Pare o Active Directory de atualizar hora e data do computador

Navegue suas respostas
2

Este escritório executa um diretório ativo em servidores Windows. Alguns DCs de 2003, alguns DCs de 2008 R2

Um usuário (o analista de controle de qualidade) solicitou que ele altere seu horário e não seja alterado novamente após 5 a 10 minutos. A razão é que ele precisa ver estados de tempo diferentes para o nosso site.

Antes de mais, algumas questões vêm à mente ...

  1. O que acontece se ele se esquecer de alterá-lo de volta?

  2. Ele poderá continuar usando os recursos do domínio se a hora e a data dele estiverem fora de sincronia? Exchange, compartilhamentos, até mesmo para fazer logon ....?

Quais são algumas soluções para este problema? Eu tenho certeza que isso surgiu muitas vezes no passado. Eu posso ver sua conta de usuário ou computador de estação de trabalho em sua própria UO com seu próprio GPO, mas não sei ao certo para onde ir.

    
por Campo 24.03.2011 / 20:30

3 respostas

2

Desde que ele não esteja fazendo alterações no diretório ativo, o impacto no ambiente será mínimo. O usuário pode ter problemas ao obter atualizações da política de grupo e pode ter problemas de autenticação (mas isso pode ser corrigido com uma reinicialização de hora e reinicialização) Você terá que:

  1. sincronizar a hora com um timesource inexistente, consulte Ferramentas e configurações do serviço de tempo do Windows isso impedirá que o domínio conserte automaticamente o tempo
  2. altere a hora manualmente.

você pode manter a máquina do usuário em sincronia e permitir que ele tenha uma diferença de tempo em uma máquina virtual em vez de em sua estação de trabalho (a máquina virtual do windows permitirá isso)

    
por 24.03.2011 / 20:59
2

Se o tempo estiver desativado, a autenticação para os recursos de rede falhará. Se o usuário fizer logoff com o tempo fora de sincronia, toda a autenticação de domínio desse computador falhará. Para voltar, você teria que desconectar da rede e fazer login usando credenciais armazenadas em cache.

A maneira mais limpa provavelmente seria testar o usuário de uma estação de trabalho que não esteja no domínio.

    
por 24.03.2011 / 20:47
1

Os protocolos usados para contatar os controladores de domínio (especificamente o Kerberos) são baseados no horário do computador. Todos os tipos de erros de autenticação podem resultar da confusão com o tempo. geralmente, um desvio de tempo de mais de 5 minutos causará problemas.

Mais informações sobre como o Kerberos funciona aqui: link

    
por 24.03.2011 / 20:43

Tags

Grandes carregamentos HTTP ainda recebem uma entrada de log do IIS se forem abortados? Agrupando registros usando shell