Active-Directory

“禁用電腦帳戶密碼更改”組策略設置 - 何時應啟用?

  • February 28, 2016

我在 Amazon Web Services 上設置了一個測試環境,包括 2 個 Web 伺服器、1 個數據庫伺服器和 1 個域控制器。它們都是 Windows Server 2012 並已加入域。偶爾,成員伺服器一直在隨機拋出錯誤the trust relationship between this workstation and the primary domain failed。我可以通過在有問題的電腦上進行本地登錄然後執行 PowerShell 命令來解決此問題Reset-ComputerMachinePassword。之後就沒有問題了。

但是,我想知道問題的根本原因是否是因為組策略設置“禁用機器帳戶密碼更改”目前被禁用,因此迫使我手動重置機器密碼。

我應該啟用此策略嗎?如果我啟用此策略會產生什麼後果?

“最長機器帳戶密碼使用期限”設置的值為 30 天。

幾乎從不啟用禁用電腦帳戶密碼更改設置。它根據最長機器密碼使用期限設置確定域電腦是否定期更改其電腦帳戶密碼。

來自連結的 Technet 文件的此設置的 Microsoft 描述:

域成員:禁用電腦帳戶密碼更改策略設置確定域成員是否定期更改其電腦帳戶密碼。將其值設置為 Enabled 可防止域成員更改電腦帳戶密碼。將其設置為 Disabled 允許域成員按照域成員的值指定的更改電腦帳戶密碼:Maximum machine account password age policy setting,預設為每 30 天。

屬於域的執行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的電腦的預設配置是每 30 天自動要求它們更改其帳戶的密碼。禁用此功能會導致執行這些作業系統的電腦保留與其電腦帳戶相同的密碼。不再能夠自動更改其帳戶密碼的電腦面臨惡意使用者確定係統域帳戶密碼的風險。

來自連結的 Technet 文件的此設置的 Microsoft 最佳實踐:

  1. 不要啟用此策略設置。電腦帳戶密碼用於在成員和域控制器之間以及域內的域控制器之間建立安全通道通信。建立後,安全通道會傳輸做出身份驗證和授權決策所必需的敏感資訊。
  2. 不要使用此策略設置來嘗試支持使用同一電腦帳戶的雙啟動方案。如果要對加入同一域的雙引導安裝,請為這兩個安裝指定不同的電腦名稱。此策略設置已添加到 Windows 作業系統中,以使儲存幾個月後投入生產的預建構電腦的組織更容易;這些電腦不必重新加入域。

如前所述,創建此設置是為了允許組織在機器帳戶密碼最長使用期限後預建構機器並將它們投入生產,而不會導致您收到失敗的信任關係錯誤。

產生該特定錯誤的原因是域控制器上的機器帳戶密碼與機器本地儲存的機器帳戶密碼不匹配,或者因為機器帳戶密碼已超過最大使用期限設置,這意味著它已過期。

通常,機器帳戶密碼過期是由於拋出錯誤的機器與域控制器無法在機器帳戶密碼最長使用期限內進行通信,或者無法安全地進行通信。例如,如果您將第二台電腦加入到具有現有名稱的域中,則會發生機器帳戶密碼不匹配 - 機器帳戶被覆蓋,並創建了新的機器帳戶密碼,因此第一台電腦不再具有正確的機器帳戶驗證密碼。

在您的特定情況下,我的第一個懷疑是防火牆阻止了域控制器和不斷產生此錯誤的電腦之間的 Active Directory 流量,特別是域控制器和電腦在新密碼同步時的流量生成。機器在嘗試創建安全通信通道時拋出錯誤,或者甚至在嘗試自動更新其機器帳戶密碼時出錯,這也是一種明顯的可能性。無論如何,您應該能夠通過查看這台機器和域控制器上的事件日誌來確定問題所在。您正在尋找在兩台伺服器之間建立連接的錯誤,

引用自:https://serverfault.com/questions/758576