Изменение пароля учетной записи Windows Server 2016 с Active Directory

Смена пароля AD

Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory

Для этого откройте «Пуск» -> «Средства администрирования» -> «Пользователи и компьютеры Active Directory»

В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users»
Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля. «

В окне смена пароля,

1. Введите новый пароль (пароль должен быть не меньше 8 символов)
2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.
3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.

Если все данные ввели правильно то появится окно об удачной смене пароля

Срок истечения пароля AD

Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory

Для этого откройте «Пуск» -> «Средства администрирования» -> «Управление групповой политикой»

Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево
«Лес: Имя Вашего домена»
-> «Домены»
-> «Имя Вашего домена»
-> «Default Domain Policy»

затем в блоке справа выберите вкладку «Параметры».

Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»

В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля 42 дня» и в контекстном меню выберите «Изменить»

Перед Вами откроется «Редактор управления групповыми политиками»

В этом редакторе, в блоке слева откройте дерево «Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»

В блоке справа откройте «Максимальный срок действия пароля 42 дня»

В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.

Windows Server: Отключение срока действия пароля

В целях повышения безопасности, в серверных операционных системах Windows включен срок действия пароля, по истечению которого, система будет сообщать вам о необходимости смен пароля. Если же данная функция вам не нужна, её возможно выключить через групповые политики.

Отключение ограничения по сроку действия пароля локально

Отключить данную настройку можно следующим образом:

Открываем Выполнить (Пуск — Выполнить или Win+R), после чего набираем gpedit.msc и жмем ОК.

В левой панели переходим в Конфигурация компьютера — Конфигурация windows — Параметры безопасности — Политики учетных записей — Политика паролей. Ищем пункт «Максимальный срок действия пароля». По умолчанию он равен 42 дням — ровно через столько, после установки нового пароля система сообщит вам о том, что ваш пароль устарел и его необходимо сменить.

Щелкаем два раза по этому пункту и ставим 0, чтобы отключить срок действия пароля.

Отключение ограничения по сроку действия пароля в домене

В отличии от предыдущего способа, где речь шла про редактирование локальных групповых политик, здесь нужно отредактировать групповые политики домена Active Directory. Для этого нужно удаленно зайти на сервер контроллера домена, открыть окно «Выполнить» и набрать там команду gpmc.msc , после чего нажать кнопку «ОК».

Откроется окно Управление групповой политикой. В нем находим нужную политику (по умолчанию — Default Domain Policy), и нажимаем на ней правой кнопкой мыши — и в появившемся контекстном меню выбираем «Изменить».

Откроется обычное окно редактирования групповых политик — где нужно совершить действия, описанные главой выше.

Отключение изменений пароля учетной записи автоматической учетной записи

В этой статье описывается, как администратор может отключить изменения пароля учетной записи автоматических компьютеров.

Оригинальная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 154501

Аннотация

Пароли учетных записей машин регулярно меняются в целях безопасности. По умолчанию на Windows NT компьютеров пароль учетной записи компьютера автоматически меняется каждые семь дней. Начиная с компьютеров на базе Windows 2000, пароль учетной записи машины автоматически изменяется каждые 30 дней.

Если отключать изменения пароля учетной записи компьютера, существуют риски безопасности, так как канал безопасности используется для сквозной проверки подлинности. Если кто-то обнаружит пароль, он может потенциально выполнить сквозную проверку подлинности контроллеру домена.

Дополнительные сведения

Может потребоваться отключить изменения пароля учетной записи автоматической учетной записи по умолчанию по одной из следующих причин:

Необходимо уменьшить количество случаев репликации. В качестве побного эффекта изменения пароля учетной записи автоматических компьютеров домен с большим количеством клиентских компьютеров и контроллеров домена может вызывать частое повторение. Вы можете отключить автоматические изменения пароля учетной записи компьютера, чтобы уменьшить количество случаев репликации.

У вас есть две отдельные установки Windows NT Windows 2000 на одном компьютере в конфигурации с двумя загрузками. В этом случае единственным способом обмена одной и той же учетной записью компьютера между двумя установками Windows NT или Windows 2000 является использование пароля учетной записи компьютера по умолчанию, который создается при вступив в домен.

Если вы часто делаете чистую установку Windows NT Windows 2000, необходимо иметь администратора на домене, который может создать учетную запись машины в домене. Если это проблема, пароль учетной записи машины можно оставить по умолчанию.

Вы можете отключить изменения пароля учетной записи компьютера на рабочей станции, установив запись реестра DisablePasswordChange со значением 1. Для этого выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях отом, как создать и восстановить реестр в Windows.

Начните редактор реестра. Для этого выберите Начните, выберите Выполнить, введите regedit в поле Открыть, а затем выберите ОК.

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

В правой области выберите запись DisablePasswordChange.

В меню Изменить выберите Изменение.

В поле Значение данных введите значение 1, а затем выберите ОК.

Quit Registry Editor.

В Windows NT версии 4.0 и Windows 2000, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 можно отключить изменение пароля учетной записи компьютера, установив запись реестра RefusePasswordChange со значением 1 на всех контроллерах домена в домене, а не на всех рабочих станциях. Для этого выполните следующие действия.

