Přišel mi mailem zajímavý dotaz a vzhledem k tomu, že jsem o tom docela nedávno něco podobného psal, uvedu tu jenom poznámky k odpovědi na onen dotaz. Tento:
"tak se preme v praci s kolegou jak je to s vyprsenim hesla stanice v AD pri pobytu mimo domenu... mysleli jsme si, ze mame jasno,ale vsude se pise vsechno mozne, takze nejak jsme znejisteli. Domnivali jsme se, ze heslo se meni a jsou ulozeny jeho 2 posledni kopie, takze do 60 dnu je stanice overena v domene. Kdyz by byla dele tak se pak uz neoveri – heslo neni platne. Proto jsme vzdy bez obav disablovaly objekty starsi 90dnu ...ale tady se pisou veci, ze ted nevime. Tak jak to tedy je?"
Odpovědi přímo k otázce, ale i okolní poznámky
Počítač si svoje heslo snaží změnit sám. Dělá to jeho služba Netlogon na všech počítačích co jsou členy domény. Ve výchozím stavu každých 30 dnů. Takže ke změně hesla nedochází na samo od sebe na řadiči domény (DC). Děje se to jenom tehdy, když je počítač online v sítí, nebo přes VPN. Netlogon nerozlišuje, jestli je to přes VPN nebo jak. Prostě každý den jednou za 15 minut (dá se to změnit v registrech ScavengeInterval) kontroluje, jestli má dostupné DC a případně si heslo prostě změní.
Pokud se mu to nepovede, prostě si nechá to svoje stávající heslo a zkusí to znovu zase za 15 minut.
Účty počítačů se nikdy nezamykají, ani po miliónu špantých pokusů. Neplatí pro ně ani zásady hesel (sice se hesla generují náhodně, ale co kdyby se stalo, že to 120znakové heslo náhodou není komplexní). Takže hesla jsou platná stále. Prostě dokud si je ten počítač sám od sebe dobrovolně nezmění (což se dá například i vypnout).
Takže počítač může mít heslo hooodně staré, pokud se dlouhodobě nevyskytuje na přístupné sítí, a nebo se prostě jenom netrefí do toho měnícího intervalu. Každých 15 minut je dost často. Ale je samozřejmě možné, že se prostě dlouho netrefí a heslo si dlouho nezmění.
Takže stanice, co byla dva roky mimo síť, přijde zpátky a klidně se znovu ověří, protože heslo je platné stále.
Ano, každý stroj si lokálně ukládá dvě poslední verze svého hesla. On sám ale to jedno starší heslo vůbec nepoužívá. Na nic ho nepotřebuje. Jediný případ, na co je to starší heslo v registrech počítače, jsou Kerberos tikety. Na ostatních počítačích, pokud se zrovna před chvilkou připojovaly ze sítě na stroj, který si zrovna změnil heslo. Cizí Kerberos tikety jsou prostě zašifrovány starým heslem počítače.
Takže servery (na které se přistupuje ze sítě) si musí pamatovat svoje o jedno starší heslo. Aby byly schopny dešifrovat zastaralé klientské tikety.
Stanici je o jedno starší heslo v podstatě na nic. Na stanici nikdo ze sítě nepřistupuje.
Takže můžu zakázat účet, jehož pwdLastSet je starší než 90 dnů? Těžko říct. Znamená to, že daná stanice má buď změnu hesla vypnutou. Nebo nebyla v síti během posledních 60 dnů. Nebo přesněji řečeno, nikdy alespoň dost dlouho, aby si toho stihla všimnout.
Žije ta stanice? Možná lepší indikace je atribut lastLogon, nebo ideálně lastLogonTimestamp, pokud máte DFL (Domain Functional Level) alespoň na úrovni Windows 2003. O tom jsem psal už dokonce dost dávno, jak se dívám zde.
No já bych takový účet klidně zakázal. Jestli je ten počítač v takovém podivném stavu, má smůlu, a někdo ze supportu to pořeší individuálně.
A tu ještě jedna další zajímavá (snad) reference ohledně hesel.