Главная » Linux

Windows domain password что это

Содержание
  1. Использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server
  2. Аннотация
  3. Использование Netdom.exe для сброса пароля учетной записи компьютера
  4. Настройка политики паролей пользователей в Active Directory
  5. Политика паролей в Default Domain Policy
  6. Основные настройки политики паролей
  7. Просмотр текущей парольной политики в домене
  8. Несколько парольных политик в домене Active Directory
  9. Член домена: отключить изменение пароля учетных записей компьютера Domain member: Disable machine account password changes
  10. Справочные материалы Reference
  11. Возможные значения Possible values
  12. Рекомендации Best practices
  13. Расположение Location
  14. Значения по умолчанию Default values
  15. Управление политикой Policy management
  16. Необходимость перезапуска Restart requirement
  17. Вопросы безопасности Security considerations
  18. Уязвимость Vulnerability
  19. Противодействие Countermeasure
  20. Возможное влияние Potential impact

Использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server

В этой пошаговой статье описывается, как использовать Netdom.exe для сброса паролей учетных записей компьютера контроллера домена в Windows Server.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 325850

Аннотация

На каждом компьютере на основе Windows хранится история паролей учетной записи компьютера, которая содержит текущие и предыдущие пароли, используемые для этой учетной записи. Когда два компьютера пытаются проверить подлинность друг с другом, а изменение текущего пароля еще не получено, Windows использует предыдущий пароль. Если последовательность изменений паролей превышает два изменения, участвующие компьютеры могут не взаимодействовать, и вы можете получить сообщения об ошибках. Например, при репликации Active Directory вы получаете сообщения об ошибке «Отказано в доступе».

Это поведение также применяется к репликации между контроллерами домена одного домена. Если контроллеры домена, не реплицируемые, находятся в двух разных доменах, более внимательно посмотрите на отношение доверия.

С помощью оснастки «Пользователи и компьютеры Active Directory» нельзя изменить пароль учетной записи компьютера. Но вы можете сбросить пароль с помощью Netdom.exe средства. Средство Netdom.exe входит в состав средств поддержки Windows для Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008.

Средство Netdom.exe сбрасывает пароль учетной записи на компьютере локально (известный как локальный секрет). Оно записывает это изменение в объект учетной записи компьютера на контроллере домена Windows, который находится в том же домене. Одновременное написание нового пароля в обоих местах гарантирует синхронизацию по крайней мере двух компьютеров, участвующих в операции. Запуск репликации Active Directory гарантирует, что изменения получат другие контроллеры домена.

В следующей процедуре описывается использование команды netdom для сброса пароля учетной записи компьютера. Эта процедура чаще всего используется на контроллерах домена, но также применяется к любой учетной записи компьютера с Windows.

Средство необходимо запускать локально на компьютере под windows, пароль которого вы хотите изменить. Кроме того, для запуска Netdom.exe необходимо иметь разрешения администратора локально и на объекте учетной записи компьютера в Active Directory.

Использование Netdom.exe для сброса пароля учетной записи компьютера

Установите средства поддержки Windows Server 2003 на контроллере домена, пароль которого необходимо сбросить. Эти средства находятся в папке на Support\Tools компакт-диске Windows Server 2003. Чтобы установить эти средства, щелкните правой кнопкой мыши файл Suptools.msi папки и выберите Support\Tools «Установить».

Этот шаг не требуется в Windows Server 2008, Windows Server 2008 R2 или более поздней версии, так как средство Netdom.exe включено в эти выпуски Windows.

Если вы хотите сбросить пароль для контроллера домена Windows, необходимо остановить службу центра распространения ключей Kerberos и установить для нее тип запуска Manual.

  • После перезапуска и проверки успешного сброса пароля можно перезапустить службу центра распространения ключей (KDC) Kerberos и установить для ее типа запуска значение «Автоматически». Это заставляет контроллер домена с неправильным паролем учетной записи компьютера обращаться к другому контроллеру домена за билетом Kerberos.
  • Может потребоваться отключить службу центра распространения ключей Kerberos на всех контроллерах домена, кроме одного. Если это возможно, не отключать контроллер домена, который имеет глобальный каталог, если у него нет проблем.

Удалите кэш билетов Kerberos на контроллере домена, где вы получаете ошибки. Это можно сделать, перезагрузив компьютер или используя средства KLIST, Kerbtest или KerbTray. KLIST входит в состав Windows Server 2008 и Windows Server 2008 R2. Для Windows Server 2003 KLIST доступен для бесплатной загрузки в комплекте ресурсов Windows Server 2003 Resource Kit Tools.

