本文說明會影響 NTLM 密碼變更的行為,以及如何使用登錄來變更此行為。
原始 KB 編號: 906305
簡介
變更用戶密碼時,NTLM 網路驗證中有一個選項。 網域用戶可以在密碼變更后,使用其舊密碼來存取網路五分鐘。 設計為使用 Kerberos 進行驗證的現有元件不會受到這項變更的影響。
這項變更的目標是允許背景進程,例如服務繼續執行一段時間,直到系統管理員有機會更新新密碼的認證為止。
NTLM 網路驗證行為
若要在分散式環境中可靠地支援NTLM網路驗證的網路存取,NTLM 網路驗證行為如下所示:
- 在網域使用者使用NTLM成功變更密碼之後,舊密碼仍可用於使用者可定義時段的網路存取。 此行為可讓登入多部計算機的帳戶,例如服務帳戶,在密碼變更傳播時存取網路。
- 密碼存留期的延伸僅適用於使用NTLM的網路存取。 互動式登錄行為不會變更。 此行為不適用於託管於獨立伺服器或成員伺服器上的帳戶。 只有網域使用者會受到此行為的影響。
- 在域控制器上編輯登錄,即可設定舊密碼的存留期。 不需要重新啟動,此登錄變更才會生效。
變更舊密碼的存留期
重要
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需備份和還原登錄的詳細資訊,請參閱如何在 Windows 中備份及還原登錄。
若要變更舊密碼的存留期,請將名為 OldPasswordAllowedPeriod 的 DWORD 專案新增至域控制器上的下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
若要這樣做,請遵循下列步驟:
按一下 [開始],按一下 [執行],輸入 regedit,然後按一下 [確定]。
找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在 [編輯] 功能表中,指向 [新增],然後按一下 [DWORD 值]。
輸入 OldPasswordAllowedPeriod 做為 DWORD 的名稱,然後按 ENTER。
以滑鼠右鍵按兩下 [OldPasswordAllowedPeriod],然後按兩下 [ 修改]。
在 [ 值數據] 方塊中,以您想要使用的分鐘為單位輸入值,然後按兩下 [ 確定]。
注意
生命週期以分鐘作為設定單位。 如果未設定此登錄值,舊密碼的預設存留期為五分鐘。
結束登錄編輯程式。
注意
此登錄設定不需要重新啟動才會生效。
此行為不會造成安全性弱點。 只要只有一位使用者知道這兩個密碼,使用者仍會使用任一密碼安全地進行驗證。
如果已知用戶的密碼遭到入侵,系統管理員應該重設該用戶的密碼。 系統管理員應該要求使用者在下次登入時變更密碼,以儘快使舊密碼失效。
若要重設用戶的密碼,請遵循下列步驟:
- 啟動 Active Directory 使用者與電腦。
- 找出必須重設其密碼的用戶帳戶。
- 以滑鼠右鍵按兩下使用者物件,然後按兩下 [ 重設密碼]。
- 在 [ 新增密碼 ] 方塊和 [ 確認密碼] 方塊中輸入新密碼 。
- 按兩下以選取 [ 用戶必須在下次登入 時變更密碼] 複選框,然後按兩下 [ 確定]。
注意
只有在域控制器上的有效密碼原則已 將 [強制密碼歷程記錄 ] 設定為指定將記住兩個或多個密碼的值時,才會發生本文中所述的行為。 密碼原則應在網域層級設定。 您可以使用 Secpol.msc 嵌入式管理單元,判斷原則是否對域控制器生效。 您也可以使用 更細緻的密碼原則來設定網域用戶密碼歷程記錄。