Срок действия пароля изменить windows server


Windows Server

  • 11.12.2014
  • 32 609
  • 3
  • 17.03.2021
  • 43
  • 42
  • 1

Windows Server: Отключение срока действия пароля

  • Содержание статьи
    • Отключение ограничения по сроку действия пароля локально
    • Отключение ограничения по сроку действия пароля в домене
    • Комментарии к статье ( 3 шт )
    • Добавить комментарий

В целях повышения безопасности, в серверных операционных системах Windows включен срок действия пароля, по истечению которого, система будет сообщать вам о необходимости смен пароля. Если же данная функция вам не нужна, её возможно выключить через групповые политики.

Отключение ограничения по сроку действия пароля локально

Данный способ подойдет только для серверов, которые не состоят в домене Active Directory.

Отключить данную настройку можно следующим образом:

Открываем Выполнить (Пуск — Выполнить или Win+R), после чего набираем gpedit.msc и жмем ОК.

disable-strong-password1В левой панели переходим в Конфигурация компьютера — Конфигурация windows — Параметры безопасности — Политики учетных записей — Политика паролей. Ищем пункт «Максимальный срок действия пароля». По умолчанию он равен 42 дням — ровно через столько, после установки нового пароля система сообщит вам о том, что ваш пароль устарел и его необходимо сменить.

win2k8server-pass1
Щелкаем два раза по этому пункту и ставим 0, чтобы отключить срок действия пароля.

win2k8server-pass2

Жмем ОК.

Отключение ограничения по сроку действия пароля в домене

Данный способ подойдет для серверов, пользователи которых являются членами домена Active Directory.

В отличии от предыдущего способа, где речь шла про редактирование локальных групповых политик, здесь нужно отредактировать групповые политики домена Active Directory. Для этого нужно удаленно зайти на сервер контроллера домена, открыть окно «Выполнить» и набрать там команду gpmc.msc, после чего нажать кнопку «ОК».

Откроется окно Управление групповой политикой. В нем находим нужную политику (по умолчанию — Default Domain Policy), и нажимаем на ней правой кнопкой мыши — и в появившемся контекстном меню выбираем «Изменить».

Откроется обычное окно редактирования групповых политик — где нужно совершить действия, описанные главой выше.

Защита безопасности клиентов для Microsoft – дело чести. И, как видим, честь в корпорации стерегут так бережно, что это иногда граничит с назойливостью. Не так давно мы уже вспоминали проблемы с чрезмерным контролем безопасности в другом детище Microsoft – Internet Explorer. Сегодня поговорим о целой OC Windows Server 2012.

По умолчанию каждые 42 дня пользователи системы должны придумывать себе новый пароль. На деле находится не так уж много ценителей такой заботы, поэтому часто люди просто отключают этот параметр. И если для других серверных ОС семейства Windows сделать это совсем несложно, то в Windows Server 2012 все не так очевидно. Давайте пошагово разберемся, как, обладая правами администратора, изменить срок действия пароля одновременно для всех пользователей сервера.

1. Выполните команду gpedit.msc: Win + R > пропишите gpedit.msc> ОК.

Выполните команду gpedit.msc

2. Перейдите: Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики учетных записей > Политика паролей.

Политика паролей

3. Нажмите Максимальный срок действия пароля. По умолчанию задан срок в 42 дня. Выберите нужное значение и нажмите Применить. А если хотите совсем снять ограничение по сроку действия, поставьте значение ноль.

Максимальный срок действия пароля

Изменить срок действия пароля в Windows Server 2012 не так уж и сложно. Но стоит ли? Если долгие годы пользоваться одним и тем же паролем, рано или поздно злоумышленники его рассекретят. Генерировать каждый понедельник новый, конечно, тоже не нужно. Как и во многих вопросах, ответ где-то посередине. Изменяйте пароль с разумной периодичностью, не забывайте делать его надежным и обращайтесь к нам за грамотной консультацией по всем вашим облачным вопросам и задачам.

Смена пароля

В данном руководстве будет рассмотрена процедура изменения пароля в операционной системе Windows Server 2016.

Для того чтобы изменить пароль в своей учетной записи Администратора нажмите «Пуск» и на кнопку Параметры

В окне Параметры выберите  «Учетные записи» , далее «Параметры входа» и в параметре Пароль нажмите «Изменить»

Откроется окно изменения пароля, введите текущий пароль и «Далее»

Далее в окне «Изменение пароля»
 

  • 1. Введите новый пароль (не меньше 8 символов и латинскими буквами ) в строке «Введите пароль еще раз» — введите новый пароль ещё раз
  • 2. Сохраните изменения  кнопкой «Далее»

Готово

Таким образом Вы сменили пароль на текущую учетную запись, теперь мы рассмотрим функцию «Срок истечения пароля»

Срок истечения пароля

На сервере функция «Срок истечения пароля» по умолчанию установлена в 42 дня, это говорит о том что через каждые 42 дня Ваша система будет требовать смены пароля.
Где изменить или отключить эту функцию мы рассмотрим ниже

Нажмите «Пуск» далее «Средства администрирования»

Сейчас мы рассмотрим изменение срока пароля на сервере без домена (Active Directory)
Поэтому, открываем окно «Локальная политика безопасности»

В окне «Локальная политика безопасности» слева нажмите на стрелку «Политика учетных записей» далее на папку «Политика паролей»,
Затем справа откройте запись «Максимальный срок действия пароля 42 дн.»

