Permitir que usuários do Active Directory desativem a sincronização de data e hora

6

Migrei recentemente minha empresa para o Active Directory. Com ele vem uma configuração padrão que forçará a sincronização de horário a ser ativada.

O problema é que alguns usuários precisam alterar suas configurações de data e hora para fins de teste, mas a sincronização automática restaura o valor de tempo real. A opção para desativar a sincronização de horário está em cinza. O usuário em questão é confiável e um membro do grupo de administradores locais em seu computador.

Eu tentei encontrar uma maneira de permitir que os usuários ativassem e desativassem essa configuração à vontade, mas só encontrei uma habilitação / desabilitação global.

Gostaria de saber se é possível deixar essa configuração (ativar / desativar a sincronização de horário) a critério dos usuários.

Obrigado a todos

EDIT para mais precisões: O usuário tem os direitos para modificar o tempo do sistema (direitos definidos em um GPO). O usuário é capaz de alterar o horário, mas ele será automaticamente alterado novamente alguns minutos depois. É esse comportamento que desejo desabilitar. Desativar o serviço de tempo do Windows (w32time) não ajuda.

    
por Nathan.Eilisha Shiraini 06.07.2016 / 12:17

2 respostas

8

Como apontado por @MDMarra, usar uma VM é uma ótima maneira de ir porque o bloqueio da sincronização de tempo pode causar problemas significativos para autenticação, validade de certificado TLS, etc. No entanto, para testes verdadeiros, provavelmente irá querer testar isso em uma máquina que tenha ingressado no domínio como seria em um caso do "mundo real". De qualquer forma, é sempre útil estar familiarizado com a configuração das configurações de tempo em um domínio do Windows.

O comando W32TM incorporado deve ser a resposta para o seu desafio. As duas sequências de comando a seguir impedirão que suas máquinas de teste reconfigurem automaticamente seu horário:

w32tm /config /syncfromflags:no /update
net stop w32time && net start w32time

Para restaurar o funcionamento adequado após a conclusão do teste, execute estas duas sequências de comandos:

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

Isto irá dizer ao computador para sincronizar o seu tempo a partir dos controladores de domínio do Active Directory e, em seguida, reiniciar o serviço de tempo.

Referências adicionais:

Edite com informações adicionais: Esses comandos assumem o que a pergunta já afirmou - que a pessoa que está executando os comandos tem privilégios de administrador local.

Também pedirei emprestada uma dica de outro fantástico SF Perguntas e Respostas sobre a configuração do tempo. Esta é uma citação direta da resposta que agora é um wiki da comunidade:

9.If you have been playing around with the Windows Time Service before now, or you inherited this network from someone else, it is probably a good idea to reset w32time to the default settings before you start re-configuring it. Run the following commands on your domain controllers, starting with the PDCe.

net stop w32time
w32tm /unregister  <-- If you get an Access Denied message, reboot.
w32tm /register
net start w32time

I recommend you reboot the server 1-2 times after running these commands and make sure the Windows Time Service is present, set to Automatic, and started. I have seen situations where the /unregister command did not take effect until the following reboot. Then you have a surprise when you reboot after doing Windows patches and the w32time service is suddenly missing!

    
por 06.07.2016 / 14:49
7

Você realmente não quer fazer isso. A sincronização de horário é fundamental para o funcionamento correto do Kerberos. A menos que você deseje autenticação falhas, você deixará os relógios do sistema onde estão.

Talvez uma VM não associada a um domínio, executada dentro do cliente Hyper-V, seja uma solução melhor.

    
por 06.07.2016 / 14:24