Khách hàng có thể tắt máy trong bao lâu?

Chúng tôi đang thiết lập một môi trường đào tạo để được sử dụng sau kỳ nghỉ hè. Quản lý muốn chúng tôi thiết lập khách hàng ngay trước kỳ nghỉ. Vì các khách hàng sẽ được chuyển đi, họ sẽ nghỉ việc cho đến khi khóa đào tạo bắt đầu. Điều đó có nghĩa là các khách hàng sẽ mất liên lạc với AD trong khoảng 15 tuần. Ngoài ra, vì không có ai ở đây, các máy chủ sẽ ngừng hoạt động trong khoảng sáu đến tám tuần. Thời gian tồn tại của bia mộ được thiết lập là 180 ngày.

Thời gian 15 tuần này có thể tạo ra bất kỳ vấn đề cho khách hàng? Chúng ta có nên cố gắng thuyết phục ban quản lý hoãn cài đặt máy khách cho đến sau kỳ nghỉ không?

windows-server-2003 active-directory windows-xp

— Máy xúc cát
nguồn

Bạn mất bao lâu để thiết lập? Bạn có quan tâm về các bản vá / cập nhật / cập nhật av / vv. Trong cửa sổ đó?

— TheCleaner

Các bản vá và như vậy không phải là một mối quan tâm. Vì nó chỉ là một hệ thống đào tạo, tất cả những gì chúng tôi thực sự quan tâm là khách hàng không đi vào một loại chế độ bia mộ nào đó.

— Sandokan

Tôi đồng ý với Ryan bên dưới, nhưng nếu "bản dựng" không yêu cầu GPO, v.v. để đưa họ đến trạng thái họ cần đào tạo, bạn cũng có thể xây dựng chúng và sau đó chờ thêm chúng vào miền cho đến sau kỳ nghỉ hè khi bạn khởi động chúng sao lưu.

— TheCleaner

Nó sẽ ổn thôi.

Đây là một chút ầm ĩ từ Sean Ivey từ Microsoft; một anh chàng khá thông minh:

Ok, miễn là chúng ta đang nói về các thành viên miền, và không phải là bộ điều khiển miền thì vì tất cả các mục đích thực tế, họ có thể bị tắt vô thời hạn mà không gặp vấn đề gì. Khi bạn cuối cùng bật lại, trình quét netlogon sẽ chạy, liên hệ với bộ điều khiển miền và đặt lại mật khẩu cho tài khoản máy tính.

Điều quan trọng cần nhớ là thiết lập lại mật khẩu tài khoản máy tính được điều khiển bởi CLIENT chứ không phải bộ điều khiển miền. Vì vậy, miễn là khách hàng không cố gắng thay đổi mật khẩu của mình, thì mật khẩu sẽ không bị thay đổi.

Hãy xem liên kết này khi bạn có cơ hội. Tôi đã rút ra những phần có liên quan:

http://bloss.technet.com/b/askds/archive/2009/02/15/test2.aspx "Mật khẩu tài khoản máy như vậy không hết hạn trong Active Directory. Chúng được miễn khỏi chính sách mật khẩu của tên miền. Điều quan trọng là để nhớ rằng các thay đổi mật khẩu tài khoản máy được điều khiển bởi CLIENT (máy tính) chứ không phải AD. Miễn là không ai vô hiệu hóa hoặc xóa tài khoản máy tính, cũng không cố thêm máy tính có cùng tên vào tên miền, (hoặc một số hành động phá hoại khác), máy tính sẽ tiếp tục hoạt động bất kể đã bao lâu kể từ khi mật khẩu tài khoản máy của nó được bắt đầu và thay đổi.

Vì vậy, nếu một máy tính bị tắt trong ba tháng, không có gì hết hạn. Khi máy tính khởi động, nó sẽ nhận thấy rằng mật khẩu của nó đã cũ hơn 30 ngày và sẽ bắt đầu hành động để thay đổi nó. Dịch vụ Netlogon trên máy khách có trách nhiệm thực hiện việc này. Điều này chỉ được áp dụng nếu máy bị tắt trong một thời gian dài như vậy.

Trước khi chúng tôi đặt mật khẩu mới cục bộ, chúng tôi đảm bảo chúng tôi có kênh bảo mật hợp lệ cho DC. Nếu khách hàng không bao giờ có thể kết nối với DC (nơi không bao giờ là bất cứ điều gì trước thời gian thử - thời gian để làm mới kênh bảo mật), thì chúng tôi sẽ không thay đổi mật khẩu cục bộ.

Các thông số Netlogon có liên quan xuất hiện và chúng ta có thể nghĩ về việc thay đổi ở đây là:

ScavengeInterval (mặc định 15 phút), MaximumPasswordAge (mặc định 30 ngày) DisablePasswordChange (tắt mặc định). "

Tôi hi vọng cái này giúp được!

— Ryan Ries
nguồn

Điều đó có nghĩa là khách hàng và không chỉ các máy chủ thuộc khái niệm bia mộ?

— Sandokan

Không, thực sự, tất cả những gì bạn cần lo lắng là bộ điều khiển miền. Thành viên tên miền có thể tắt nguồn vô thời hạn và vẫn được đưa trở lại.

— Ryan Ries

@Sandokan Không dành cho tài khoản máy đang hoạt động. Bia mộ ở đó để gắn cờ các tài khoản bị xóa vì mục đích sao chép (vì vậy thao tác xóa có thể được sao chép giữa các DC). Rắc rối xảy ra sau khi DC bị tắt lâu hơn TombstoneLifeTime là nó có thể không xử lý tất cả các thao tác xóa xảy ra kể từ khi nó bị tắt (vì những cái cũ hơn có thể bị cắt bỏ), vì vậy các bản sao thư mục có thể bị loại bỏ -đồng bộ hóa. Điều này không có gì bạn cần phải lo lắng với khách hàng hoặc trong trường hợp bạn chuyển đổi toàn bộ tên miền trong một khoảng thời gian dài.

— the-wợi