Windows-Server-2003

AD 中的客戶端可以關閉多長時間?

  • June 21, 2013

我們正在建立一個暑假後使用的培訓環境。管理層希望我們在假期前立即建立客戶。由於客戶將被運走,因此他們將離線直到培訓開始。這意味著客戶將在大約 15 週內與 AD 脫節。此外,由於沒有人在這裡,伺服器將關閉大約六到八週。墓碑生存期設置為 180 天。

這 15 週的時間會給客戶帶來任何問題嗎?我們是否應該嘗試說服管理層將客戶端安裝推遲到假期之後?

會好的。

這是來自 Microsoft 的 Sean Ivey 的簡短介紹;一個很聰明的人:

好的,只要我們談論的是域成員,而不是域控制器,那麼出於所有實際目的,它們可以毫無問題地無限期關閉。當您最終重新打開它們時,netlogon scavenger 將執行,聯繫域控制器,並重置電腦帳戶的密碼。

要記住的重要一點是電腦帳戶密碼重置是由客戶端驅動的,而不是域控制器。因此,只要客戶端不嘗試更改其密碼,那麼密碼就不會更改。

有機會時看看這個連結。我已經提取了相關部分:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx “電腦帳戶密碼本身不會在 Active Directory 中過期。它們不受域密碼策略的約束。這很重要請記住,機器帳戶密碼更改是由客戶端(電腦)而不是 AD 驅動的。只要沒有人禁用或刪除電腦帳戶,也沒有嘗試將具有相同名稱的電腦添加到域中,(或其他一些破壞性行為),電腦將繼續工作,無論它的機器帳戶密碼啟動和更改後多久。

因此,如果電腦關閉三個月,則不會過期。當電腦啟動時,它會注意到其密碼已超過 30 天,並將啟動更改密碼的操作。客戶端電腦上的 Netlogon 服務負責執行此操作。這僅適用於機器長時間關閉的情況。

在我們在本地設置新密碼之前,我們確保我們擁有通往 DC 的有效安全通道。如果客戶端永遠無法連接到 DC(在嘗試之前從來沒有任何東西 - 刷新安全通道的時間),那麼我們將不會在本地更改密碼。

發揮作用的相關 Netlogon 參數,我們可以考慮在這裡更改:

ScavengeInterval(預設 15 分鐘)、MaximumPasswordAge(預設 30 天) DisablePasswordChange(預設關閉)。"

我希望這有幫助!

引用自:https://serverfault.com/questions/509880