企业已经向长时间在外地无法访问域控制器的用户发放了 Windows 7 笔记本电脑。甚至可能有些用户自发放笔记本电脑之日起就再也没有连接到域。他们的 Active Directory 帐户会过期吗?
正在开发的一个应用程序可能需要定期重新连接到 AD,但我担心 AD 凭据是否会过期?
答案1
用户/计算机密码可以过期,缓存凭据-不会过期(它们将无限期地保留,即使用户或计算机帐户密码已经过期也没关系,只要凭据已经被缓存过一次,并且没有连接到域控制器,它们就永远不会过期)。
如果你的意思是 AD 帐户是否会在未来某个时间点自动被禁用 - 答案是否定的,仅由于列出的一些条件这里。
答案2
断开连接的计算机或用户不会“过期”,除非您通知它。如果您允许,计算机或用户对象将永远在您的 AD 中保持活动状态。
请记住,用户帐户受域的密码策略约束,因此当断开连接的用户需要连接到网络资源时,可能需要更新缓存帐户的密码,但用户和计算机帐户本身都没有问题。
如果您需要一种方法让断开连接的用户更新其 AD 密码,并且您没有 VPN 但有 Exchange,我通常会提醒人们他们可以通过 OWA 更改其网络密码。
答案3
过期的用户帐户、禁用的用户帐户和过期的密码是三件截然不同的事情。无论用户是否定期登录域,用户帐户都不会在没有管理操作的情况下过期。
答案4
如果工作站无法再次连接到物理 LAN,我认为首先就没有必要将它们放在您的域中。话虽如此,当您的用户在物理 LAN 上并可以访问 DC 时使用其域凭据登录其 PC 时,他们的凭据将缓存在笔记本电脑上。然后,他们将能够使用缓存的凭据在域外登录笔记本电脑。据我所知,除非工作站能够再次与域中的 DC 通信并且用户的当前密码已过期、已更改或帐户已过期或已被删除,否则这些缓存的凭据不会过期。