Por quanto tempo um cliente pode ser desligado no AD?

12

Estamos criando um ambiente de treinamento para ser usado após as férias de verão. A gerência quer que montemos clientes agora antes das férias. Como os clientes devem ser enviados, eles ficarão off-line até o início do treinamento. Isso significa que os clientes estarão fora de contato com o AD por aproximadamente 15 semanas. Além disso, como ninguém estará aqui, os servidores serão desligados por cerca de seis a oito semanas. O tempo de vida da lápide é definido como 180 dias.

Esse período de 15 semanas pode gerar problemas para os clientes? Devemos tentar convencer o gerenciamento a adiar a instalação do cliente até depois das férias?

Sandokan
fonte
1
Quanto tempo você leva para configurar? Você está preocupado com patches / atualizações / atualizações av / etc. durante aquela janela?
TheCleaner
Patches e outros não são uma preocupação. Como é apenas um sistema de treinamento, tudo o que realmente importa é que os clientes não entrem em algum tipo de modo de lápide.
Sandokan
1
Concordo com Ryan abaixo, mas se a "compilação" não exigir GPOs, etc. para levá-los ao estado de que precisam para o treinamento, você também poderá compilá-los e aguardar para adicioná-los ao domínio até depois das férias de verão quando você os inicializar novamente.
TheCleaner

Respostas:

21

Vai ficar tudo bem.

Aqui está uma pequena sinopse de Sean Ivey, da Microsoft; um cara muito inteligente:

Ok, desde que falemos de membros do domínio, e não de controladores de domínio, para todos os efeitos práticos, eles podem ser desativados indefinidamente sem nenhum problema. Quando você ativá-los, o limpador de logon de rede será executado, entre em contato com um controlador de domínio e redefinirá a senha da conta do computador.

O importante é lembrar que a redefinição de senha de uma conta de computador é conduzida pelo CLIENTE, não pelo controlador de domínio. Portanto, desde que o cliente não tente alterar sua senha, a senha não será alterada.

Dê uma olhada neste link quando tiver uma chance. Eu peguei as partes relevantes:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "As senhas de contas de máquinas, como tais, não expiram no Active Directory. Elas são isentas da política de senhas do domínio. É importante lembre-se de que as alterações de senha da conta da máquina são controladas pelo CLIENTE (computador) e não pelo AD.Ninguém desabilitou ou excluiu a conta do computador, nem tentou adicionar um computador com o mesmo nome ao domínio (ou outra ação destrutiva), o computador continuará funcionando, não importa quanto tempo tenha passado desde que a senha da conta da máquina foi iniciada e alterada.

Portanto, se um computador estiver desligado por três meses, nada expirará. Quando o computador é iniciado, ele notará que sua senha tem mais de 30 dias e iniciará uma ação para alterá-la. O serviço Netlogon no computador cliente é responsável por fazer isso. Isso é aplicável apenas se a máquina for desligada por tanto tempo.

Antes de definir a nova senha localmente, garantimos que temos um canal seguro válido para o controlador de domínio. Se o cliente nunca conseguiu se conectar ao controlador de domínio (onde nunca há nada antes da hora da tentativa - hora de atualizar o canal seguro), não alteraremos a senha localmente.

Os parâmetros relevantes do Netlogon que entram em jogo e podemos pensar em mudar aqui são:

ScavengeInterval (padrão 15 minutos), MaximumPasswordAge (padrão 30 dias) DisablePasswordChange (padrão desativado). "

Eu espero que isso ajude!

Ryan Ries
fonte
O que significa que clientes e não apenas servidores se enquadram no conceito de marca para exclusão?
Sandokan
4
Não, realmente, tudo o que você precisa se preocupar são os controladores de domínio. Os membros do domínio podem ser desligados indefinidamente e ainda serem recuperados.
Ryan Ries
4
@Sandokan Não é para contas de máquina ativas. As lápides estão lá para sinalizar contas excluídas por razões de replicação (para que a operação de exclusão possa ser replicada entre os controladores de domínio). O problema que ocorre depois que um controlador de domínio é desativado por mais tempo que o TombstoneLifeTime é que ele pode não processar todas as exclusões que ocorreram desde que foi desativado (já que os mais antigos podem ser removidos), para que as réplicas de diretórios possam ficar fora de controle. -sincronizar. Isso não é nada com que você precisa se preocupar com os clientes ou em um caso em que você muda o domínio inteiro por um período prolongado de tempo.
the-wabbit