none
Active Directory - Maximum machine account password age RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno a tutti,

    un consiglio su come procedere; dominio Active Directory Windows 2012, Pc Windows 7 e Windows 10 (circa 300)

    In questi giorni di telelavoro, gli utenti del nostro ufficio sono stati dotati di notebook per poter lavorare da casa; in ufficio hanno lasciato spenti i loro pc desktop.

    Pensavo al discorso del rientro, alcuni di loro è più di un mese che sono a casa; ho il timore che riaccendendo i desktop in ufficio si presenti il seguente messaggio:

    "The trust relationship between this workstation and the primary domain failed"

    Le GPO presenti non sono state modificate nel parametro "Maximum machine account password age", quindi al momento credo che sia di 30 gg di default. Nella Default Domain Policy il valore è "not set".

    Tutti i PC in dominio sono contenuti in una specifica OU, che eredita tutte le GPO.

    Un vostro consiglio:

     - per non rifare il join su gran parte (se non tutti) dei pc, è meglio modificare il valore da 30gg a 120gg?

     - modifico la GPO di default o creo una GPO nuova legata alla OU dei PC?

     - l'eventuale modifica/creazione della GPO, sarà recepita all'avvio dei PC o essendo spenti, ora è inutile procedere in tal senso?

    Grazie per il supporto e buona giornata

    mercoledì 29 aprile 2020 08:26
    |

Risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    L'importante è che i client siano in grado di contattare correttamente il DC alla prima accensione, in genere non ci sono problemi se i client rimangono spenti.
    Infatti nella descrizione della policy "Maximum machine account password age": https://docs.microsoft.com/it-it/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age
    viene specificato che:

    Quando un computer viene attivato dopo essere stato offline da più di 30 giorni, il servizio Netlogon nota l'età della password e avvia un canale sicuro a un controller di dominio per modificarlo. Se non è possibile stabilire il canale sicuro, il computer non esegue l'autenticazione con il dominio.

    Quindi ti sconsiglio di modificare tale parametro, sia per una questione di sicurezza, sia perché a computer spenti non sarebbe possibile (il cambio password dell'account computer viene eseguito lato client non lato server).
    Il DC invece dovrebbe rimanere sempre acceso più per una questione di repliche, intervallo di tombstone, ecc...

    Vedi anche qui: https://serverfault.com/questions/509880/for-how-long-can-a-client-be-shutdown-in-ad


    domenica 3 maggio 2020 07:43
    |
    Moderatore
  • Question
    Registrati per votare
    1
    Registrati per votare

    Segui i consigli di Fabrizio, non toccare nulla.

    Un client può stare spento per un periodo indefinito, alla prima riaccensione contatterà il DC e rinnoverà la password di macchina, qualora non trovasse il DC l'utente entrerebbe con lecredenziali in cache (se presenti).

    Pure usando un notebook in dominio da casa i tuoi utenti avrebbero potuto continuare a lavorare senza particolari problemi, unico neo di questa situazione sarebbe stata la scadenzza della password, a meno di avre una connessione VPN...

     

    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    domenica 3 maggio 2020 10:20
    |
    Moderatore

Tutte le risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    L'importante è che i client siano in grado di contattare correttamente il DC alla prima accensione, in genere non ci sono problemi se i client rimangono spenti.
    Infatti nella descrizione della policy "Maximum machine account password age": https://docs.microsoft.com/it-it/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age
    viene specificato che:

    Quando un computer viene attivato dopo essere stato offline da più di 30 giorni, il servizio Netlogon nota l'età della password e avvia un canale sicuro a un controller di dominio per modificarlo. Se non è possibile stabilire il canale sicuro, il computer non esegue l'autenticazione con il dominio.

    Quindi ti sconsiglio di modificare tale parametro, sia per una questione di sicurezza, sia perché a computer spenti non sarebbe possibile (il cambio password dell'account computer viene eseguito lato client non lato server).
    Il DC invece dovrebbe rimanere sempre acceso più per una questione di repliche, intervallo di tombstone, ecc...

    Vedi anche qui: https://serverfault.com/questions/509880/for-how-long-can-a-client-be-shutdown-in-ad


    domenica 3 maggio 2020 07:43
    |
    Moderatore
  • Question
    Registrati per votare
    1
    Registrati per votare

    Segui i consigli di Fabrizio, non toccare nulla.

    Un client può stare spento per un periodo indefinito, alla prima riaccensione contatterà il DC e rinnoverà la password di macchina, qualora non trovasse il DC l'utente entrerebbe con lecredenziali in cache (se presenti).

    Pure usando un notebook in dominio da casa i tuoi utenti avrebbero potuto continuare a lavorare senza particolari problemi, unico neo di questa situazione sarebbe stata la scadenzza della password, a meno di avre una connessione VPN...

     

    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    domenica 3 maggio 2020 10:20
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno Fabrizio e grazie per la risposta.

    I DC sono accesi e non sono stati mai spenti, almeno questo è certo.

    I pc desktop, invece, sono spenti dal 06 marzo, quindi da circa 2 mesi; gli utenti lavorano da casa tramite notebook. Le connessioni interne (network switch, etc..) sempre attive. 

    Per ora non modifico nulla.

    Grazie per il supporto, alla prossima :)

    lunedì 4 maggio 2020 10:26
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno,

    assolutamente si.

    Grazie ancora per il supporto.

    lunedì 4 maggio 2020 10:26
    |