Запретить пользователям изменять пароль в Windows 10/8/7

В некоторых случаях вы можете захотеть ограничить или поменять пароль в Windows 10/8 . Причин может быть много – может быть, у вас есть два пользователя, использующих одну и ту же учетную запись для входа в Windows, и вы не можете менять пароль напрямую. Или вы просто не хотите, чтобы какой-то пользователь сменил свой пароль. В таких случаях вы можете запретить обычным пользователям изменять свой пароль в Windows 10/8/7, используя управление компьютером, групповую политику и редактор реестра.

Запретить пользователям изменять пароль

Использование управления компьютером

В меню WinX Windows откройте «Управление компьютером». На левой панели прокрутите вниз до Системные инструменты> Локальные пользователи и группы> Пользователи.

В средней панели вы увидите список учетных записей пользователей на вашем компьютере с Windows. Щелкните правой кнопкой мыши на имени пользователя, к которому вы хотите применить это ограничение, и выберите Свойства. Откроется следующее окно.

Установите флажок Пользователь не может изменить пароль и нажмите «Применить».

Теперь, если пользователь пытается изменить свой пароль, он или она получит сообщение Windows не может изменить пароль .

Использование редактора групповой политики

В меню WinX откройте окно «Выполнить», введите gpedit.msc и нажмите Enter, чтобы открыть редактор групповой политики.

Перейдите к следующему параметру:

Конфигурация пользователя> Административные шаблоны> Система> Параметры Ctrl + Alt + Del

На правой панели дважды нажмите Удалить пароль для изменения и выберите «Включено».

Этот параметр политики запрещает пользователям изменять свои пароли Windows по требованию. Если вы включите этот параметр политики, кнопка «Изменить пароль» в диалоговом окне «Безопасность Windows» не появится при нажатии клавиш Ctrl + Alt + Del. Тем не менее, пользователи по-прежнему могут изменить свой пароль при запросе системы. Система запрашивает у пользователя новый пароль, когда администратору требуется новый пароль или срок его действия истекает.

Нажмите Применить и выйдите.

Использование редактора реестра

Если ваша версия Windows не имеет групповой политики, используйте редактор реестра.

Запустите regedit , чтобы открыть редактор реестра и перейти к следующему разделу реестра:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies

Теперь на правой панели щелкните правой кнопкой мыши и выберите DWORD (32-разрядный), чтобы создать ключ. Назовите новый DWORD DisableChangePassword . Дважды щелкните по нему, чтобы изменить его значение. Теперь дайте ему значение данных, 1 .

Вам может потребоваться перезагрузить компьютер Windows.

Теперь узнайте, как можно укрепить политику паролей Windows.

Запретить пользователю изменять пароль в Windows 10

В этой статье мы рассмотрим как разрешить или запретить пользователю изменять свой пароль в Windows 10.

В Windows есть функция, которая позволяет администратору запретить пользователю изменять пароль своей учетной записи. Вы можете использовать данную функцию только для обычных пользователей, пользователь с правами администратора будет и дальше в состоянии поменять свой пароль.

Запретить пользователю изменять пароль в “Локальные пользователи и группы”

Локальные пользователи и группы есть только в Windows 10 Pro, Enterprise и Education.

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+r) напишите lusrmgr.msc и нажмите Enter.

2.В левой колонке выберите «Пользователи», в правой колонке нажмите правой клавишей мыши на пользователя, которому нужно запретить изменение пароля => из открывшегося меню выберите «Свойства».

3. Поставьте галочку в поле “Запретить смену пароля пользователем” и нажмите “ОК”.

Закройте окно “Локальные пользователи и группы”, теперь если пользователь которому вы задали ограничение не обладает правами администратора – он не сможет изменить пароль.

Запретить пользователю изменять пароль в командной строке

1.Откройте командную строку от имени администратора: один из способов — нажать на меню «Пуск» правой клавишей мыши и выбрать «Командная строка (администратор) из открывшегося меню.

