Как долго клиент может остановиться в AD?

Мы создаем учебную среду, которая будет использоваться после летнего отдыха. Менеджмент хочет, чтобы мы настраивали клиентов сейчас до отпуска. Поскольку клиенты должны быть отправлены, они будут отключены до начала обучения. Это означает, что клиенты будут не связаны с AD примерно на 15 недель. Кроме того, поскольку никто не будет здесь, серверы будут отключены примерно на шесть-восемь недель. Срок жизни надгробия установлен на 180 дней.

Может ли этот 15-недельный период создавать проблемы для клиентов? Должны ли мы пытаться убедить руководство отложить установку клиента до окончания отпуска?

12 голосов | спросил Sandokan 22 Maypm13 2013, 17:03:56

1 ответ


19

Все будет хорошо.

Вот небольшой рекламный материал от Шона Айви от Microsoft; довольно умный парень:

  

Хорошо, если мы говорим о членах домена, а не о домене   контроллеры, то для всех практических целей их можно было отключить   бессрочно без проблем. Когда вы, наконец, вернете их,   netlogon scavenger запустится, свяжитесь с контроллером домена и сбросьте   пароль для учетной записи компьютера.

     

Важно помнить, что пароль учетной записи компьютера   сброс осуществляется клиентом, а не контроллером домена. Итак, как долго   поскольку клиент не пытается изменить его пароль, затем пароль   не будут изменены.

     

Взгляните на эту ссылку, когда у вас появится шанс. Я вытащил   релевантные части:

     

http://blogs.technet.com /b/askds/archive/2009/02/15/test2.aspx   «Пароли учетной записи машины как таковые не заканчиваются в Active Directory.   Они освобождаются от политики паролей домена. Это важно   чтобы помнить, что изменения пароля учетной записи компьютера управляются   КЛИЕНТ (компьютер), а не AD. Пока никто не отключил или   удалил учетную запись компьютера и не попытался добавить компьютер с   то же имя в домене (или какое-либо другое деструктивное действие),   компьютер будет продолжать работать независимо от того, сколько времени прошло с тех пор   его пароль учетной записи компьютера был инициирован и изменен.

     

Итак, если компьютер выключен на три месяца, ничего не истекает. когда   компьютер запустится, он заметит, что его пароль старше, чем   30 дней и начнет действие, чтобы изменить его. Служба Netlogon   за это отвечает клиентский компьютер. Это только   если машина выключена на такое долгое время.

     

Прежде чем мы установим новый пароль локально, мы гарантируем, что имеем действующий   защищенный канал к DC. Если клиент никогда не мог подключиться к   DC (где никогда не было ничего до момента попытки - время   для обновления защищенного канала), то мы не будем менять пароль   на местном уровне.

     

Соответствующие параметры Netlogon, которые вступают в игру, и мы можем думать   об изменении здесь:

     

ScavengeInterval (по умолчанию 15 минут), MaximumPasswordAge (по умолчанию   30 дней) DisablePasswordChange (по умолчанию выключено). «

     

Надеюсь, это поможет!

ответил Ryan Ries 22 Maypm13 2013, 17:11:11

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132