none
Refuse Machine account password changes RRS feed

  • Pregunta

  • Hola colegas...

    Cual es la consecuencia de activar esta opcion "Refuse machine account password". No me queda claro el concepto de "computer account password"  Es diferente a la cuenta del usuario? Segun la explicacion en AD este password se cambia cada 30 dias por defecto.

     

    jueves, 15 de abril de 2010 13:28

Respuestas

  • Buenos dias ...

    En realidad creo que seria al revez ... que pasa si un usuario no cambia la contraseña en toda su vida ? Alguien podria hacer uso de por vida de esas credenciales :) Por eso mismo se setea una politica de cambio de password para que el mismo expire, con el simple hecho de mantener la seguridad

    En el caso de cuentas de computador seria lo mismo a mi entender.


    http://support.microsoft.com/default.aspx/kb/154501?p=1

    Warning If you disable machine account password changes, there are security risks because the security channel is used for pass-through authentication. If someone discovers a password, he or she can potentially perform pass-through authentication to the domain controller.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    • Marcado como respuesta shalom06 viernes, 16 de abril de 2010 14:05
    viernes, 16 de abril de 2010 11:09
    Moderador

Todas las respuestas

  • Las cuentas de máquina tienen muchas similitudes con las cuentas de usuario.

    Y como cualquier cuenta de AD periódicamente cambia la contraseña. La diferencia es que no hay que hacerlo manualmente, ya que lo hace el equipo sin preguntar ni avisar.

    Las máquinas desde todos los NTs en adelante, salvo los Win9x/ME, se autentican en AD

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 15 de abril de 2010 18:20
    Moderador
  • La firma auditora me indica que existe el riesgo de que usuarios no autorizados puedan obtener la contraseña de usuario administrador del dominio. si esta opcion no esta definida.

    Que me puedes comentar al respecto y es buena practica definirla como Disable.?

    jueves, 15 de abril de 2010 19:57
  • Buenos dias ...

    En realidad creo que seria al revez ... que pasa si un usuario no cambia la contraseña en toda su vida ? Alguien podria hacer uso de por vida de esas credenciales :) Por eso mismo se setea una politica de cambio de password para que el mismo expire, con el simple hecho de mantener la seguridad

    En el caso de cuentas de computador seria lo mismo a mi entender.


    http://support.microsoft.com/default.aspx/kb/154501?p=1

    Warning If you disable machine account password changes, there are security risks because the security channel is used for pass-through authentication. If someone discovers a password, he or she can potentially perform pass-through authentication to the domain controller.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    • Marcado como respuesta shalom06 viernes, 16 de abril de 2010 14:05
    viernes, 16 de abril de 2010 11:09
    Moderador
  • Holashalom06, comparto lo que dice Sebatián, que una contraseña no cambie en el tiempo siempre es un riesgo de seguridad.

    No me creo un "experto en seguridad", pero no veo la relación entre el cambio de contraseña de una cuenta de máquina y el riesgo con la contraseña del administrador del dominio. Quizás ellos puedan explicarte el por qué.

    Dicha opción está puesta por Microsoft justamente como medida de seguridad.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 16 de abril de 2010 11:20
    Moderador