 1. W tym celu wykonaj następujące kroki.

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

  1. Uruchom Edytor rejestru. W tym celu wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit w polu Otwórz, a następnie wybierz przycisk OK.

  2. Odszukaj i wybierz następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. W okienku po prawej stronie wybierz wpis DisablePasswordChange .

  4. W menu Edycja wybierz polecenie Modyfikuj.

  5. W polu Dane wartości wpisz wartość 1, a następnie wybierz przycisk OK.

  6. Zamknij Edytor rejestru.

W systemach Windows NT w wersji 4.0 i Windows 2000, Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2 można wyłączyć zmianę hasła konta komputera, ustawiając wpis rejestru RefusePasswordChange na wartość 1 na wszystkich kontrolerach domeny w domenie zamiast na wszystkich stacjach roboczych. W tym celu wykonaj następujące kroki.

Uwaga 16.

Na kontrolerach domeny systemu Windows NT 4.0 należy zmienić wpis rejestru RefusePasswordChange na wartość 1 na wszystkich kontrolerach domeny kopii zapasowej (BDCs) w domenie przed wprowadzeniem zmiany na podstawowym kontrolerze domeny (PDC). Niepowodzenie wykonania tej kolejności spowoduje zarejestrowanie zdarzenia o identyfikatorze 5722 w dzienniku zdarzeń kontrolera PDC.

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

  1. Uruchom Edytor rejestru. W tym celu wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regedit w polu Otwórz, a następnie wybierz przycisk OK.

  2. Odszukaj i wybierz następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. W menu Edycja wskaż polecenie Nowy, a następnie wybierz pozycję Wartość DWORD.

  4. Wpisz RefusePasswordChange jako nazwę wpisu rejestru, a następnie naciśnij ENTER.

  5. W menu Edycja wybierz polecenie Modyfikuj.

  6. W polu Dane wartości wpisz wartość 1, a następnie wybierz przycisk OK.

  7. Zamknij Edytor rejestru.

Uwaga 16.

Wpis rejestru RefusePasswordChange powoduje, że kontroler domeny odrzuca żądania zmiany hasła tylko z stacji roboczych lub serwerów członkowskich z systemem Windows NT w wersji 4.0 lub nowszej.

Jeśli ustawisz wpis rejestru RefusePasswordChange na wartość 1, po tym jak stacja robocza lub serwer członkowski najpierw spróbuje zmienić hasło konta komputera, przyszłe próby zmiany hasła zostaną uniemożliwione (przez zwrócenie odrębnego kodu stanu). Komputer z systemem Windows NT 4.0 spróbuje ponownie zmienić hasło konta komputera w ciągu siedmiu dni, a komputer z systemem Windows 2000 spróbuje ponownie w ciągu 30 dni. Jeśli ustawisz wpis rejestru RefusePasswordChange na wartość 1, ruch replikacji zostanie zatrzymany, ale nie ruch klienta. Jeśli ustawisz wpis rejestru DisablePasswordChange na wartość 1, ruch klienta i replikacji zostanie zatrzymany.

Jeśli wyłączysz zmianę hasła konta maszyny automatycznej, możesz skonfigurować dwie (lub więcej) instalacje systemu Windows NT lub Windows 2000 na tym samym komputerze, na którym jest używane to samo konto komputera. Innym możliwym zastosowaniem tego obiektu są goście wirtualni, gdzie przywracasz starsze migawki lub obrazy dysków i chcesz uniknąć konieczności ponownego dołączania maszyny do domeny.