3. Введите команду net user “ имя пользователя ” /PasswordChg:No и нажмите клавишу Enter. В команде “Имя пользователя” меняйте на имя того пользователя, которому нужно запретить изменение пароля. К примеру, мне нужно запретить изменение пароля пользователю Sa, команда будет выглядеть так – net user “Sa” /PasswordChg:No

Чтобы разрешить изменение пароля нужно ввести команду net user “ имя пользователя ” /PasswordChg:Yes. Когда напишет “Команда выполнена успешно” – закройте командную строку.

На сегодня всё, если у вас есть дополнения или вы знаете другие способы – пишите комментарии! Удачи Вам 🙂

Отключение изменений пароля учетной записи автоматической учетной записи

В этой статье описывается, как администратор может отключить изменения пароля учетной записи автоматических компьютеров.

Оригинальная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 154501

Аннотация

Пароли учетных записей машин регулярно меняются в целях безопасности. По умолчанию на Windows NT компьютеров пароль учетной записи компьютера автоматически меняется каждые семь дней. Начиная с компьютеров на базе Windows 2000, пароль учетной записи машины автоматически изменяется каждые 30 дней.

Если отключать изменения пароля учетной записи компьютера, существуют риски безопасности, так как канал безопасности используется для сквозной проверки подлинности. Если кто-то обнаружит пароль, он может потенциально выполнить сквозную проверку подлинности контроллеру домена.

Дополнительные сведения

Может потребоваться отключить изменения пароля учетной записи автоматической учетной записи по умолчанию по одной из следующих причин:

Необходимо уменьшить количество случаев репликации. В качестве побного эффекта изменения пароля учетной записи автоматических компьютеров домен с большим количеством клиентских компьютеров и контроллеров домена может вызывать частое повторение. Вы можете отключить автоматические изменения пароля учетной записи компьютера, чтобы уменьшить количество случаев репликации.

У вас есть две отдельные установки Windows NT Windows 2000 на одном компьютере в конфигурации с двумя загрузками. В этом случае единственным способом обмена одной и той же учетной записью компьютера между двумя установками Windows NT или Windows 2000 является использование пароля учетной записи компьютера по умолчанию, который создается при вступив в домен.

Если вы часто делаете чистую установку Windows NT Windows 2000, необходимо иметь администратора на домене, который может создать учетную запись машины в домене. Если это проблема, пароль учетной записи машины можно оставить по умолчанию.

Вы можете отключить изменения пароля учетной записи компьютера на рабочей станции, установив запись реестра DisablePasswordChange со значением 1. Для этого выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях отом, как создать и восстановить реестр в Windows.

Начните редактор реестра. Для этого выберите Начните, выберите Выполнить, введите regedit в поле Открыть, а затем выберите ОК.

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

В правой области выберите запись DisablePasswordChange.

В меню Изменить выберите Изменение.

В поле Значение данных введите значение 1, а затем выберите ОК.

Quit Registry Editor.

В Windows NT версии 4.0 и Windows 2000, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 можно отключить изменение пароля учетной записи компьютера, установив запись реестра RefusePasswordChange со значением 1 на всех контроллерах домена в домене, а не на всех рабочих станциях. Для этого выполните следующие действия.

В Windows NT контроллеры домена 4.0 необходимо изменить запись реестра RefusePasswordChange на значение 1 для всех контроллеров домена резервного копирования (BDCs) в домене, прежде чем внести изменения на основном контроллере домена (PDC). Несоблюдение этого порядка приведет к в журналу событий PDC для входа в ИД события 5722.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях отом, как создать и восстановить реестр в Windows.

Откройте редактор реестра. Для этого выберите Начните, выберите Выполнить, введите regedit в поле Открыть, а затем выберите ОК.

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

В меню Редактирование указать значение New, а затем выберите значение DWORD.

