如果我在 AD 中禁用计算机帐户,我是否就不能使用这台计算机登录域了?
我对此进行了测试,我有一台加入域的计算机(Windows 10),我禁用了计算机帐户并重新启动了客户端计算机,然后我尝试使用域用户帐户登录到计算机,它成功了。
我的想法是,即使我使用有效的用户凭据登录,我也不应该被允许使用已禁用的计算机登录,因为计算机帐户已被禁用。
我可以理解,如果计算机不在网络上,它将无法联系 AD 获取更新的信息,因此我仍然能够根据缓存的凭据等以域用户身份登录。
我尝试重新启动计算机、重置计算机帐户、禁用/启用它等......不知何故我仍然能够使用这台计算机登录到域!
我想要的是,如果计算机帐户被禁用,则没有人可以使用该计算机登录到域。
我的想法是,我想通过禁用 LastLogin 日期超过 90 天的计算机来清理我们的 Active Directory 计算机。可以肯定的是,如果我这样做,那些被禁用的计算机重新接入网络,即使你尝试使用有效的域用户凭据登录,它们也无法登录,因为实际的计算机帐户已被禁用。
答案1
当您在 Active Directory 中禁用计算机时,您基本上就是禁用了计算机帐户。我怀疑计算机正在将身份验证请求传递给您禁用它的域控制器以外的域控制器,并且该信息尚未复制。
您也可能在 Active Directory 本身中遇到某种更大的复制问题,但根据您帖子中的信息很难说。
编辑:Ryan 建议禁用缓存凭据。这是组策略中的一个选项:
计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 ->交互式登录:缓存以前的登录次数。
(您可能需要重新启动或gpupdate /force才能使其生效。)