Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern beschrieben.
Referenz
Mit dieser Einstellung wird für einen Domänencontroller das Akzeptieren von Anfragen zum Ändern von Kennwörtern für Computerkonten aktiviert bzw. deaktiviert. In der Standardeinstellung ändern in die Domäne eingebundene Geräte ihre Computerkontenkennwörter alle 30 Tage. Wenn die Einstellung aktiviert ist, lehnt der Domänencontroller Anfragen zum Ändern von Computerkontenkennwörtern ab.
Mögliche Werte
Aktiviert
Wenn diese Einstellung aktiviert ist, wird einem Domänencontroller das Akzeptieren von Änderungen an einem Computerkontenkennwort nicht gestattet.
Deaktiviert
Wenn diese Einstellung deaktiviert ist, wird einem Domänencontroller das Akzeptieren von Änderungen an einem Computerkontenkennwort gestattet.
Nicht definiert
Identisch mit „Deaktiviert“.
Bewährte Methoden
- Wenn diese Richtlinieneinstellung für alle Domänencontroller in einer Domäne aktiviert ist, wird verhindert, dass Domänenmitglieder ihre Computerkontenkennwörter ändern. Dadurch sind diese Kennwörter jedoch anfällig für Angriffe. Vergewissern Sie sich, dass eine solche Konfiguration der Gesamtsicherheitsrichtlinie für die Domäne entspricht.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht zutreffend |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn Sie diese Einstellung für alle Domänencontroller in einer Domäne aktivieren, können Mitglieder der Domäne ihre Computerkontenkennwörter nicht ändern, und die Kennwörter sind anfälliger für Angriffe.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern.
Mögliche Auswirkung
Keine Dies ist die Standardkonfiguration.