Введите RefusePasswordChange в качестве имени записи реестра и нажмите кнопку ENTER.

В меню Изменить выберите Изменение.

В поле Данные значения введите значение 1, а затем выберите ОК.

Закройте редактор реестра.

Запись реестра RefusePasswordChange заставляет контроллер домена отказывать в запросах на изменение пароля только с рабочих станций или серверов членов, которые работают Windows NT версии 4.0 или более поздней версии.

Если вы задаёте запись реестра RefusePasswordChange значение 1, после того как рабочей станции или серверу-члену сначала попытается изменить пароль учетной записи компьютера, будут предотвращены дальнейшие попытки изменить пароль (возвращая определенный код состояния). Компьютер Windows NT на основе 4.0 будет пытаться изменить пароль учетной записи компьютера через семь дней, а компьютер на базе Windows 2000 — через 30 дней. Если вы установите запись реестра RefusePasswordChange со значением 1, трафик репликации остановится, но не клиентский трафик. Если вы установите запись реестра DisablePasswordChange со значением 1, трафик клиента и репликации остановится.

Если отключать изменения пароля учетной записи автоматических компьютеров, можно настроить две (или более) установки Windows NT или Windows 2000 на том же компьютере, который использует ту же учетную запись компьютера. Другим возможным использованием для этого объекта являются виртуальные гости, в которых вы возвращаете старые снимки или изображения дисков, и вам не нужно возвращать машину в домен.

Контроллер домена: запретить изменение пароля учетных записей компьютера Domain controller: Refuse machine account password changes

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для контроллера домена: откажитесь от настройки политики безопасности изменения пароля учетной записи компьютера. Describes the best practices, location, values, and security considerations for the Domain controller: Refuse machine account password changes security policy setting.

Справочные материалы Reference

Этот параметр политики включает или отключает блокировку контроллера домена на прием запросов на изменение паролей для учетных записей компьютеров. This policy setting enables or disables blocking a domain controller from accepting password change requests for machine accounts. По умолчанию устройства, которые присоединились к домену, изменяют пароли учетной записи компьютера каждые 30 дней. By default, devices joined to the domain change their machine account passwords every 30 days. Если этот запрос включен, контроллер домена отключит запросы на изменение пароля учетной записи компьютера. If enabled, the domain controller will refuse machine account password change requests.

Возможные значения Possible values

Если этот параметр включен, контроллер домена не может принимать любые изменения пароля учетной записи компьютера. When enabled, this setting does not allow a domain controller to accept any changes to a machine account’s password.

Если этот параметр отключен, контроллер домена может принимать любые изменения пароля учетной записи компьютера. When disabled, this setting allows a domain controller to accept any changes to a machine account’s password.

Не определено Not defined

То же, что и Disabled. Same as Disabled.

Рекомендации Best practices

• Включение этого параметра политики на всех контроллерах домена в домене предотвращает изменение пароля учетной записи компьютера членами домена. Enabling this policy setting on all domain controllers in a domain prevents domain members from changing their machine account passwords. Это, в свою очередь, делает эти пароли уязвимыми для атак. This, in turn, leaves those passwords susceptible to attack. Убедитесь, что это соответствует общей политике безопасности домена. Make sure that this conforms to your overall security policy for the domain.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Не определено Not defined
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Не применяются Not applicable

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства при их локальном экономии или распространении с помощью групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Если включить этот параметр политики на всех контроллерах домена в домене, участники домена не смогут изменить пароли учетных записей компьютера, и эти пароли будут более уязвимыми для атак. If you enable this policy setting on all domain controllers in a domain, domain members cannot change their machine account passwords, and those passwords are more susceptible to attack.

Противодействие Countermeasure

Отключение контроллера домена: отказаться от изменения пароля учетной записи компьютера. Disable the Domain controller: Refuse machine account password changes setting.

Возможное влияние Potential impact

Нет. None. Это конфигурация по умолчанию. This is the default configuration.