В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.

И нажмите кнопку «Применить» , готово.

logo_Windows_Server_2012Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:

  • Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
  • Иметь длину не менее 6 знаков.
  • Содержать знаки трех из четырех перечисленных ниже категорий:
    1. Латинские заглавные буквы (от A до Z)
    2. Латинские строчные буквы (от a до z)
    3. Цифры (от 0 до 9)
    4. Отличающиеся от букв и цифр знаки (например, !, $, #, %)

Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды  и нажать «ОК» )

izmenenie_politiki_paroley_v_windows_server_2012_001

В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:

  • «Конфигурация компьютера» (Computer Configuration)
    • «Конфигурация Windows» (Windows Settings)
      • «Параметры безопасности» (Security Settings)
        • «Политики учетных записей» (Account Policies)
          • «Политика паролей» (Password Policy)

izmenenie_politiki_paroley_v_windows_server_2012_002

Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)

izmenenie_politiki_paroley_v_windows_server_2012_003

Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).

izmenenie_politiki_paroley_v_windows_server_2012_004

Изменив необходимые параметры, сохраняем настройки и закрываем окна, нажав «ОК» .

В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.

izmenenie_politiki_paroley_v_windows_server_2012_005

Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера. Лучше использователь специальные программы для генерации с хранения паролей.

У учетной записи пользователя в ActiveDirectory есть два атрибута, в которых хранится последнее время смены пароля учетной записи. Это атрибуты pwdLastSet и PasswordLastSet.

Различаются они форматом записи. PasswordLastSet хранит данные в нормальном читабельном виде, а вот в pwdLastSet дата хранится в виде большого целого числа, которое представляет собой количество 100-наносекундных интервалов, прошедших с 12:00 полуночи, 1 января 1601 года нашей эры в формате UTC (Coordinated Universal Time).

pwdlastset и passwordLastSet

Примечание. Структура FILETIME записывает время в виде 100-наносекундных интервалов с 1 января 1601 года. Почему была выбрана именно эта дата?
Эта дата является началом цикла високосных лет по григорианскому календарю. Григорианский календарь работает по 400-летнему циклу, и 1601 год — это первый год цикла, который был активен во время разработки Windows NT. По заявлению одного из разработчиков Microsoft Рэймонда Чена (Raymond Chen), эта дата была выбрана для красоты расчетов.

Сконвертировать значение pwdLastSet можно с помощью метода FromFileTime, например:

$user = Get-ADUser admin1 -Properties PasswordLastSet,pwdLastSet
[datetime]::FromFileTime($user.pwdLastSet)

конвертация pwdLastSet

Можно и наоборот. Для примера возьмем дату 1 января 2023 года и сконвертируем ее в формат FileTime:

(Get-Date "1/1/2023").ToFileTime()

Однако если мы попробуем полученное число добавить в качестве значения атрибута pwdLastSet, то получим ошибку. Установить произвольное значение даты смены пароля вручную невозможно.

попытка установки значения pwdLastSet

Но кроме обычной даты pwdLastSet может принимать еще два значения — 0 и -1, и эти значения можно задать вручную.

Значение 0 означает, что пароль не был задан, и, соответственно, его необходимо задать при следующем входе в систему.

Значение -1 является обратным значению 0 и соответствует максимальному целому числу, допустимому в 64-битном формате (2^63-1). Установка значения pwdLastSet равным -1 делает пароль не просроченным, и когда пользователь в следующий раз войдет в систему, атрибуту pwdLastSet будет присвоено значение, соответствующее текущей дате/времени.

Таким образом, мы не можем задать произвольную дату установки пароля, но можем сбросить еe на текущую дату. При этом надо сначала установить значение атрибута pwdLastSet равным 0, и только потом задать значение -1.

Для примера возьмем пользователя admin1. Как можно убедиться из предыдущих примеров, он менял свой пароль 16 ноября 2022 года.

Для начала выведем текущую дату. Затем изменяем значение атрибута на 0:

Set-ADUser admin1 -Replace @(pwdLastSet='0')

потом на -1:

Set-ADUser admin1 -Replace @(pwdLastSet='-1')

и проверяем полученный результат. Как видите, дата смены пароля изменилась на текущую.

сброс значения pwdLastSet


Когда может возникнуть необходимость вручную менять дату смены пароля? Например при изменении парольной политики в домене. К примеру у вас в политике не был указан максимальный срок действия пароля, и все пароли были бессрочными. И вот требования к безопасности изменились и вы собираетесь установить срок действия пароля ну скажем 90 дней. Если просто активировать политику, то у большинства пользователей пароли сразу окажутся просроченными и их надо будет сменить.

А со сменой пароля могут возникнуть сложности, особенно если пользователи работают удаленно. И эти сложности придется решать вам. Поэтому перед активацией политики можно немножко подстраховаться и дать пользователям время на адаптацию к новым правилам.

Вот как то так.

  • Срок действия пароля windows 10 home
  • Срок действия пароля windows 10 домашняя
  • Среда для разработки приложений для windows
  • Среда восстановления windows 10 при загрузке компьютера
  • Срок действия лицензии windows 10 истекает что будет