Bir istemci AD'de ne kadar süreyle kapatılabilir?

Yaz tatilinden sonra kullanılacak bir eğitim ortamı kuruyoruz. Yönetim, tatilden önce müşteriler kurmamızı istiyor. Müşteriler sevk edileceğinden, eğitim başlayana kadar çevrimdışı olacaklar. Bu, müşterilerin yaklaşık 15 hafta boyunca AD ile bağlantısız olacağı anlamına gelir. Ayrıca, kimse burada olmayacağından, sunucular yaklaşık altı ila sekiz hafta boyunca kapatılacak. Kaldırıldı olarak işaretleme süresi 180 gün olarak ayarlandı.

Bu 15 haftalık süre müşteriler için sorun yaratabilir mi? Yönetimi tatilden sonraya kadar istemci kurulumunu ertelemeye ikna etmeye çalışmalı mıyız?

windows-server-2003 active-directory windows-xp

— sandokan
kaynak

Kurmanız ne kadar sürer? Yamalar / güncellemeler / av güncellemeleri / vb. bu pencerede?

— TheCleaner

Yamalar ve benzeri bir endişe değildir. Bu sadece bir eğitim sistemi olduğundan, gerçekten önemsediğimiz tek şey müşterilerin bir tür mezar taşı moduna girmemesidir.

— Sandokan

Aşağıda Ryan ile aynı fikirdeyim, ancak "yapı" GPO'ları gerektirmiyorsa, onları eğitim için ihtiyaç duydukları duruma getirmeleri için onları da oluşturabilir ve daha sonra yaz tatiline kadar alana eklemek için bekleyebilirsiniz. onları yeniden başlattığınızda.

— TheCleaner

İyi olacak.

İşte Microsoft'tan Sean Ivey'den biraz bulanıklık; oldukça zeki bir adam:

Tamam, etki alanı denetleyicilerinden değil, etki alanı üyelerinden bahsettiğimiz sürece, tüm pratik amaçlar için süresiz olarak kapatılabilirler. Sonunda tekrar açtığınızda, netlogon temizleyici çalışır, bir etki alanı denetleyicisine başvurun ve bilgisayar hesabının parolasını sıfırlar.

Hatırlanması gereken en önemli şey, bilgisayar hesabı parola sıfırlamasının etki alanı denetleyicisi tarafından değil MÜŞTERİ tarafından yönlendirilmesidir. Bu nedenle, istemci şifresini değiştirmeye çalışmadığı sürece şifre değişmez.

Şansınız olduğunda bu bağlantıya bir göz atın. İlgili parçaları çıkardım:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Bu şekilde makine hesabı parolalarının süresi Active Directory'de sona ermiyor. Etki alanının parola ilkesinden muaf tutuluyor. Önemli makine hesabı parola değişikliklerinin AD tarafından değil MÜŞTERİ (bilgisayar) tarafından yürütüldüğünü hatırlamak için. Bilgisayar hesabını kimse devre dışı bırakmadığı veya silmediği veya etki alanına aynı ada sahip bir bilgisayar eklemeyi denemediği sürece (veya başka bir yıkıcı eylem) varsa, bilgisayar, makine hesabı şifresinin başlatılmasından ve değiştirilmesinden bu yana ne kadar sürerse sürsün çalışmaya devam edecektir.

Yani bir bilgisayar üç ay boyunca kapatılırsa hiçbir şeyin süresi dolmaz. Bilgisayar başlatıldığında, parolasının 30 günden eski olduğunu fark edecek ve değiştirmek için eylem başlatacaktır. İstemci bilgisayardaki Netlogon hizmeti bunu yapmaktan sorumludur. Bu sadece makine bu kadar uzun bir süre kapalı kalırsa geçerlidir.

Yeni şifreyi yerel olarak ayarlamadan önce, DC'de geçerli bir güvenli kanalımız olduğundan emin oluruz. İstemci DC'ye asla bağlanamadıysa (denemeden önce - güvenli kanalı yenilemek için hiçbir zaman bir şey yoktur), o zaman şifreyi yerel olarak değiştirmeyiz.

Yürütülen ilgili Netlogon parametreleri ve burada değiştirmeyi düşünebiliriz:

ScavengeInterval (varsayılan 15 dakika), MaximumPasswordAge (varsayılan 30 gün) DisablePasswordChange (varsayılan kapalı). "

Umarım bu yardımcı olur!

— Ryan Ries
kaynak

Bu, yalnızca sunucuların değil istemcilerin de mezar taşı kavramına girdiği anlamına mı geliyor?

— Sandokan

Hayır, gerçekten endişelenmeniz gereken tek şey etki alanı denetleyicileri. Etki alanı üyeleri süresiz olarak kapatılabilir ve yine de geri getirilebilir.

— Ryan Ries

@Sandokan Aktif makine hesapları için değil. Mezar taşları, silinen hesapları çoğaltma amacıyla işaretlemek için vardır (böylece silme işlemi DC'ler arasında çoğaltılabilir). Bir DC'nin TombstoneLifeTime'dan daha uzun bir süre kapatıldıktan sonra ortaya çıkan sorun , kapatıldığı için (daha eski olanları budanabileceği gibi) kapatılmış olan tüm silme işlemlerini işlemeyebileceğidir, bu nedenle dizin kopyaları tükenebilir -sync. Bu, müşterilerle veya uzun bir süre boyunca tüm etki alanını güvendiğiniz bir durumda endişelenmeniz gereken bir şey değildir.

— wabbit