自動的なコンピュータアカウントパスワード変更を無効にする方法

2008年6月1日

自動的なコンピュータアカウントパスワード変更を無効にする方法

Filed under: Windows Tips — hebikuzure @ 6:28 午前

MSKB 154501
自動的なコンピュータアカウントパスワード変更を無効にする方法
http://support.microsoft.com/kb/154501/JA/

知られているように、Windows の NT ドメインや Active Directory ドメインに参加しているクライアントでは、ドメインユーザーアカウントとは別にコンピュータのドメインアカウントが作成されており、このアカウントでもコンピュータとドメインコントローラとの個別の通信チャネルに使用されるパスワードが存在する。
このパスワードはドメインに参加する際に自動的に生成され、一定の期間ごとに自動的に変更される。変更されるサイクルはクライアントの Windows によって異なり、Windows NT では 7 日、Windows 2000、Windows XP、および Windows Server 2003 では 30 日である。

しかし様々な理由でこの自動的なパスワード変更を抑止したい場合がある。
例えば、以下のような状況が考えられる。

パスワードの変更に伴うドメインコントローラ間のレプリケーションの発生が問題になるような場合 (DC 間のネットワーク経路が狭いなど)
デュアルブート構成で、同じコンピュータアカウントを共有したい場合
モバイルコンピュータなどでドメインコントローラと長期間通信できない可能性がある場合

こうした場合には、自動的なコンピュータアカウントのパスワード変更を無効にする事ができる。

参考情報

MSKB 175468 ドメインでのコンピュータアカウントのレプリケーションによる影響
http://support.microsoft.com/kb/175468/ja
MSKB 819108 Settings for minimizing periodic WAN traffic
http://support.microsoft.com/kb/819108/en-us

– 手順
以下のレジストリ値を構成する。
Net Logon サービスのパラメータなので、Netlogon サービスを停止して再起動すると有効になる。

キー : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
名前 : DisablePasswordChange
種類 : REG_DWORD
データ : 1 (既定値は 0 )

この設定が有効になると、それ以降自動的なコンピュータアカウントのパスワードの変更は行われなくなる。

またドメインコントローラ側でクライアントからのパスワード変更要求を拒否する (結果としてパスワード変更が行われない) ように構成する事もできる。
その場合は次のレジストリ値をすべてのドメインコントローラで構成する。

キー : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
名前 : RefusePasswordChange
種類 : REG_DWORD
データ : 1(既定値は 0 )

Windows XP や Windows Server 2003 では、同様の設定をグループポリシーでも行える。
ポリシーは以下の場所で設定する。

[ローカル コンピュータ ポリシー]
    - [コンピュータの構成]
        - [Windows の設定]
            - [セキュリティの設定]
                - [ローカル ポリシー]
                    - [セキュリティ オプション]

設定する項目は以下の通り

ドメインメンバ : コンピュータアカウントパスワード : 定期的な変更を無効にする (DisablePasswordChange)
ドメインメンバ : 最大コンピュータアカウントのパスワードの有効期間 (MaximumPasswordAge)
ドメインコントローラ : コンピュータアカウントのパスワードの変更を拒否する (RefusePasswordChange)

なおレジストリの MaximumPasswordAge 値によりコンピュータアカウントのパスワード有効期間を変更する事もできる。

キー : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
名前 : MaximumPasswordAge
種類 : REG_DWORD
データ : 10進で有効期間日数 (既定値は Windows NT で 7、 Windows 2000、Windows XP、および Windows Server 2003 では 30)

MaximumPasswordAge
http://technet2.microsoft.com/windowsserver/en/library/0825816c-94e5-4a7f-be42-cbad6be4be501033.mspx?mfr=true

コメントする

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

月	火	水	木	金	土	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

Hebikuzure's Tech Memo

2008年6月1日