В командной подсказке введите следующую команду:

Описание этой команды:

/s: — имя контроллера домена, используемого для настройки пароля учетной записи компьютера. Это сервер, на котором работает KDC.

/ud: — это учетная запись пользователя, которая создает подключение к домену, указанному в /s параметре. Он должен быть в формате домен\пользователь. Если этот параметр опущен, используется текущая учетная запись пользователя.

Читайте также:  Брандмауэр windows не активна изменить параметры

/pd:* указывает пароль учетной записи пользователя, указанной в /ud параметре. Для запроса пароля используйте звездочку (*). Например, локальный компьютер контроллера домена — Server1, а одноранговой контроллер домена Windows — Server2. Если вы запустите Netdom.exe Server1 со следующими параметрами, пароль будет изменен локально и одновременно записан на сервере Server2. Репликация распространяет изменения на другие контроллеры домена:

Перезапустите сервер, пароль которого был изменен. В этом примере это Server1.

Настройка политики паролей пользователей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить доменную политику паролей. Политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

Политика паролей в Default Domain Policy

По-умолчанию в домене AD настройка общих требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy. Эта политика прилинкована к корню домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC эмулятор.

  1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console – gpmc.msc );
  2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit;
  3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy);
  4. Чтобы отредактировать настройки параметра политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения;
  5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить новые параметры групповых политик немедленно, выполнив команду gpupdate /force

Вы можете изменить настройки политики паролей из консоли управления GPO или с помощью PowerShell командлета Set-ADDefaultDomainPasswordPolicy:

Set-ADDefaultDomainPasswordPolicy -Identity winitpro.ru -MinPasswordLength 14 -LockoutThreshold 10

Основные настройки политики паролей

Рассмотрим все доступные для настройки параметры управления паролями пользователями. Всего есть шесть параметров политики паролей:

  • Вести журнал паролей (Enforce password history) – определяет количество старых паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль (однако администратор домена или пользователь, которому делегированы права на сброс пароля в AD, может вручную задать для аккаунта старый пароль);
  • Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях. После истечения срока действия пароля Windows потребует у пользователя сменить пароль. Обеспечивает регулярность смены пароля пользователями;

Если пользователь пытается сменить пароль, которые не соответствует политике паролей в домене, у него появится ошибка:

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

  • Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована;
  • Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно заблокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль;
  • Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Настройки парольных политик домена Active Directory по-умолчанию перечислены в таблице:

Политика Значение по-умолчанию
Enforce password history 24 пароля
Maximum password age 42 дня
Minimum password age 1 день
Minimum password length 7
Password must meet complexity requirements Включено
Store passwords using reversible encryption Отключено
Account lockout duration Не определено
Account lockout threshold 0
Reset account lockout counter after Не определено

В Security Compliance Toolkit Microsoft рекомендует использовать следующие настройки парольных политик:

  • Enforce Password History: 24
  • Maximum password age: not set
  • Minimum password age: not set
  • Minimum password length: 14
  • Password must meet complexity: Enabled
  • Store passwords using reversible encryption: Disabled

Просмотр текущей парольной политики в домене

Вы можете посмотреть текущие настройки политики паролей в Default Domain Policy в консоли gpmc.msc (вкладка Settings).

Также можно вывести информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен модуль AD PowerShell):

Или можно проверить текущие настройки политики паролей AD на любом компьютере домена с помощью стандартной утилиты gpresult.

Несколько парольных политик в домене Active Directory

За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.

В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.

До версии Active Directory в Windows Server 2008 можно было настраивать только одну политику паролей для домена. В новых версиях AD вы можете создать отдельные политики паролей для различных групп пользователей с помощью гранулированных политик паролей Fine-Grained Password Policies (FGPP). Гранулированные политики паролей позволяют создавать и применять разные объекты параметров паролей (Password Settings Object — PSO). Например, вы можете создать PSO повышенной длиной или сложностью пароля для учетных записей доменных администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.

Член домена: отключить изменение пароля учетных записей компьютера Domain member: Disable machine account password changes

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для члена домена: отключение параметра политики безопасности «Отключить изменение пароля учетной записи компьютера». Describes the best practices, location, values, and security considerations for the Domain member: Disable machine account password changes security policy setting.

Справочные материалы Reference

Член домена: отключение параметра политики изменения пароля учетной записи компьютера определяет, периодически ли член домена изменяет пароль учетной записи компьютера. The Domain member: Disable machine account password changes policy setting determines whether a domain member periodically changes its machine account password. Если параметр имеет значение Enabled, член домена не может изменить пароль учетной записи компьютера. Setting its value to Enabled prevents the domain member from changing the machine account password. Если параметр имеет значение Disabled, участник домена может изменить пароль учетной записи компьютера, указанный в параметре политики «Домен: максимальный срок жизни пароля учетной записи компьютера», который по умолчанию составляет 30 дней. Setting it to Disabled allows the domain member to change the machine account password as specified by the value of the Domain member: Maximum machine account password age policy setting, which is every 30 days by default.

