none
Computer Password RRS feed

  • Вопрос

  • Почитал http://technet.microsoft.com/en-us/library/ee198778.aspx есть вопрос:

    Если компьютер не включался скажем 150 дней, он при первом включении обновит свой пароль?

    Есть ли какой-нибудь срок после которого это сделать невозможно?

    9 августа 2013 г. 8:05

Ответы

  • Такая проблема бывает если восстанавливать машину со старым паролем из резервной копии например Acronis True Image. Пароли должны совпадать на клиенте и на контроллере.

    12 августа 2013 г. 8:42
  • Похоже я был не прав, на счет ручной смены пароля

    Machine Account Password Process

    Machine account passwords as such do not expire in Active Directory. They are exempted from the domain's password policy. It is important to remember that machine account password changes are driven by the CLIENT (computer), and not the AD. As long as no one has disabled or deleted the computer account, nor tried to add a computer with the same name to the domain, (or some other destructive action), the computer will continue to work no matter how long it has been since its machine account password was initiated and changed.

    So if a computer is turned off for three months nothing expires. When the computer starts up, it will notice that its password is older than 30 days and will initiate action to change it. The Netlogon service on the client computer is responsible for doing this. This is only applicable if the machine is turned off for such a long time. 
    Before we set the new password locally, we ensure we have a valid secure channel to the DC. If the client was never able to connect to the DC (where never is anything prior the time of the attempt – time to refresh the secure channel), then we will not change the password locally.

    9 августа 2013 г. 9:59

Все ответы

  • How to prevent Offline computer account became stale

    Нет никаких сроков максимального нахождения рабочей станции в оффлайне.

    Если компьютер оффлайн более 30 дней (если не редактировали дефолтные настройки), то придется вручную сбросить пароль.


    9 августа 2013 г. 8:34
  • Ничего не трогал, настройки по дефолту. Компьютер был в оффлайне около 4 месяцев - проблем с входом никаких. По ссылке что вы дали читаю:

    If you talk about the machine password, that by default changes every 30 days, this also is NO problem as the machine will initiate the password change next time it will be connected to the domain.

    9 августа 2013 г. 8:44
  • А Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Disable machine account password changes отключена?



    9 августа 2013 г. 9:04
  • Угу, по дефолту...

    30 дней в описание стоит

    Domain member: Disable machine account password changes

    Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days.

    Default: Disabled.

    9 августа 2013 г. 9:48
  • Похоже я был не прав, на счет ручной смены пароля

    Machine Account Password Process

    Machine account passwords as such do not expire in Active Directory. They are exempted from the domain's password policy. It is important to remember that machine account password changes are driven by the CLIENT (computer), and not the AD. As long as no one has disabled or deleted the computer account, nor tried to add a computer with the same name to the domain, (or some other destructive action), the computer will continue to work no matter how long it has been since its machine account password was initiated and changed.

    So if a computer is turned off for three months nothing expires. When the computer starts up, it will notice that its password is older than 30 days and will initiate action to change it. The Netlogon service on the client computer is responsible for doing this. This is only applicable if the machine is turned off for such a long time. 
    Before we set the new password locally, we ensure we have a valid secure channel to the DC. If the client was never able to connect to the DC (where never is anything prior the time of the attempt – time to refresh the secure channel), then we will not change the password locally.

    9 августа 2013 г. 9:59
  • Добрый день!

    У меня похожий вопрос. На нектороых ПК иногда при входе пользователя появляется ошибка: не удалось установить доверительные отношения между доменом и рабочей станцией.

    Все поиски в интернете привели к политике смены паролей ПК Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Disable machine account password changes

    Данная политика у меня отключена. А максимальный срок действия пароля ПК стоит: Не определено. Проблема решается только если перезагнать ПК в домен. Другие решения в интренете не помогают. А как решить проблему в целом, чтобы вообще не было таких проблемных ПК с ошибкой о доверительных отношениях с доменом? Политику Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Disable machine account password changes отключать нельзя - СБ не разрешает. Как быть? Подскажите плиз!

    12 августа 2013 г. 8:23
  • Такая проблема бывает если восстанавливать машину со старым паролем из резервной копии например Acronis True Image. Пароли должны совпадать на клиенте и на контроллере.

    12 августа 2013 г. 8:42