该办公室在 Windows 服务器上运行活动目录。一些 2003 DC 一些 2008 R2 DC
一位用户(QA 分析师)要求他能够更改时间,并且 5-10 分钟后不能改回。原因是他需要查看我们网站的不同时间状态。
首先我想到的是几个问题......
如果他忘记改回来会发生什么?
如果他的时间和日期不同步,他可以继续使用域的资源吗?交换、共享、甚至登录……?
这个问题有什么解决办法吗?我相信这个问题在过去已经出现过很多次了。我可以看到他的用户帐户或工作站计算机在其自己的 OU 中,有自己的 GPO,但我不知道从那里去哪里。
答案1
只要他不对 Active Directory 进行更改,对环境的影响就会很小。用户在获取组策略更新时可能会遇到问题,在进行身份验证时也可能会遇到问题(但可以通过重置时间和重新启动来解决)。您必须:
- 将时间同步到不存在的时间源,请参见Windows 时间服务工具和设置这将阻止域自动修复时间
- 手动更改时间。
您可以让用户的机器保持同步,并允许他在虚拟机而不是他的工作站上有时间差(Windows 虚拟机将允许这样做)
答案2
如果时间不对,网络资源的身份验证将失败。如果用户在时间不同步的情况下注销,该计算机的所有域身份验证都将失败。为了重新登录,您必须断开网络连接并使用缓存的凭据登录。
最干净的方法可能是让用户从不在域内的工作站进行测试。
答案3
用于联系域控制器的协议(特别是 Kerberos)基于计算机的时间。时间混乱可能会导致各种身份验证错误。通常,时间偏差超过 5 分钟就会出现问题。
有关 Kerberos 如何工作的更多信息,请参见:http://en.wikipedia.org/wiki/Kerberos_%28protocol%29