ActiveDirectory/MachinePassword

Материал из ALT Linux Wiki
< ActiveDirectory
Версия от 14:46, 9 февраля 2023; Liannnix (обсуждение | вклад) (Новая страница: «Настройки обновления паролей аккаунтов машин в домене Miscrosoft Active Directory и Samba DC. <div id="prep"></div> == Описание == После завершения процедуры ввода в домен каждая машина получает специальный аккаунт вида MACHINE01$. Такой аккаунт, ассоциированный с машиной, а не с кон...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Настройки обновления паролей аккаунтов машин в домене Miscrosoft Active Directory и Samba DC.

Описание

После завершения процедуры ввода в домен каждая машина получает специальный аккаунт вида MACHINE01$. Такой аккаунт, ассоциированный с машиной, а не с конкретным пользователем, позволяет машине выполнять в домене действия от своего имени. Наприме: запрашивать информацию о пользователях, получать машинные групповые политики и т. д.

Как и у любого другого пользователя, у машинного пользователя есть свой пароль, генерируемый автоматически в процессе ввода машины в домен. В отличии от обычных пользователей, у машинных аккаунтов нет ограничения на время жизни пароля, но машина имеет возможность поменять его самостоятельно. По умолчанию машины с MS Windows 2000 и старше меняют пароль раз в 30 дней. Информация о последней смене пароля хранится в аттрибуте машинного аккаунта pwdlastset.

Локальная политика смены пароля машинного аккаунта

Сменой пароля машинного аккаунта можно управлять с помощью групповых политик. Для этого нужно отредактировать параметр политики домена по умолчанию (Default domain policy) "Domain member: Maximum machine account password age" ("Член домена: максимальный срок действия пароля учётной записи компьютера"), который располагается в подразделе "Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options" ("Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Параметры безопасности"). Значение по умолчанию: 30 дней.

С помощью другого параметра "<название на английском>" ("Член домена: отключить изменение пароля учётных записей компьютера") можно отключить обновления пароля машинного аккаунта совсем, но делать этого не рекомендуется.

Выше указанные параметры корректно работают на машинах с ОС MS Windows 2000 и старше.

На машинах с ОС Альт (sssd 2.8.1) данные параметры игнорируются (необходимо проверить).

В ADMC, на данный момент (admc 0.11.2), нет возможности настроить данные параметры групповой политики. Необходимо использовать оснастку RSAT "Управление групповыми политиками".

Диагностика

Дата последней смены пароля

Дата последней смены пароля хранится в базе данных AD. Запросить её можно одни из способов, перечисленных ниже:

На введённой в домен машине выполняем с правами суперпользователя: 

# net ads info

Если машина уже потеряла доверие в домене, то выполнить эту же команду от доменного пользователя: 

# net ads info -U <user>

Нас интересует поле Last machine account password change.

Время жизни пароля в домене