允許 Active Directory 使用者禁用日期時間同步
我最近將我的公司遷移到了 Active Directory。隨之而來的預設設置將強制啟用時間同步。
麻煩的是,有些使用者需要更改他們的日期時間設置以進行測試,但自動同步會恢復實際時間值。禁用時間同步的選項顯示為灰色。有問題的使用者是受信任的,並且是其電腦上本地管理員組的成員。
我試圖找到一種讓使用者隨意啟用和禁用此設置的方法,但我只找到了一個全域啟用/禁用。
我想知道是否可以將此設置(啟用/禁用時間同步)留給使用者自行決定。
謝謝大家
編輯以獲得更高的精度:使用者有權修改系統時間(在 GPO 中定義的權限)。使用者可以更改時間,只有幾分鐘後會自動更改回來。我希望禁用這種行為。禁用 Windows 時間服務 (w32time) 沒有幫助。
正如@MDMarra 所指出的,使用虛擬機是一種很好的方法,因為阻塞時間同步可能會導致身份驗證、TLS 證書有效性等方面的重大問題。但是,對於真正的測試,您可能希望在一台機器上進行測試像在“真實世界”的情況下一樣加入域。無論哪種方式,熟悉 Windows 域中時間設置的配置總是有幫助的。
內置的W32TM命令應該是您挑戰的答案。以下兩個命令字元串將阻止您的測試機器自動重置它們的時間:
w32tm /config /syncfromflags:no /update net stop w32time && net start w32time
要在測試完成後恢復正常操作,請執行以下兩個命令字元串:
w32tm /config /syncfromflags:domhier /update net stop w32time && net start w32time
這將告訴電腦從 Active Directory 域控制器同步其時間,然後重新啟動時間服務。
附加參考:
編輯附加資訊: 這些命令假設問題已經說明 - 執行命令的人具有本地管理員權限。
我還將從另一個精彩的SF Q&A中藉用關於配置時間的提示。這是現在是社區維基的答案的直接引用:
9.如果您之前一直在使用 Windows 時間服務,或者您從其他人那裡繼承了這個網路,那麼在開始重新配置之前將 w32time 重置為預設設置可能是個好主意。從 PDCe 開始,在域控制器上執行以下命令。
net stop w32time w32tm /unregister <-- If you get an Access Denied message, reboot. w32tm /register net start w32time
我建議您在執行這些命令後重新啟動伺服器 1-2 次,並確保 Windows 時間服務存在,設置為自動並啟動。我見過 /unregister 命令直到下一次重新啟動後才生效的情況。然後,當您在打完 Windows 更新檔後重新啟動時,您會驚訝地發現 w32time 服務突然失去了!