{"id":1464,"date":"2011-11-18T10:46:43","date_gmt":"2011-11-18T13:46:43","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1464"},"modified":"2011-11-18T10:46:43","modified_gmt":"2011-11-18T13:46:43","slug":"como-deshabilitar-los-cambios-de-contrasena-de-cuenta-de-maquina-automatica-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1464","title":{"rendered":"Como deshabilitar los cambios de contrasena de cuenta de maquina automatica {HowTo}"},"content":{"rendered":"<p align=\"justify\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Como-deshabilitar-los-cambios-de-contras_CBD8\/MachineAccountPassword.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-right-width: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; float: left; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px; padding-top: 0px\" title=\"MachineAccountPassword\" border=\"0\" alt=\"MachineAccountPassword\" align=\"left\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Como-deshabilitar-los-cambios-de-contras_CBD8\/MachineAccountPassword_thumb.png\" width=\"240\" height=\"212\" \/><\/a>Hoy vamos a ver como solucionar un tema con equipos remotos, que por alguna raz\u00f3n determinada, pasara un tiempo mayo al estimado por default en conectarse con nuestro Active Directory.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Las contrase\u00f1as de cuentas de equipo se cambian peri\u00f3dicamente por motivos de seguridad. De forma predeterminada, en los equipos basados en tecnolog\u00eda Windows NT, la contrase\u00f1a de cuenta de equipo cambiaba autom\u00e1ticamente cada siete d\u00edas; pero a partir de los equipos basados en Windows 2000, la contrase\u00f1a de cuenta de equipo cambia autom\u00e1ticamente cada 30 d\u00edas. Ahora veremos c\u00f3mo un administrador puede deshabilitar los cambios de contrase\u00f1a de cuenta de m\u00e1quina autom\u00e1tica.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Es posible que deseemos deshabilitar los cambios de contrase\u00f1a de cuenta de m\u00e1quina autom\u00e1tica predeterminada por distintas razones. La raz\u00f3n que dimos antes podr\u00eda ser una buena raz\u00f3n, otra podr\u00eda ser que deseamos reducir las repeticiones de la replicaci\u00f3n. Como efecto secundario de los cambios de contrase\u00f1a de cuenta de m\u00e1quina autom\u00e1tica, un dominio con muchos de los equipos cliente y los controladores de dominio pueden provocar que la replicaci\u00f3n se produzca con frecuencia. <strong><em>Entonces, en definitiva, podemos deshabilitar los cambios de contrase\u00f1a de cuenta de m\u00e1quina autom\u00e1tica para reducir las repeticiones de la replicaci\u00f3n.<\/em><\/strong> <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Tambi\u00e9n sol\u00edamos utilizar esto cuando ten\u00edamos un equipo con <font color=\"#ff0000\" face=\"OCR A Extended\">DualBoot<\/font> y dese\u00e1bamos o necesit\u00e1bamos que el equipo mantenga la misma contrase\u00f1a de cuenta de maquina.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Algunas cosas para tener en cuenta:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Los passwords de las cuentas de maquina no caducan en Active Directory<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Est\u00e1n exentas de las pol\u00edticas de Password del dominio<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Los cambios de contrase\u00f1a de las cuentas de maquina son impulsados por el cliente, no por nuestro Active Directory<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">En la medida en que nadie ha desactivado o borrado la cuenta del equipo o intentado a\u00f1adir una m\u00e1quina con el mismo nombre en el dominio, la m\u00e1quina va a seguir trabajando sin importar cu\u00e1nto tiempo ha pasado desde que su contrase\u00f1a de cuenta de la m\u00e1quina se ha iniciado y cambiado.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Entonces, que pasa si una maquina ha estado offline por 3 meses, la cuenta de maquina no caduca debido a la edad de la contrase\u00f1a.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Cuando el equipo arranca, se dar\u00e1 cuenta que su contrase\u00f1a es mayor de 30 d\u00edas e iniciar\u00e1 acciones para cambiarla. El servicio Netlogon en el cliente es el responsable de hacerlo. Los par\u00e1metros relevantes que el Netlogon ajustara son:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><font color=\"#ff0000\" face=\"OCR A Extended\">DisablePasswordChange<\/font>, el valor predeterminado es off.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><font color=\"#ff0000\" face=\"OCR A Extended\">ScavengeInterval<\/font>, el valor predeterminado es 15 minutos.