通过

如何禁用自动计算机帐户密码更改

本文介绍如何管理员禁用自动计算机帐户密码更改。

原始 KB 数: 154501

总结

出于安全目的,计算机帐户密码会定期更改。 默认情况下,在基于 Windows NT 的计算机上,计算机帐户密码每七天自动更改一次。 从基于 Windows 2000 的计算机开始,计算机帐户密码每 30 天自动更改一次。

警告

如果禁用计算机帐户密码更改,则存在安全风险,因为安全通道用于直通身份验证。 如果有人发现密码,他或她可能会对域控制器执行直通身份验证。

详细信息

出于以下任一原因,可能需要禁用默认的自动计算机帐户密码更改:

  • 你想要减少复制次数。 由于自动计算机帐户密码更改的副作用,具有许多客户端计算机和域控制器的域可能会导致频繁进行复制。 可以禁用自动计算机帐户密码更改以减少复制次数。

  • 在双启动配置中,在同一台计算机上安装了两个单独的 Windows NT 或 Windows 2000。 在这种情况下,在 Windows NT 或 Windows 2000 的两个安装之间共享同一计算机帐户的唯一方法是使用加入域时创建的默认计算机帐户密码。

  • 如果经常对 Windows NT 或 Windows 2000 进行干净安装,则必须在域中拥有一个管理员可以在域中创建计算机帐户的管理员。 如果出现问题,可以将计算机帐户的密码保留为默认值。

可以通过将 DisablePasswordChange 注册表项设置为1 来禁用工作站上的计算机帐户密码更改。 为此,请执行下列步骤。

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表。

  1. 启动注册表编辑器。 为此,请选择“开始”,选择“运行“打开”框中键入 regedit,然后选择“确定”。

  2. 找到并选择以下注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. 在右窗格中,选择 DisablePasswordChange 条目。

  4. 在“编辑”菜单上,选择“修改”

  5. “值”数据 框中,键入值 1,然后选择“ 确定”。

  6. 退出注册表编辑器。

在 Windows NT 版本 4.0 和 Windows 2000、Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 中,可以通过将 RefusePasswordChange 注册表项设置为域中所有域控制器上的值 1 而不是在所有工作站上来禁用计算机帐户密码更改。 为此,请执行下列步骤。

注意

在 Windows NT 4.0 域控制器上,必须先将 RefusePasswordChange 注册表项更改为域中所有备份域控制器(BDC)上的值 1 ,然后才能在主域控制器(PDC)上进行更改。 未能遵循此顺序将导致事件 ID 5722 记录在 PDC 的事件日志中。

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表。

  1. 启动“注册表编辑器”。 为此,请选择“开始”,选择“运行,在“打开”框中键入 regedit,然后选择“确定”。

  2. 找到并选择以下注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. 编辑菜单中指向新建,然后选择 DWORD 值

  4. 键入 RefusePasswordChange 作为注册表项名称,然后按 Enter

  5. 在“编辑”菜单上,选择“修改”

  6. “值”数据 框中,键入值 1,然后选择“ 确定”。

  7. 退出注册表编辑器。

注意

RefusePasswordChange 注册表项会导致域控制器仅拒绝运行 Windows NT 版本 4.0 或更高版本的工作站或成员服务器的密码更改请求。

如果将 RefusePasswordChange 注册表项设置为值 1,则工作站或成员服务器首次尝试更改其计算机帐户密码后,将阻止将来尝试更改密码(返回不同的状态代码)。 基于 Windows NT 4.0 的计算机将在七天内再次尝试更改其计算机帐户密码,基于 Windows 2000 的计算机将在 30 天内重试。 如果将 RefusePasswordChange 注册表项设置为值 1,复制流量将停止,但不会停止客户端流量。 如果将 DisablePasswordChange 注册表项设置为值 1,则客户端和复制流量都将停止。

如果禁用自动计算机帐户密码更改,则可以在同一台使用同一计算机帐户的同一台计算机上设置 Windows NT 或 Windows 2000 的两个(或更多)安装。 此设施的另一个可能用途是虚拟来宾,可在其中恢复较旧的快照或磁盘映像,并且希望避免将计算机重新加入域。