[Опыт] Как срок действия пароля Windows Server мешает работе

26 октября 2014

 

Поделитесь статьей в социальных сетях

0

Приветствую!Срок действия пароля

Сейчас речь пойдет о том, как политика паролей учетной записи создает проблемы на Windows Server 2012 R2 с установленной SCADA-системой. И о том, как решить эту задачу.

По умолчанию в Windows срок действия пароля учетной записи ограничен 42 днями. Этот параметр определяет время, по истечению которого система потребует от пользователя создание нового пароля. Службы SCADA-системы запускаются не Локальной системой, а от имени администратора, срок действия пароля которого истек. А периодическое изменение пароля приводит к необходимости перенастройки служб. Для вступления новых настроек в силу необходимо перезапустить службу, иногда сервер полностью. Для большинства технологических процессов это недопустимо. Исключением являются резервированные SCADA-системы, которые позволяют вывести из работы один из серверов.

Столкнувшись с подобным случаем, я стал снимать ограничение срока действия пароля на сервере. Тут хочется возразить, мол, как так, Microsoft неспроста закладывает в свои системы подобные настройки, призванные повысить безопасность. Да, это так, сложно с этим спорить. Но на практике эксплуатирующие систему автоматизации компании не настроены на периодическую смену пароля и не делают этого. А истекший по сроку действия пароль помимо требования создания нового блокирует подключение удаленного рабочего стола к серверу.

Поэтому продолжаем… Настройка легитимности пароля состоит из максимального и минимального сроков. Максимальный принимает значения от 0 до 999, минимальный — от 1 до 998. Если максимальный равен 0, то минимальный может принимать значения от 0 до 998, а срок действия пароля не ограничен.

 Если на сервере настроен домен, то заходим в Управление групповой политикой, если нет — Локальные политики безопасности. Рассмотрим случай, когда домен создан. Переходим в Панель управления — Система безопасности — Администрирование — Управление групповой политикой. В дереве Редактора управления групповыми политиками раскрываем Лес:имя_сервера.local — Домены — имя_сервера.local — Default Domain Policy. Для нужного сервера выбираем вкладку Параметры и раскрываем Политика учетных записей/Политика паролей. 

Политика учетных записей/Политика паролейИз контекстной команды Изменить вызывается Редактор управления групповыми политиками. (В случае, когда команда Изменить заблокирована, обратитесь к статье Добавление учетной записи в группу владельцы-создатели групповой политики для ее разблокировки) Далее по пути Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики учетной записи — Политика паролей вызывается окно настройки Максимального срока действия пароля. Выставив значение 0 (срок действия пароля не ограничен), сохраняем настройку.

Максимальный срок действия пароля

Изменение настройки вступает в силу сразу же, без перезагрузки.

Итак, выключение срока действия пароля учетной записи Windows Server решает проблему периодического создания нового пароля учетной записи и, тем самым, не нарушает работоспособность SCADA-системы.


ЕСЛИ СТАТЬЯ ОКАЗАЛАСЬ ПОЛЕЗНОЙ, ЖМИ “МНЕ НРАВИТСЯ”.


Комментариев к записи: 2

  1. Виталий от 07 Апр 2015 в 16:32 пишет:

    Сорри что вмешиваюсь, Ваш способ больше похож на заколачивание гвоздей микроскопом 🙂
    Слишком сложно…
    Проще — (если учетка доменная — то в консоли управления учетками домена, если локальная — то в консоли управления локальными учетками)установить в самой учетке параметр «срок действия пароля не ограничен» (как точно звучит по англицки не скажу, нет под рукой интерфейса). А заодно — «запретить смену пароля пользователем» от греха подальше.
    В таком случае, требования по сроку действия паролей, приехавшие от групповых политик, не будут применяться. А если нужно поменять пароль — поменяет администратор учетной записи в консоли.
    А сменяемость паролей — не более чем рекомендация МС, и исключения (для служебных учеток как тут) весьма допустимы и необходимы

    • admin от 08 Апр 2015 в 11:46 пишет:

      Спасибо за комментарий, Виталий!
      В моем случае такой способ — изменение из свойств самой учетки — был недоступен, поэтому пришлось искать обходной путь.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*