Член домена: максимальный срок действия пароля учетных записей компьютера

Относится к:

  • Windows 11
  • Windows 10

Описывает рекомендации, расположение, значения и рекомендации по безопасности для параметра политики безопасности член домена: максимальный срок действия пароля учетной записи компьютера .

Справочные материалы

Параметр политики "Член домена: максимальный возраст пароля учетной записи компьютера " определяет, когда участник домена отправляет изменение пароля.

В доменах на основе Active Directory каждое устройство имеет учетную запись и пароль. По умолчанию члены домена передают изменение пароля каждые 30 дней. Этот интервал можно увеличить или уменьшить. Кроме того, можно использовать политику член домена: отключить изменение пароля учетной записи компьютера , чтобы полностью отключить требование смены пароля. Однако прежде чем рассмотреть этот вариант, ознакомьтесь с последствиями, описанными в разделе Член домена: отключение изменения пароля учетной записи компьютера.

Важно.

Значительное увеличение интервала смены пароля (или отключение изменения пароля) дает злоумышленнику больше времени для атаки подбора пароля на одну из учетных записей компьютера.

Дополнительные сведения см. в разделе Процесс пароля учетной записи компьютера.

Возможные значения

  • Определяемое пользователем число дней от 1 до 999 включительно
  • Не определено

Рекомендации

Рекомендуется установить параметр Член домена: максимальный срок действия пароля учетной записи компьютера примерно 30 дней. Установка меньшего числа дней может увеличить репликацию и повлиять на контроллеры домена. Например, в Windows NT доменах пароли компьютеров менялись каждые 7 дней. Дополнительный отток репликации повлияет на контроллеры домена в крупных организациях с большим количеством компьютеров или медленными связями между сайтами.

Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Не определено
Параметры по умолчанию для автономного сервера 30 дней
Действующие параметры по умолчанию контроллера домена 30 дней
Действующие параметры по умолчанию для рядового сервера 30 дней
Действующие параметры по умолчанию для клиентского компьютера 30 дней

Управление политикой

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой.

Необходимость перезапуска

Нет. Изменения этой политики вступает в силу без перезагрузки компьютера, когда они сохраняются локально или распространяются через групповая политика.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

По умолчанию члены домена передают изменение пароля каждые 30 дней. Если увеличить этот интервал, чтобы компьютеры больше не отправли изменение пароля, у злоумышленника будет больше времени, чтобы предпринять атаку методом подбора, чтобы угадать пароль одной или нескольких учетных записей компьютера.

Противодействие

Настройте параметр Член домена: максимальный срок действия пароля учетной записи компьютера 30 дней.

Возможное влияние

Нет. Это состояние не влияет на конфигурацию по умолчанию.