На скільки часу може відключити клієнта в AD?

Ми створюємо тренувальне середовище, яке використовуватиметься після літніх канікул. Керівництво хоче, щоб ми створили клієнтів зараз перед відпусткою. Оскільки клієнтів потрібно відправляти далеко, вони будуть відключені до початку навчання. Це означає, що клієнти будуть не на зв’язку з AD протягом приблизно 15 тижнів. Крім того, оскільки тут нікого не буде, сервери будуть відключені приблизно на шість-вісім тижнів. Термін експлуатації надгробної пам’ятки встановлений на 180 днів.

Чи може цей 15-тижневий період створити якісь проблеми для клієнтів? Чи варто спробувати переконати керівництво відкласти встановлення клієнта до закінчення відпустки?

Це буде добре.

Ось трохи розмиття від Шона Айві від Microsoft; досить розумний хлопець:

Гаразд, поки ми говоримо про членів домену, а не про контролери домену, тоді для всіх практичних цілей їх можна буде відключити на невизначений час без проблем. Коли ви, нарешті, увімкніть їх, запустить мережевий очищувач, зв’яжіться з контролером домену та скине пароль для облікового запису комп'ютера.

Важливо пам’ятати, що скидання пароля облікового запису комп'ютера керується КЛІЄНТОМ, а не контролером домену. Отже, поки клієнт не спробує змінити свій пароль, пароль не буде змінено.

Ознайомтесь із цим посиланням, коли отримаєте шанс. Я витягнув відповідні частини:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Паролі машинного облікового запису як такі не закінчуються в Active Directory. Вони виключені з політики паролів домену. Важливо пам’ятайте, що зміни пароля облікового запису машини керуються КЛІЄНТОМ (комп’ютером), а не AD. Поки ніхто не відключав і не видаляв обліковий запис комп’ютера, а також не намагався додати до домену комп'ютер з тим самим іменем, (або деякі інші руйнівні дії) комп’ютер буде працювати далі незалежно від того, скільки часу пройшло з моменту ініціювання та зміни пароля облікового запису машини.

Тож якщо комп'ютер вимкнено на три місяці, нічого не закінчується. Коли комп'ютер запуститься, він помітить, що його пароль старше 30 днів, і буде ініціювати дії для його зміни. Служба Netlogon на клієнтському комп'ютері відповідає за це. Це застосовується лише в тому випадку, якщо машина вимкнена настільки довгий час.

Перш ніж локально встановити новий пароль, ми гарантуємо наявність дійсного безпечного каналу до постійного струму. Якщо клієнт так і не зміг підключитися до постійного струму (де ніколи нічого не було до моменту спроби - час оновити захищений канал), ми не змінимо пароль локально.

Відповідні параметри Netlogon, які вступають у гру, і ми можемо подумати про зміни тут:

ScavengeInterval (за замовчуванням 15 хвилин), MaximumPasswordAge (за замовчуванням 30 днів) DisablePasswordChange (за замовчуванням вимкнено). "

Я сподіваюся, що це допомагає!