Назад | Перейти на главную страницу

На сколько времени можно отключать клиента в AD?

Мы создаем тренировочную среду, которая будет использоваться после летних каникул. Руководство хочет, чтобы мы настроили клиентов прямо сейчас, до отпуска. Поскольку клиенты должны быть отправлены, они будут отключены до начала обучения. Это означает, что клиенты не будут поддерживать связь с AD примерно 15 недель. Кроме того, поскольку здесь никого не будет, серверы будут отключены примерно на шесть-восемь недель. Срок службы надгробия составляет 180 дней.

Может ли этот 15-недельный период создать какие-либо проблемы для клиентов? Стоит ли уговаривать руководство отложить установку клиента до окончания отпуска?

Все будет хорошо.

Вот небольшая аннотация от Шона Айви из Microsoft; довольно умный парень:

Хорошо, если мы говорим о членах домена, а не о контроллерах домена, то для всех практических целей они могут быть отключены на неопределенный срок без проблем. Когда вы, наконец, включите их снова, запустится программа очистки логонов, свяжется с контроллером домена и сбросит пароль для учетной записи компьютера.

Важно помнить, что сброс пароля учетной записи компьютера осуществляется КЛИЕНТОМ, а не контроллером домена. Таким образом, пока клиент не пытается изменить свой пароль, пароль не будет изменен.

Взгляните на эту ссылку, когда у вас будет возможность. Я вытащил соответствующие части:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx «Пароли учетной записи компьютера как таковые не имеют срока действия в Active Directory. Они не подпадают под действие политики паролей домена. Важно помнить, что изменение пароля учетной записи компьютера осуществляется КЛИЕНТОМ (компьютером), а не AD. Пока нет вы отключили или удалили учетную запись компьютера или не пытались добавить компьютер с тем же именем в домен (или какое-либо другое разрушающее действие), компьютер будет продолжать работать независимо от того, сколько времени прошло с момента, когда пароль учетной записи компьютера был инициировано и изменено.

Так что, если компьютер выключен на три месяца, ничего не истечет. Когда компьютер загрузится, он заметит, что его пароль старше 30 дней, и предпримет действия по его изменению. За это отвечает служба Netlogon на клиентском компьютере. Это применимо только в том случае, если машина выключена на такое долгое время.

Перед тем, как установить новый пароль локально, мы должны убедиться, что у нас есть действующий безопасный канал для DC. Если клиенту так и не удалось подключиться к DC (где ничего не было до момента попытки - время обновить защищенный канал), то мы не будем изменять пароль локально.

Соответствующие параметры Netlogon, которые вступают в игру, и мы можем подумать об изменении здесь:

ScavengeInterval (по умолчанию 15 минут), MaximumPasswordAge (по умолчанию 30 дней) DisablePasswordChange (по умолчанию выключено). "

Надеюсь, это поможет!