“Desativar alterações de senha da conta da máquina” Configuração da Diretiva de Grupo - quando ela deve ser habilitada?

4

Estou configurando um ambiente de teste no Amazon Web Services composto por 2 servidores da Web, 1 servidor de banco de dados e 1 controlador de domínio. Todos eles são Windows Server 2012 e ingressaram no domínio. Ocasionalmente, os servidores membros lançam aleatoriamente o erro the trust relationship between this workstation and the primary domain failed . Eu posso corrigir esse problema fazendo um login local no computador incorreto e, em seguida, executando o comando Reset-ComputerMachinePassword do PowerShell. Sem problemas depois disso.

No entanto, estou querendo saber se a causa raiz do problema é porque a configuração da Diretiva de Grupo "desabilitar alterações de senha da conta da máquina" está desativada no momento e, portanto, está me forçando a redefinir manualmente a senha da máquina.

Devo ativar essa política e quais seriam as consequências se eu permitisse essa política?

A configuração "Duração máxima da senha da conta da máquina" tem um valor de 30 dias.

    
por Sau 20.02.2016 / 10:32

2 respostas

2

A configuração de alteração da senha da conta de máquina desativada quase nunca deve ser ativada. Ele determina se um computador de domínio altera periodicamente a senha da conta do computador, com base na configuração de duração máxima da senha da máquina.

A descrição da Microsoft dessa configuração na documentação do Technet vinculada:

The Domain member: Disable machine account password changes policy setting determines whether a domain member periodically changes its computer account password. Setting its value to Enabled prevents the domain member from changing the computer account password. Setting it to Disabled allows the domain member to change the computer account password as specified by the value of the Domain member: Maximum machine account password age policy setting, which is every 30 days by default.

The default configuration for computers running Windows Server 2008 R2, Windows Server 2008, or Windows Server 2003 that belong to a domain is that they are automatically required to change the passwords for their accounts every 30 days. Disabling this feature causes computers that are running these operating systems to retain the same passwords as their computer accounts. Computers that are no longer able to automatically change their account password are at risk of a malicious user determining the password for the system's domain account.

As práticas recomendadas da Microsoft para essa configuração na documentação do Technet vinculada:

  1. Do not enable this policy setting. Computer account passwords are used to establish secure channel communications between members and domain controllers and between the domain controllers within the domain. After it is established, the secure channel transmits sensitive information that is necessary for making authentication and authorization decisions.

  2. Do not use this policy setting in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot installations that are joined to the same domain, give the two installations different computer names. This policy setting was added to the Windows operating system to make it easier for organizations that stockpile prebuilt computers that are put into production months later; those computers do not have to be rejoined to the domain.

Como afirmado, essa configuração foi criada para permitir que as organizações pré-construam máquinas e as coloque em produção após a idade máxima da senha da conta da máquina, sem resultar no erro de falha na relação de confiança que você está obtendo.

Esse erro específico é gerado porque a senha da conta da máquina no controlador de domínio não corresponde à senha da conta da máquina que a máquina armazenou localmente ou porque a senha da conta da máquina excedeu a idade máxima, o que significa que expirou.

Geralmente, a expiração da senha da conta da máquina é causada quando a máquina que lança o erro e o controlador de domínio não conseguem se comunicar dentro do tempo máximo de idade da senha da conta da máquina ou não conseguem fazê-lo com segurança. A incompatibilidade de senha da conta da máquina acontece se, por exemplo, você ingressar em um segundo computador em um domínio com um nome existente - a conta da máquina é substituída e uma nova senha da conta da máquina é criada, portanto o primeiro computador não tem mais a conta da máquina adequada senha para autenticar.

No seu caso específico, minha primeira suspeita seria que um firewall está bloqueando o tráfego do Active Directory entre o controlador de domínio e o computador que continua gerando esse erro, especificamente o tráfego em que o controlador de domínio e a máquina sincronizam a senha quando um novo é gerado. Também é uma possibilidade distinta que a máquina esteja lançando erros ao tentar criar esse canal de comunicação seguro, ou até mesmo que esteja errando ao tentar atualizar automaticamente sua senha de conta de máquina. Em qualquer caso, você deve ser capaz de determinar qual é o problema observando os logs de eventos nesta máquina e no controlador de domínio. Você está procurando por erros que estabelecem conexões entre os dois servidores e por quaisquer erros gerados por qualquer um dos subsistemas de segurança em qualquer das máquinas para identificar a causa exata desse problema.

    
por 20.02.2016 / 12:00
0

Essa política ou a chave de registro correspondente são úteis ao criar VMs que farão parte de uma , especialmente quando essas VMs podem estar off-line ou desconectadas por longos períodos de tempo.

Mas, em geral, não é recomendado que seja usado na produção.

    
por 28.02.2016 / 09:25