В Windows NT контроллеры домена 4.0 необходимо изменить запись реестра RefusePasswordChange на значение 1 для всех контроллеров домена резервного копирования (BDCs) в домене, прежде чем внести изменения на основном контроллере домена (PDC). Несоблюдение этого порядка приведет к в журналу событий PDC для входа в ИД события 5722.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительных сведениях отом, как создать и восстановить реестр в Windows.

Откройте редактор реестра. Для этого выберите Начните, выберите Выполнить, введите regedit в поле Открыть, а затем выберите ОК.

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

В меню Редактирование указать значение New, а затем выберите значение DWORD.

Введите RefusePasswordChange в качестве имени записи реестра и нажмите кнопку ENTER.

В меню Изменить выберите Изменение.

В поле Данные значения введите значение 1, а затем выберите ОК.

Закройте редактор реестра.

Запись реестра RefusePasswordChange заставляет контроллер домена отказывать в запросах на изменение пароля только с рабочих станций или серверов членов, которые работают Windows NT версии 4.0 или более поздней версии.

Если вы задаёте запись реестра RefusePasswordChange значение 1, после того как рабочей станции или серверу-члену сначала попытается изменить пароль учетной записи компьютера, будут предотвращены дальнейшие попытки изменить пароль (возвращая определенный код состояния). Компьютер Windows NT на основе 4.0 будет пытаться изменить пароль учетной записи компьютера через семь дней, а компьютер на базе Windows 2000 — через 30 дней. Если вы установите запись реестра RefusePasswordChange со значением 1, трафик репликации остановится, но не клиентский трафик. Если вы установите запись реестра DisablePasswordChange со значением 1, трафик клиента и репликации остановится.

Если отключать изменения пароля учетной записи автоматических компьютеров, можно настроить две (или более) установки Windows NT или Windows 2000 на том же компьютере, который использует ту же учетную запись компьютера. Другим возможным использованием для этого объекта являются виртуальные гости, в которых вы возвращаете старые снимки или изображения дисков, и вам не нужно возвращать машину в домен.

Пользователь может не иметь возможности изменить свой пароль, если вы настроят параметр «Пользователь должен изменить пароль при следующем учете в учетной записи».

В этой статье данная статья содержит некоторые сведения о проблеме, из-за которую пользователь может не иметь возможности изменить пароль при настройке параметра «Пользователь должен изменить пароль при следующем учете при следующем учете в учетной записи».

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 320325

Аннотация

Если вы администратор, вы можете настроить пользователя, который должен изменить пароль при следующем параметре для учетной записи пользователя при сбросе пароля. В этом случае пользователю потребуется изменить пароль при следующем входе в систему. Однако если вы настроили этот параметр и пользователю будет предложено изменить пароль, задержка репликации может привести к тому, что пользователь получит сообщение о том, что старый пароль неверен после вводить старый пароль. В этой статье описывается сценарий, в котором возникает эта проблема.

Дополнительные сведения

При сбросе пароля пользователя можно настроить, что пользователь должен изменить пароль при следующем параметре. Обычно эта операция выполняется на основном хозяине операций контроллера домена (PDC), который может быть расположен на сайте, который отличается от сайта, на который пользователь выполняет вход. Поэтому может возникать задержка репликации, что может привести к симптомам, описанным в предыдущем разделе. Эта проблема описана в следующем сценарии:

1. Пользователь забудет свой пароль (например, password1), а затем сбросит пароль до password2.
2. Пользователь на удаленном сайте использует новый пароль (password2) для входа в локальный контроллер домена (удаленный контроллер домена).
3. Удаленный контроллер домена не распознает пароль password2 (он знает только password1). Контроллер домена передает (цепочки) запрос на регистрацию в мастере операций PDC.
4. Мастер операций PDC удовлетворяет запрос на регистрацию, а затем передает удаленному контроллеру домена сообщение о том, что пользователю необходимо изменить пароль.
5. Это сообщение передается обратно на клиентский компьютер, где пользователю будет предложено изменить пароль.
6. Когда пользователю будет предложено изменить пароль, им будет предложено ввести старый пароль и новый пароль. В этом случае пользователь в качестве старого пароля ввести новый пароль (password2), а затем ввести новый пароль.
7. Клиент снова свяжитесь с удаленным контроллером домена (так как этот контроллер домена находится на том же сайте, что и клиент), чтобы изменить пароль. Однако удаленный контроллер домена имеет пароль, который пользователь использовал во время запроса на сброс пароля (password1), и не распознает пароль password2 как старый пароль.
8. Поскольку password2 не является правильным старым паролем (в соответствии с удаленным контроллером домена), операция смены пароля не будет работать. Однако после того как новый пароль (password2) реплицируется на удаленный контроллер домена, если пользователь вводит пароль2 при запросе на ввод старого пароля, операция смены пароля будет успешной.

Вы можете уменьшить задержку в сети, изменив пароль пользователя на контроллере домена на сайте, на который пользователь входит. Чтобы изменить фокус оснастки «Пользователи Active Directory & Компьютеры» на контроллер домена на сайте, щелкните правой кнопкой мыши верхнюю часть левой области оснастки «Пользователи Active Directory & Компьютеры» и выберите «Подключиться к контроллеру домена». Теперь вы можете найти контроллер домена на сайте, на который находится пользователь, и изменить пароль.