LKBDE11321: Nach der Wiederherstellung eines PC von einem Image (clone) ist keine Domänenanmeldung mehr möglich.
Symptom
Die Wiederherstellung auch älterer Images soll möglich sein, ohne das Konto in der Domäne erneuern zu müssen.
Cause
Dies ist normal für jede Art von Cloning (z.B. Ghost, PQDI,...)
Solution
Ein Client, der Mitglied einer Domäne ist, ändert das Passwort des Computerkontos standardmäßig alle 30 Tage. Wenn das verwendete Image (Clone) älter als die letzte Kennwortänderung ist, wird das Computerkonto nicht mehr vom Active Directory authentifiziert und keine Domänenanmeldung kann auf diesem System durchgeführt werden, bis das computerkonto gelöscht und erneuert (rejoin) wurde.
Man kann dieses Verhatlen über die Registry des Computers verändern:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
REG_DWORD: maximumpasswordage
Mögliche Werte werden in Tagen angegeben, von 1 bis 1000000. Der Standard ist 30
Mit dem folgenden Wert lässt sich das Verhalten auch vollständig abschalten:
DisablePasswordChange
gesetzt auf 1 --> Passwordwechsel deaktiviert
gesetzt to 0 --> Passwordwechsel aktiviert
Dieser Schlüssel existiert nicht standardmäßig und muss bei Bedarf erzeugt werden.
Mit dem Wert "RefusePasswordChange" auf allen Domänen Controllern kann diese Funktion für die gesamte Domäne deaktiviert werden.
Achtung:
Regelmäßige Passwortänderungen sind sicherheitsrelevant! Schalten Sie dieses Feature nicht ohne guten Grund ab!
Disclaimer:
The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!About the Author
Author: - Keskon GmbH & Co. KG
-
Latest update: 08/06/2022 | Comment: