在我的组织中,当我们配置计算机时,其中一个步骤是加入我们的域。通常,我们会根据需要一次配置一台 PC。我想摆脱这种习惯,开始配置 PC 组,因为它们每年购买一两次。这样做的问题是,这些机器将闲置数月而无人使用,最终会失去域信任关系和主机名。
我的问题是,我们能否在域控制器上创建一个容器,该容器没有任何定义的计算机密码更改要求。然后,当我们为用户设置 PC 并将其移动到我称之为工作容器,该设备会获取为我们环境中的所有其他计算机设置的机器帐户密码策略吗?
答案1
是的,从技术上讲,可以创建一个组织单位并针对其实施以下策略,以防止计算机更改其密码:
计算机配置\Windows 设置\安全设置\本地策略\安全选项 =>Domain member: Disable machine account password changes
阅读文档以了解有关此政策的更多信息:域成员: 禁用计算机帐户密码更改
为了降低安全风险,您可以在计算机关闭后禁用计算机帐户,然后在想要使用计算机时再次启用它并将其移动到另一个 OU。
然而,
我不认为您需要禁用机器帐户密码更改...该策略不由域控制器强制执行,这是一个客户端设置:客户端设备将定期检查是否需要更改其密码。
我曾经见过这样的情况:一旦密码更改,你只需要重新启动机器,Windows 就会恢复正常。
下次您需要在几个月不活动后使用计算机时,请尝试以下操作:启动设备,确保它已连接到网络,不要尝试登录设备,只需让它静置几分钟,然后重新启动设备,并尝试登录。
在此了解有关机器帐户密码更改的更多信息以及它不应该成为问题:机器账户密码流程