Como deshabilitar los cambios de contrasena de cuenta de maquina automatica {HowTo}

MachineAccountPasswordHoy vamos a ver como solucionar un tema con equipos remotos, que por alguna razón determinada, pasara un tiempo mayo al estimado por default en conectarse con nuestro Active Directory.

Las contraseñas de cuentas de equipo se cambian periódicamente por motivos de seguridad. De forma predeterminada, en los equipos basados en tecnología Windows NT, la contraseña de cuenta de equipo cambiaba automáticamente cada siete días; pero a partir de los equipos basados en Windows 2000, la contraseña de cuenta de equipo cambia automáticamente cada 30 días. Ahora veremos cómo un administrador puede deshabilitar los cambios de contraseña de cuenta de máquina automática.

Es posible que deseemos deshabilitar los cambios de contraseña de cuenta de máquina automática predeterminada por distintas razones. La razón que dimos antes podría ser una buena razón, otra podría ser que deseamos reducir las repeticiones de la replicación. Como efecto secundario de los cambios de contraseña de cuenta de máquina automática, un dominio con muchos de los equipos cliente y los controladores de dominio pueden provocar que la replicación se produzca con frecuencia. Entonces, en definitiva, podemos deshabilitar los cambios de contraseña de cuenta de máquina automática para reducir las repeticiones de la replicación.

También solíamos utilizar esto cuando teníamos un equipo con DualBoot y deseábamos o necesitábamos que el equipo mantenga la misma contraseña de cuenta de maquina.

Algunas cosas para tener en cuenta:

  • Los passwords de las cuentas de maquina no caducan en Active Directory
  • Están exentas de las políticas de Password del dominio
  • Los cambios de contraseña de las cuentas de maquina son impulsados por el cliente, no por nuestro Active Directory
  • En la medida en que nadie ha desactivado o borrado la cuenta del equipo o intentado añadir una máquina con el mismo nombre en el dominio, la máquina va a seguir trabajando sin importar cuánto tiempo ha pasado desde que su contraseña de cuenta de la máquina se ha iniciado y cambiado.

Entonces, que pasa si una maquina ha estado offline por 3 meses, la cuenta de maquina no caduca debido a la edad de la contraseña.

Cuando el equipo arranca, se dará cuenta que su contraseña es mayor de 30 días e iniciará acciones para cambiarla. El servicio Netlogon en el cliente es el responsable de hacerlo. Los parámetros relevantes que el Netlogon ajustara son:

  • DisablePasswordChange, el valor predeterminado es off.
  • ScavengeInterval, el valor predeterminado es 15 minutos.
  • MaximumPasswordAge. el valor predeterminado es 30 días.

En las versiones de Windows NT 3.51 y posteriores y en Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008 y Windows Server 2008 R2, podemos deshabilitar los cambios de contraseña de cuenta de equipo en una estación de trabajo asignándole el valor 1 a la entrada de registro DisablePasswordChange. Para ello, siga estos pasos:

  1. Iniciamos el Editor del registro. Para ello, hacemos clic en Inicio, hacemos clic en Ejecutar, ingresamos Regedit y hacemos clic en ACEPTAR.
  2. A continuación buscamos la siguiente subclave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. En el panel derecho, hacemos clic en el registro DisablePasswordChange 
  4. Seleccionamos Modificar y, a continuación, le asignamos el valor 1.
  5. Luego hacemos clic en ACEPTAR.

En Windows NT versión 4.0 y Windows 2000, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2, podeos deshabilitar el cambio de contraseña de cuenta de equipo asignándole el valor 1 a la entrada de registro RefusePasswordChange. Para ello, siga estos pasos:

  1. Iniciamos el Editor del registro. Para ello, hacemos clic en Inicio, hacemos clic en Ejecutar, ingresamos Regedit y hacemos clic en ACEPTAR.
  2. A continuación buscamos la siguiente subclave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. En el panel derecho, hacemos clic en el registro RefusePasswordChange
  4. Seleccionamos Modificar y, a continuación, le asignamos el valor 1.
  5. Luego hacemos clic en ACEPTAR.

