Назад | Перейти на главную страницу

Остановить Active Directory от обновления времени и даты компьютера

В этом офисе работает активный каталог на серверах Windows. Некоторые контроллеры домена 2003 года некоторые контроллеры домена 2008 R2

Пользователь (аналитик QA) попросил, чтобы он мог изменить свое время, и оно не может быть изменено обратно через 5-10 минут. Причина в том, что ему нужно видеть разные состояния времени для нашего веб-сайта.

Сначала на ум приходит пара вопросов ...

  1. Что будет, если он забудет вернуть его обратно?

  2. Сможет ли он продолжать использовать ресурсы домена, если его время и дата не синхронизированы? Обменяйтесь, поделитесь, даже авторизуйтесь ....?

Какие есть решения этой проблемы? Я уверен, что в прошлом это возникало много раз. Я могу видеть его учетную запись пользователя или компьютер рабочей станции в его собственном подразделении с собственным GPO, но я не уверен, что оттуда делать.

Если время отключено, аутентификация к сетевым ресурсам не удастся. Если пользователь выходит из системы с истекшим сроком синхронизации, проверка подлинности домена для этого компьютера завершится ошибкой. Чтобы вернуться в систему, вам придется отключиться от сети и войти в систему, используя кэшированные учетные данные.

Самым чистым способом было бы, вероятно, провести тестирование пользователя с рабочей станции, которая не находится в домене.

Пока он не вносит изменения в активный каталог, воздействие на среду будет минимальным. У пользователя могут быть проблемы с получением обновлений групповой политики и проблемы с аутентификацией (но это можно исправить с помощью сброса времени и перезагрузки). Вам необходимо:

  1. синхронизировать время с несуществующим источником времени см. Инструменты и настройки службы времени Windows это предотвратит автоматическое восстановление времени в домене.
  2. изменить время вручную.

вы можете синхронизировать машину пользователя и позволить ему иметь разницу во времени на виртуальной машине, а не на его рабочей станции (виртуальная машина Windows позволит это)

Протоколы, используемые для связи с контроллерами домена (в частности, Kerberos), основаны на времени компьютера. Из-за того, что вы потратите время, могут возникнуть всевозможные ошибки аутентификации. как правило, временной сдвиг более 5 минут вызывает проблемы.

Подробнее о том, как работает Kerberos, можно здесь: http://en.wikipedia.org/wiki/Kerberos_%28protocol%29