DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 906305 - Ultima modifica: martedì 7 luglio 2009 - Revisione: 3.0

 

In questa pagina

INTRODUZIONE

Windows Server 2003 Service Pack 1 (SP1) modifica il comportamento di autenticazione di rete NTLM. Dopo l'installazione di Windows Server 2003 SP1, è possono che gli utenti del dominio utilizzare la vecchia password per accedere alla rete per un'ora dopo la password viene modificata. I componenti esistenti sono progettati per utilizzare Kerberos per l'autenticazione non sono interessati da questa modifica.

Informazioni

Per supportare in modo affidabile l'accesso di rete per l'autenticazione di rete NTLM in ambienti distribuiti, Windows Server 2003 SP1 modifica il comportamento di autenticazione NTLM rete come indicato di seguito:
  • Dopo che un utente del dominio modifica correttamente una password tramite NTLM, la vecchia password può essere ancora utilizzata per l'accesso alla rete per un periodo di tempo definibili dall'utente. Questo comportamento consente di conti, ad esempio account di servizio, effettuato l'accesso a più computer per accedere alla rete mentre propaga la modifica della password.
  • L'estensione della password durata periodo applica solo per l'accesso alla rete tramite NTLM. Accesso interattivo comportamento rimane invariato. Questo comportamento non viene applicato agli account che sono ospitati in server autonomi o server membro. Solo gli utenti del dominio sono interessati da questo problema.
  • Il periodo di durata della vecchia password può essere configurato modificando il Registro di sistema su un controller di dominio. Non è necessario riavviare per rendere effettiva la modifica del Registro di sistema.

Come modificare il periodo di durata di una vecchia password

importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756  (http://support.microsoft.com/kb/322756/ ) Come eseguire il backup e il ripristino del Registro di sistema in Windows


Per modificare il periodo di durata di una vecchia password, è necessario aggiungere una voce DWORD denominata OldPasswordAllowedPeriod alla seguente sottochiave del Registro di sistema su un controller di dominio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare regedit e quindi fare clic su OK .
  2. Individuare e selezionare la seguente sottochiave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. Scegliere Nuovo dal menu Modifica , quindi Valore DWORD .
  4. Digitare OldPasswordAllowedPeriod come il nome del valore DWORD e premere INVIO.
  5. Fare clic con il pulsante destro del mouse su OldPasswordAllowedPeriod e quindi fare clic su Modifica .
  6. Nella casella dati valore digitare il valore in minuti che si desidera utilizzare e quindi fare clic su OK .

    Nota Il periodo di durata è impostato in minuti. Se non si imposta questo valore del Registro di sistema, il valore predefinito periodo di durata di una vecchia password è 60 minuti.
  7. Chiudere l'editor del Registro di sistema.

    Nota Questa impostazione del Registro di sistema non è necessario riavviare il sistema per rendere effettive.
Nota Questo problema non causa punti deboli nella protezione. Purché un solo utente conosce entrambe le password, l'utente è autenticato ancora in modo protetto utilizzando una password.

Se la password di un utente è noto vengano compromessi, è necessario che l'amministratore reimpostare la password per tale utente. L'amministratore deve chiedere all'utente di cambiare la password all'accesso successivo per invalidare la vecchia password appena possibile.

Per reimpostare la password di un utente, attenersi alla seguente procedura:
  1. Inizio Directory utenti e computer di Active.
  2. Individuare l'account utente cui la password deve essere reimpostata.
  3. Fare clic con il pulsante destro del mouse sull'oggetto utente e quindi fare clic su Reimposta Password .
  4. Digitare la nuova password nella casella nuova password e nella casella Conferma password .
  5. Fare clic per selezionare la casella di controllo Cambiamento obbligatorio password all'accesso successivo e quindi fare clic su OK .
Nota Il problema descritto in questo articolo si verifica solo se i criteri di password efficace sul controller di dominio dispone di Vecchie Password attiva impostata su un valore che specifica che due o più password saranno memorizzate. Il criterio password deve essere impostato a livello di dominio. È possibile determinare se il criterio ha avuto effetto sul controller di dominio tramite lo snap-in in secpol.msc.

Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003 Service Pack 1 alle seguenti piattaforme
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
Chiavi: 
kbmt kbhowto KB906305 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 906305  (http://support.microsoft.com/kb/906305/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store