El RefusePasswordChange hace que el controlador de dominio rechace las solicitudes de cambio de contraseña sólo desde estaciones de trabajo o servidores miembro que ejecuten Windows NT versión 4.0 o posterior.

Entonces, si establecemos el RefusePasswordChange en un valor de 1, después de que la estación de trabajo o servidor miembro intente primero cambiar su contraseña de cuenta de equipo, los intentos futuros para intentar cambiar la contraseña no se realizaran (devolviendo un código de estado distinto). Recordemos, como mencionamos antes, que un equipo basado en Windows NT 4.0 intentará cambiar su contraseña de cuenta de equipo nuevo en siete días, y un equipo basado en Windows 2000 volverá a intentar en 30 días. Si establecemos el RefusePasswordChange en un valor 1, el tráfico de replicación se detendrá, pero no el tráfico del cliente. Si, además, establecemos el DisablePasswordChangeen en un valor 1, entonces el tráfico de replicación y del cliente 1, se detendrá.

En resumen, entonces, con DisablePasswordChange podemos impedir cambiar la contraseña de cuenta de equipo del equipo cliente. Recordemos que esto no es lo recomendado.

Con la entrada de registro ScavengeInterval podemos controlar, entre otras cosas, la frecuencia en que la estación de trabajo ejecuta el subproceso responsable de cambiar la contraseña si es necesario.

Por ultimo, con la entrada MaximumPasswordAge determinamos cuándo hay que cambiar la contraseña, podemos encontrarla en HKLM\SYSTEM\CurrentControlSet\Services \NetLogon\Parameters cuyo valor predeterminado es 7 y el rango soportado es de 1 a 1.000.000 (en días).

Si la contraseña no es anterior a MaximumPasswordAge, el subproceso responsable de cambiar la contraseña quedara Stand-By hasta que la contraseña llegará a la edad definida. De lo contrario, el proceso Workstation Scavenger intentará cambiar la contraseña. Si no puede contactarse con un DC, volverá a Stand-By y a intentarlo en los minutos definidos en ScavengeInterval. Esta entrada esta disponible en: HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\NetLogon\Parameters su valor predeterminado es de 900 (15 minutos) y el rango que acepta va de 60 segundos hasta 172800 (48 horas). También podemos modificar la configuración de esta entrada a un valor personalizado mediante la configuración de directiva de grupo en Active Directory.

Recordemos además que:

  • Cada equipo basado en Windows mantiene un historial de contraseñas de cuenta de máquina que contiene las contraseñas actuales y anteriores, utilizadas para la cuenta. Cuando dos equipos intentan autenticarse mutuamente y un cambio en la contraseña actual no es recibido, Windows utiliza la contraseña anterior. Si la secuencia de cambios de contraseña supera dos cambios, los equipos implicados pueden ser incapaces de comunicarse y pueden aparecer mensajes de error.
  • Cuando un cliente determina que hay que cambiar la contraseña de la cuenta de máquina, tratará de ponerse en contacto con un controlador de dominio para el dominio del que es miembro de cambiar la contraseña en el controlador de dominio. Si esta operación se realiza correctamente, a continuación, actualizaría la contraseña de la cuenta de equipo local. En otras palabras, el cliente necesita actualizar su contraseña de cuenta de máquina en AD antes que actualizarla localmente.

Es un tema complejo de entender, y puede que tengamos que releer la nota para comprenderla en su totalidad. Espero que haya aclarado el tema y algunos malentendidos comunes acerca de las contraseñas de cuentas de maquinas.

Saludos, Roberto Di Lello.