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><font color=\"#ff0000\" face=\"OCR A Extended\">MaximumPasswordAge<\/font>. el valor predeterminado es 30 d\u00edas.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">En las versiones de Windows NT 3.51 y posteriores y en Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008 y Windows Server 2008 R2, podemos deshabilitar los cambios de contrase\u00f1a de cuenta de equipo en una estaci\u00f3n de trabajo asign\u00e1ndole el valor 1 a la entrada de registro <font color=\"#ff0000\" face=\"OCR A Extended\">DisablePasswordChange<\/font>. Para ello, siga estos pasos:<\/font><\/p>\n<ol>\n<li>\n<div align=\"justify\"><font size=\"2\">Iniciamos el Editor del registro. Para ello, hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Inicio<\/font><\/strong>, hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Ejecutar<\/font><\/strong>, ingresamos <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Regedit<\/font><\/strong> y hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">ACEPTAR<\/font><\/strong>. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">A continuaci\u00f3n buscamos la siguiente subclave del registro: <font color=\"#ff0000\" face=\"OCR A Extended\">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Netlogon\\Parameters<\/font><\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">En el panel derecho, hacemos clic en el registro <font color=\"#ff0000\" face=\"OCR A Extended\">DisablePasswordChange<\/font>&#160;<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Seleccionamos <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Modificar <\/font><\/strong>y, a continuaci\u00f3n, le asignamos el valor 1.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Luego hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">ACEPTAR<\/font><\/strong>. <\/font><\/div>\n<\/li>\n<\/ol>\n<p align=\"justify\"><font size=\"2\">En Windows NT versi\u00f3n 4.0 y Windows 2000, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2, podeos deshabilitar el cambio de contrase\u00f1a de cuenta de equipo asign\u00e1ndole el valor 1 a la entrada de registro <font color=\"#ff0000\" face=\"OCR A Extended\">RefusePasswordChange<\/font>. Para ello, siga estos pasos:<\/font><\/p>\n<ol>\n<li>\n<div align=\"justify\"><font size=\"2\">Iniciamos el Editor del registro. Para ello, hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Inicio<\/font><\/strong>, hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Ejecutar<\/font><\/strong>, ingresamos <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Regedit<\/font><\/strong> y hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">ACEPTAR<\/font><\/strong>. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">A continuaci\u00f3n buscamos la siguiente subclave del registro: <font color=\"#ff0000\" face=\"OCR A Extended\">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Netlogon\\Parameters<\/font> <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">En el panel derecho, hacemos clic en el registro <font color=\"#ff0000\" face=\"OCR A Extended\">RefusePasswordChange<\/font><\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Seleccionamos <strong><font color=\"#ff0000\" face=\"OCR A Extended\">Modificar <\/font><\/strong>y, a continuaci\u00f3n, le asignamos el valor 1. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Luego hacemos clic en <strong><font color=\"#ff0000\" face=\"OCR A Extended\">ACEPTAR<\/font><\/strong>. <\/font><\/div>\n<\/li>\n<\/ol>\n<p align=\"justify\"><font size=\"2\">El <font color=\"#ff0000\" face=\"OCR A Extended\">RefusePasswordChange<\/font> hace que el controlador de dominio rechace las solicitudes de cambio de contrase\u00f1a s\u00f3lo desde estaciones de trabajo o servidores miembro que ejecuten Windows NT versi\u00f3n 4.0 o posterior.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Entonces, si establecemos el <font color=\"#ff0000\" face=\"OCR A Extended\">RefusePasswordChange<\/font> en un valor de 1, despu\u00e9s de que la estaci\u00f3n de trabajo o servidor miembro intente primero cambiar su contrase\u00f1a de cuenta de equipo, los intentos futuros para intentar cambiar la contrase\u00f1a no se realizaran (devolviendo un c\u00f3digo de estado distinto). Recordemos, como mencionamos antes, que un equipo basado en Windows NT 4.0 intentar\u00e1 cambiar su contrase\u00f1a de cuenta de equipo nuevo en siete d\u00edas, y un equipo basado en Windows 2000 volver\u00e1 a intentar en 30 d\u00edas. Si establecemos el <font color=\"#ff0000\" face=\"OCR A Extended\">RefusePasswordChange <\/font>en un valor 1, el tr\u00e1fico de replicaci\u00f3n se detendr\u00e1, pero no el tr\u00e1fico del cliente. Si, adem\u00e1s, establecemos el <font color=\"#ff0000\" face=\"OCR A Extended\">DisablePasswordChangeen <\/font>en un valor 1, entonces el tr\u00e1fico de replicaci\u00f3n y del cliente 1, se detendr\u00e1.