Este es un tema que es básico para Sys. Admins. y que cada día me encuentro que se desconoce bastante. Así que me he propuesto a explicar lo más claro posible cómo funiona el tema de cómo funciona el tema de la contraseña y como se renueva en los objetos de tipo PC.
Por defecto el PC (en entornos de dominio) inicia el proceso de reseteo de contraseña cada 30 días, a no ser que por decisión del Sys. Admin. se modifique este valor mediante la aplicación de directivas de grupo.
Las contraseñas de equipo están exentas de de política por defecto del dominio en AD. En este caso es el equipo quien es el encargado del proceso de cambiar la password para él mismo. Estas contraseñas a diferencia de las de usuario no expiran. Es decir, un equipo puede estar 33 díás sin loguearse en la red que en el día 34, el PC comprobará cuándo fue la última vez que cambió su contraseña. Si este valor es mayor de 30 días o de lo que configuremos en nuestro GPO, éste iniciará el proces de renovarla.
Hasta ahí todo correcto no? Pero…. por qué tenemos el maldito problema de… The trust relationship between this workstation and the primary domain failed.
Quiero dejar claro que no están relacionados aunque pueda parecerlo, por eso lo menciono aquí. Esto no es porque el PC no haya renovado su contraseña en AD en un tiempo prudencial, así que, que no os la den. Ese problema es un tema de tickets de Kerberos que no voy a explicar en este post pero que haré más adelante.
Espero que os haya servido de ayuda y que entendáis mejor cómo se manejan las contraseñas de objetos en AD.