Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren beschrieben.
Referenz
Die Richtlinieneinstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren bestimmt, ob ein Domänenmitglied regelmäßig sein Computerkennwort ändert. Wenn Sie den Wert auf Aktiviert festlegen, wird verhindert, dass das Domänenmitglied das Kontokennwort des Computers ändert. Wird die Einstellung auf Deaktiviert festgelegt, kann das Domänenmitglied das Computerkontenkennwort gemäß dem Wert der Richtlinieneinstellung Domänenmitglied: Maximalalter von Computerkontenkennwörtern ändern, die standardmäßig auf 30 Tage festgelegt ist.
Standardmäßig müssen für Geräte, die einer Domäne angehören, die Kennwörter der Konten automatisch alle 30 Tage geändert werden. Für Geräte, bei denen das Computerkennwort nicht automatisch geändert werden kann, besteht das Risiko, dass ein böswilliger Benutzer das Kennwort für das Domänenkonto des Systems ermittelt.
Vergewissern Sie sich, dass die Einstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren auf Deaktiviert festgelegt ist.
Mögliche Werte
Aktiviert
Deaktiviert
Bewährte Methoden
Aktivieren Sie diese Richtlinieneinstellung nicht. Mit Kennwörtern für Computerkonten wird ein sicherer Kommunikationskanal zwischen Mitgliedern und Domänencontrollern sowie zwischen den Domänencontrollern innerhalb der Domäne eingerichtet. Nachdem eine derartige Kommunikation eingerichtet wurde, werden über den sicheren Kanal vertrauliche Informationen übertragen, die für Authentifizierungs- und Autorisierungsentscheidungen erforderlich sind.
Verwenden Sie diese Einstellung nicht, um Dual-Boot-Szenarien zu unterstützen, bei denen das gleiche Computerkonto verwendet wird. Wenn Sie Installationen im Dual-Boot-Modus ausführen möchten, die der gleichen Domäne angehören, weisen Sie den beiden Installationen unterschiedliche Computernamen zu. Diese Richtlinieneinstellung wurde dem Windows-Betriebssystem hinzugefügt, um Organisationen das Vorhalten bereits konfigurierter Computer zu ermöglichen, die erst Monate später in die Produktion überführt werden. Diese Geräte müssen der Domäne nicht erneut beitreten.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Deaktiviert |
Standardrichtlinie für Domänencontroller |
Deaktiviert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Standardmäßig werden die Kontokennwörter für Geräte mit Windows Server, die einer Domäne angehören, automatisch nach einer bestimmten Anzahl von Tagen geändert (normalerweise nach 30 Tagen). Wenn Sie diese Richtlinieneinstellung deaktivieren, werden auf Windows Server-Geräten die gleichen Kennwörter wie für die Computerkonten beibehalten. Für Geräte, bei denen das Kontokennwort nicht automatisch geändert wird, besteht das Risiko, dass ein Angreifer das Kennwort für das Domänenkonto des Computers ermittelt.
Gegenmaßnahme
Vergewissern Sie sich, dass die Einstellung Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren auf Deaktiviert festgelegt ist.
Mögliche Auswirkung
Keine. Dies ist die Standardkonfiguration.