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">En resumen, entonces, con <font color=\"#ff0000\" face=\"OCR A Extended\">DisablePasswordChange<\/font> podemos impedir cambiar la contrase\u00f1a de cuenta de equipo del equipo cliente. <strong><em>Recordemos que esto no es lo recomendado.<\/em><\/strong><\/font><\/p>\n<p align=\"justify\"><strong><em><\/em><\/strong><font size=\"2\">Con la entrada de registro <font color=\"#ff0000\" face=\"OCR A Extended\">ScavengeInterval <\/font>podemos controlar, entre otras cosas, la frecuencia en que la estaci\u00f3n de trabajo ejecuta el subproceso responsable de cambiar la contrase\u00f1a si es necesario.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Por ultimo, con la entrada <font color=\"#ff0000\" face=\"OCR A Extended\">MaximumPasswordAge <\/font>determinamos cu\u00e1ndo hay que cambiar la contrase\u00f1a, podemos encontrarla en <font color=\"#ff0000\" face=\"OCR A Extended\">HKLM\\SYSTEM\\CurrentControlSet\\Services \\NetLogon\\Parameters <\/font>cuyo valor predeterminado es 7 y el rango soportado es de 1 a 1.000.000 (en d\u00edas).<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Si la contrase\u00f1a no es anterior a <font color=\"#ff0000\" face=\"OCR A Extended\">MaximumPasswordAge<\/font>, el subproceso responsable de cambiar la contrase\u00f1a quedara Stand-By hasta que la contrase\u00f1a llegar\u00e1 a la edad definida. De lo contrario, el proceso Workstation Scavenger intentar\u00e1 cambiar la contrase\u00f1a. Si no puede contactarse con un DC, volver\u00e1 a Stand-By y a intentarlo en los minutos definidos en <font color=\"#ff0000\" face=\"OCR A Extended\">ScavengeInterval<\/font>. Esta entrada esta disponible en: <font color=\"#ff0000\" face=\"OCR A Extended\">HKEY_LOCAL_MACHINE\\SYSTEM\\ CurrentControlSet\\Services\\NetLogon\\Parameters <\/font>su valor predeterminado es de 900 (15 minutos) y el rango que acepta va de 60 segundos hasta 172800 (48 horas). Tambi\u00e9n podemos modificar la configuraci\u00f3n de esta entrada a un valor personalizado mediante la configuraci\u00f3n de directiva de grupo en Active Directory.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Recordemos adem\u00e1s que: <\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Cada equipo basado en Windows mantiene un historial de contrase\u00f1as de cuenta de m\u00e1quina que contiene las contrase\u00f1as actuales y anteriores, utilizadas para la cuenta. Cuando dos equipos intentan autenticarse mutuamente y un cambio en la contrase\u00f1a actual no es recibido, Windows utiliza la contrase\u00f1a anterior. Si la secuencia de cambios de contrase\u00f1a supera dos cambios, los equipos implicados pueden ser incapaces de comunicarse y pueden aparecer mensajes de error.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Cuando un cliente determina que hay que cambiar la contrase\u00f1a de la cuenta de m\u00e1quina, tratar\u00e1 de ponerse en contacto con un controlador de dominio para el dominio del que es miembro de cambiar la contrase\u00f1a en el controlador de dominio. Si esta operaci\u00f3n se realiza correctamente, a continuaci\u00f3n, actualizar\u00eda la contrase\u00f1a de la cuenta de equipo local. En otras palabras, el cliente necesita actualizar su contrase\u00f1a de cuenta de m\u00e1quina en AD antes que actualizarla localmente.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Es un tema complejo de entender, y puede que tengamos que releer la nota para comprenderla en su totalidad. Espero que haya aclarado el tema y algunos malentendidos comunes acerca de las contrase\u00f1as de cuentas de maquinas.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Saludos, Roberto Di Lello.<\/font><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hoy vamos a ver como solucionar un tema con equipos remotos, que por alguna raz\u00f3n&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[12,11,69,297,13],"tags":[],"class_list":["post-1464","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2003-r2","category-2008-r2","category-windows-7","category-windows-8","category-vista-xp"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1464"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1464\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}