Windows - Felhasználók jelszóváltásának megakadályozása

forráskód letöltése
Nem mindig kívánatos egy Windows 2000-el működő Active Directory tartományban, hogy a felhasználók belátásuk szerinti időpontokban változtassák meg a saját jelszavukat. Cikkünkben ismertetjük egy módszer kétféle megvalósítását, amely csak és kizárólag abban az esetben engedélyezi a változtatást, ha azt kifejezetten a rendszer ajánlja fel számukra.
Cikkünkhöz mellékeltünk egy .REG állományt, amelyet futtatva letiltja a jelszó módosításának lehetőségét.
Active Directory hálózatokban a felhasználók saját jelszavuk módosítására szűkös lehetőségekkel rendelkeznek. Alapvetően két lehetőséget különböztetünk meg. Egyik, amikor a fiókbeállításoknak megfelelően a rendszer kéri a módosítást. Másik, amikor a felhasználó saját maga szeretné ezt megtenni. Nézzük az utóbbi esetet: a "Vezérlőpult" ("Control Panel") felhasználói beállításokat végző ikonját megnyitva jogosultsági problémák lépnek fel. Rendszergazdai jogokkal rendelkező nevet és jelszót kell megadni a konzol megnyitásához, egy "átlagos" felhasználó elől ez a lehetőség el van zárva. Hol lehet akkor megváltoztatni? A CTRL+ALT+DEL billentyűkombináció lenyomására megjelenő ablakban kattintsunk a "Jelszó módosítása" ("Change Password") gombra. Ennek hatására megjelenik egy újabb ablak, ahol már elvégezhető a művelet. Ha teljesen meg akarjuk fosztani az összes felhasználót vagy a felhasználók egy csoportját ettől a lehetőségtől, akkor végezzük el a következő lépéseket:
Nyissuk meg a tartományvezérlőn az Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt. Kattintsunk a jobboldali egérgombbal arra a szervezeti egységre, amelynek hatókörébe esik a felhasználó. Lépjünk a "Tulajdonságok" ("Properties") menüre, majd a "Csoportházirend" ("Group Policy") fülre. Válasszuk ki a csoportházirendet és nyomjuk le a "Szerkesztés" ("Edit") gombot. Megjelenik a házirendeket tartalmazó konzol. Itt keressük meg a következő helyet: Felhasználó konfigurációja > Felügyeleti sablonok > Rendszer > Bejelentkezés/Kijelentkezés (User Configuration > Administrative Templates > System > Logon/Logoff). A képernyő jobb oldalán kattintsunk duplán a "Jelszó megváltoztatása gomb letiltása" ("Disable change password") házirendpontra. Itt két ellentmondás is található. Az egyik, hogy a várttal ellentétben nem a kért gomb kerül letiltásra (pontosabban a tartományvezérlőn igen, de a klienseken nem), hanem csak az akadályozza meg, hogy a felhasználó elvégezze a módosítást. Másik pedig, hogy a "Letiltva" ("Disabled") állásban nem lehetséges a módosítás. Fogadjuk el, hogy ez így van és az "OK" gombbal lépjünk ki a szerkesztő ablakból.
Jelentkezzünk be egy felhasználói fiókkal, nyomjuk le a CTRL+ALT+DEL billentyűkombinációt és kíséreljük meg a jelszó módosítását. A következő üzenetet kell kapnunk: "Nincs engedélye a saját jelszavának megváltoztatásához".
A fenti beállítást a regisztrációs adatbázisban is végre tudjuk hajtani. A REGEDIT.EXE programmal tallózzunk el a következő helyre:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Ha nem létezik a "System" kulcs, akkor hozzuk létre. Ehhez kattintsunk a jobboldali egérgombbal az ablak jobb felének egy üres helyén és válasszuk az Új > Kulcs (New > Key) menüt. A "System" kulcson belül készítsünk egy új duplaszó típusú "DisableChangePassword" nevű bejegyzést és értékét állítsuk 1-re, ha tiltani akarjuk a jelszó módosítást. Ha engedélyezni akarjuk, akkor az érték legyen 0.
Bármelyik utat is választjuk, ezután már csak akkor lehet jelszót módosítani, ha a rendszer ajánlja fel a felhasználók számára.