“Disable machine account password changes” Group Policy setting - when should it be enabled?
I am setting up a test environment on Amazon Web Services comprising 2 web servers, 1 database server and 1 domain controller. All of them are Windows Server 2012 and joined to the domain. Occasionally, the member servers have been randomly throwing the error the trust relationship between this workstation and the primary domain failed. I am able to fix this problem by doing a local login on the offending computer and then executing the PowerShell command Reset-ComputerMachinePassword. No problems after that.
However, I am wondering if the root cause of the problem is because the Group Policy setting "disable machine account password changes" is currently disabled and therefore is forcing me to manually reset the machine password.
Should I enable this policy and what would be the consequences if I were to enable this policy?
The "Maximum machine account password age" setting has a value 30 days.
Параметр «Отключить изменение пароля учетной записи компьютера» почти никогда не должен быть включен. Он определяет, периодически ли компьютер домена меняет пароль своей учетной записи на основе максимального срока действия пароля компьютера.
Описание этого параметра Microsoft из связанной документации Technet:
Член домена: Отключить пароль учетной записи компьютера изменяет политику Параметр определяет, периодически ли член домена меняет пароль учетной записи компьютера. Установка для него значения Enabled запрещает члену домена изменять пароль учетной записи компьютера. Установка для него значения Disabled позволяет члену домена изменять пароль учетной записи компьютера в соответствии со значением параметра Domain member: Максимальный срок действия пароля учетной записи компьютера, который по умолчанию устанавливается каждые 30 дней.
Конфигурация по умолчанию для компьютеров под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003, которые принадлежат домену, заключается в том, что им автоматически требуется менять пароли для своих учетных записей каждые 30 дней. Отключение этой функции приводит к тому, что компьютеры под управлением этих операционных систем сохраняют те же пароли, что и их учетные записи компьютеров. Компьютеры, которые больше не могут автоматически изменять пароль своей учетной записи, подвергаются риску того, что злоумышленник определит пароль для учетной записи домена системы.
Рекомендации Microsoft для этого параметра из связанной документации Technet:
Не включать этот параметр политики. Пароли учетных записей компьютеров используются для установления защищенного канала связи между участниками и контроллерами домена, а также между контроллерами домена в домене. После того, как он установлен, безопасный канал передает конфиденциальную информацию, необходимую для принятия решений об аутентификации и авторизации.
Не используйте этот параметр политики в попытке поддержать сценарии двойной загрузки, в которых используется одна и та же учетная запись компьютера. Если вы хотите, чтобы установки с двойной загрузкой были присоединены к одному домену, дайте двум установкам разные имена компьютеров. Этот параметр политики был добавлен в операционную систему Windows, чтобы упростить организациям, которые хранят готовые компьютеры, которые запускаются в производство через несколько месяцев; эти компьютеры не нужно повторно присоединять к домену.
Как уже говорилось, этот параметр был создан, чтобы позволить организациям предварительно собирать машины и запускать их в производство по истечении максимального срока действия пароля учетной записи компьютера, не приводя к ошибке отказа доверительных отношений.
Эта конкретная ошибка возникает из-за того, что пароль учетной записи компьютера на контроллере домена не совпадает с паролем учетной записи компьютера, который машина хранила локально, или из-за того, что пароль учетной записи компьютера превысил максимальный возраст, что означает срок его действия истек.
Как правило, срок действия пароля учетной записи компьютера истекает, когда машина выдает ошибку и контроллер домена не может установить связь в течение максимального срока действия пароля учетной записи компьютера или не может сделать это безопасно. Несоответствие пароля учетной записи компьютера происходит, если, например, вы присоединяете второй компьютер к домену с существующим именем - учетная запись компьютера перезаписывается, и создается новый пароль учетной записи компьютера, поэтому на первом компьютере больше нет правильной учетной записи компьютера. пароль для аутентификации.
В вашем конкретном случае у меня первое подозрение, что брандмауэр блокирует трафик Active Directory между контроллером домена и компьютером, который продолжает генерировать эту ошибку, в частности трафик, при котором контроллер домена и машина синхронизируются пароль при создании нового. Также вполне вероятно, что машина выдает ошибки при попытке создать этот безопасный канал связи,или даже что он выходит из строя при попытке автоматически обновить пароль учетной записи компьютера. В любом случае вы сможете определить, в чем проблема, просмотрев журналы событий на этом компьютере и на контроллере домена. Вы ищите ошибки, устанавливающие соединения между двумя серверами, и любые ошибки, вызванные любой из подсистем безопасности на любом компьютере, чтобы точно определить причину этой проблемы.
Эта политика или соответствующий раздел реестра полезны при создании виртуальных машин, которые будут частью лаборатории тестирования или разработки , особенно когда эти виртуальные машины могут быть отключены или отключены на длительный срок.
Но, как правило, не рекомендуется использовать его в производстве.