Контроллер домена: запретить изменение пароля учетных записей компьютера
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Контроллер домена: запретить изменение пароля учетных записей компьютера.
Справка
С помощью этого параметра политики можно запретить или разрешить контроллеру домена принимать запросы на изменение паролей учетных записей устройств. По умолчанию присоединенные к домену устройства изменяют пароли своих учетных записей каждые 30 дней. Если вы включите этот параметр, контроллер домена будет отклонять запросы на изменение паролей учетных записей устройств.
Возможные значения
Включено
Если этот параметр включен, контроллеру домена запрещено принимать любые изменения паролей учетных записей устройств.
Отключено
Если этот параметр отключен, контроллеру домена разрешено принимать любые изменения паролей учетных записей устройств.
Не определено
Аналогично значению «Отключено».
Рекомендации
- Если вы включите этот параметр политики на всех контроллерах доменов в домене, членам домена будет запрещено изменять пароли учетных записей их устройств. Это, в свою очередь, не повысит устойчивость паролей к атакам. Убедитесь, что такой вариант соответствует общей политике безопасности для домена.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Неприменимо |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если вы включите этот параметр политики на всех контроллерах домена в домене, участники домена не смогут изменять пароли своих учетных записей устройств, а сами пароли станут в большей степени подвержены атакам.
Меры противодействия
Отключите параметр Контроллер домена: запретить изменение пароля учетных записей компьютера.
Возможные последствия
Нет. Это конфигурация по умолчанию.