域控制器: 拒绝计算机帐户密码更改
介绍了有关“域控制器: 拒绝计算机帐户密码更改”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
此策略设置启用或禁用阻止域控制器接受对计算机帐户的密码更改请求。默认情况下,加入到域的设备会每隔 30 天更改一次其计算机帐户密码。如果已启用,域控制器将拒绝计算机帐户密码更改请求。
可能值
已启用
启用后,此设置不允许域控制器接受对计算机帐户密码的任何更改。
已禁用
禁用后,此设置允许域控制器接受对计算机帐户密码的任何更改。
未定义
等同于“禁用”。
最佳做法
- 在域中的所有域控制器上启用此策略设置可防止域成员更改其计算机帐户密码。反之,这将使这些密码易受到攻击。请确保这符合域的总体安全策略。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
未定义 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
不适用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
如果你在域中的所有域控制器上启用此策略设置,域成员无法更改其计算机帐户密码,并且这些密码更易受到攻击。
对策
禁用“域控制器: 拒绝计算机帐户密码更改”****设置。
潜在影响
无。这是默认配置。