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

6 Comments

  1. Buenas ! soy Ignacio el que se gano el libro y te hizo varias preguntas en el seminario Active Directory Codecamp. Tengo el siguiente escenario de laboratorio:
    * DC: sos.jupiter.com
    IP: 192.168.1.1
    MASK: 255.255.255.0
    GAT: 192.168.1.1
    DNS: 192.168.1.1 (instalado)
    Active Directory Interagted: jupiter.com

    * DC Child: srv3.child.jupiter.com
    IP: 192.168.1.3
    MASK: 255.255.255.0
    DNS: 192.168.1.3 (instalado)
    Active Directory Interagted: child.jupiter.com

    Los DCs se encuentran en site1, y replican bien, cuando creo un site2 y muevo el srv3 al site2 e intento replicar aparece este mensaje: One or more of these Active directory connections are between domain controllers in different sites. Active Directory will attempt to replicate across these connectios. For information about how to verify replication, see Help and Support.

    Que puedo hacer ? para que el mensaje de consola sea saticfatorio. Gracias

    Muchas gracias!

  2. Ignacio, disculpa mi demora en contestar pero estuve medio complicado con los tiempos; y la verdad se me paso el mail que lo había dejado stand-by.

    Estuve mirando el documento, pero no veo ningún error. El mensaje ese que me mostras, no es un error, es sólo información. Te informa que los 2 DCs implicado en la operación de replicación que intenta forzar están en sitios diferentes y, como tales, están sujetos a las reglas definidas en las reglas definidas en el site-link que los conecta.

    En el caso de tener errores de replicación, deberías tener algún EvendID NTDS asociado, como puede ser el 1311. Esta bien que utilices el repadmin para verificar la replicación, también podes hacerlo con: dcdiag /test:replications.

    Discúlpame nuevamente la demora, pero se me paso. Gracias nuevamente por participar del blog y ayudar a que siga creciendo!

    Saludos!

  3. Hola,

    Estoy intentando realizar una copia de seguridad de un dominio realizando una copia de seguridad del SYSTEM STATE pero no me aparece la opción como muestras en los videos referentes a la recuperación de desastres en W2008.

    Además, al intentar realizar la restauración del dominio tampoco aparace la opción de recuperacion de SYSTEM STATE.

    ¿Me podria indicar como solucionar el problema ?

    Grácias

  4. Toni,disculpa mi demora en contestar pero estuve medio complicado con los tiempos.

    Me aparece que tu servidor no es un controlador de dominio por eso no lo ves. Te paso las 3 partes de la nota completa en donde muestro el paso a paso para hacer esto que estas necesitando, desde la instalación, el armado del job de backup y la recuperación del servidor. Espero que te sean de utilidad.
    * Disaster Recovery de Active Directory en Windows Server2008 R2 utilizando Server Backup Feature (Parte 1) {ScreenCast}https://www.radians.com.ar/blog/?p=1005
    * Disaster Recovery de Active Directory en Windows Server2008 R2 utilizando Server Backup Feature (Parte 2) {ScreenCast}https://www.radians.com.ar/blog/?p=1010
    * Disaster Recovery de Active Directory en Windows Server2008 R2 utilizando Server Backup Feature (Parte 3) {ScreenCast} https://www.radians.com.ar/blog/?p=1013

    Saludos!

  5. Saludos, tengo un servidor de dominio con Windows Server 2003, active directory, mi problema es:

    ¿Los usuarios que están registrados en mi dominio no pueden ellos mismos desde su estación de trabajo, cambiar su contraseña de usuarios de sesión de trabajo, el server lo permite, tengo yo que cambiársela desde el mismo servidor?

    Pienso que exista una directiva del dominio que impida esta atadura a mis usuarios.

    espero me ayude

  6. Yacel, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Nohay nnguna politica que restinja eso. Ahora la maquinas clientes estan agregadas al dominio? Podes encontrar las cuentas de maquina en el ADUC? si instalas una maquina nueva y la agregas al dominio, no te deja cambiar la clave del usuario? tenes algun evento asociado tanto en el DC como en la PC?

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

Comments are closed.