По умолчанию устройства, принадлежащие домену, должны автоматически изменять пароли учетных записей каждые 30 дней. By default, devices that belong to a domain are automatically required to change the passwords for their accounts every 30 days. Устройства, которые больше не могут автоматически менять пароль компьютера, находятся под угрозой определения пользователем пароля для учетной записи домена системы. Devices that are no longer able to automatically change their machine password are at risk of a malicious user determining the password for the system’s domain account. Убедитесь, что для параметра «Член домена: отключение изменения пароля учетной записи компьютера» установлено «Отключено». Verify that the Domain member: Disable machine account password changes option is set to Disabled.

Возможные значения Possible values

  • Enabled Enabled
  • Отключено Disabled

Рекомендации Best practices

Не в включаете этот параметр политики. Do not enable this policy setting. Пароли учетных записей компьютера используются для обеспечения безопасного канала связи между членами и контроллерами домена, а также между контроллерами домена в домене. Machine account passwords are used to establish secure channel communications between members and domain controllers and between the domain controllers within the domain. После этого безопасный канал передает конфиденциальную информацию, необходимую для принятия решений о проверке подлинности и авторизации. After it is established, the secure channel transmits sensitive information that is necessary for making authentication and authorization decisions.

Не используйте этот параметр политики для поддержки сценариев двойной загрузки, которые используют ту же учетную запись компьютера. Do not use this policy setting to try to support dual-boot scenarios that use the same machine account. Если вы хотите настроить установку с двумя загрузками, которые присоединяются к одному домену, придате этим двум установкам разные имена компьютеров. If you want to configure dual-boot installations that are joined to the same domain, give the two installations different computer names. Этот параметр политики был добавлен в операционную систему Windows, чтобы помочь организациям, которые более позднее помещались в эксплуатацию на готовых компьютерах. This policy setting was added to the Windows operating system to help organizations that stockpile pre-built computers that are put into production months later. Эти устройства не нужно повторно соединять с доменом. Those devices do not have to be rejoined to the domain.

Этот параметр политики можно использовать в определенных средах, например: You may want to consider using this policy setting in specific environments, such as the following:

  • Постоянные реализации инфраструктуры виртуальных рабочих стола. Non-persistent Virtual Desktop Infrastructure implementations. В таких реализациях каждый сеанс начинается с базового образа только для чтения. In such implementations, each session starts from a read-only base image.
  • Внедренные устройства, которые не имеют доступа на записи к тому ОС. Embedded devices that do not have write access to the OS volume.

В любом случае смена пароля, выполненная во время обычных операций, будет потеряна сразу после окончания сеанса. In either case, a password change that was made during normal operations would be lost as soon as the session ends. Настоятельно рекомендуется планировать смену паролей для окон обслуживания. We strongly recommend that you plan password changes for maintenance windows. Добавьте изменения паролей в обновления и изменения, выполняемые Windows во время периодов обслуживания. Add the password changes to the updates and modifications that Windows performs during maintenance windows. Чтобы запустить обновление пароля для определенного тома ОС, запустите следующую команду: To trigger a password update on a specific OS volume, run the following command:

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Отключено Disabled
Политика контроллера домена по умолчанию Default Domain Controller Policy Отключено Disabled
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

По умолчанию устройства под управлением Windows Server, принадлежащие домену, автоматически меняют свои пароли для своих учетных записей каждые определенное количество дней, как правило, 30. By default, devices running Windows Server that belong to a domain automatically change their passwords for their accounts every certain number of days, typically 30. Если вы отключите этот параметр политики, устройства под названием Windows Server будут хранить те же пароли, что и их учетные записи компьютера. If you disable this policy setting, devices that run Windows Server retain the same passwords as their machine accounts. Устройства, которые не могут автоматически изменить пароль учетной записи, находятся под угрозой со стороны злоумышленника, который может определить пароль для учетной записи домена компьютера. Devices that cannot automatically change their account password are at risk from an attacker who could determine the password for the machine’s domain account.

Противодействие Countermeasure

Убедитесь, что для параметра «Член домена: отключение изменения пароля учетной записи компьютера» установлено «Отключено». Verify that the Domain member: Disable machine account password changes setting is configured to Disabled.

Возможное влияние Potential impact

Нет. None. Это конфигурация по умолчанию. This is the default configuration.

Читайте также:  Клиент гугл диска для windows
Оцените статью
© 2024 Советы по настройке компьютера