码迷,mamicode.com
首页 > Windows程序 > 详细

Windows 2008 R2 AD系列五:如何解决用户出差,脱域的问题

时间:2015-10-29 07:25:05      阅读:342      评论:0      收藏:0      [点我收藏+]

标签:脱域

相信大家都碰到过这个问题,某个用户出差,连同已加域的笔记本一起带出,时间较长,回来之后,我们常常发现该用户的计算机已经无法登陆域,错误提示通常为:此工作站和主域间的信任关系失败(长时间不使用或脱离域环境的电脑也会碰到这个情况),常见的解决办法就是退出域再重新加入,如果这种情况多的话,每次这样操作都比较麻烦,那么我们如何从根本上解决这一问题呢?

 

首先要知道这个问题形成的原因,先来看看微软的官方解释:

默认情况下,在一个域环境中,为了保证账号的安全,在默认域策略中设置了“最长密码有效期”。域客户端即使在脱机的情况下,依然会受这条Group Policy的限制。当密码到期前的14天开始,该笔记本会提示用户更改密码,但由于无法连接到域控制器,所以密码无法修改成功。一旦超过了这个期限,该域账号将被锁定,用户将无法再次登陆系统。

每个基于windows系统的电脑都有一个电脑账户密码历史记录(machine account password history), 为了让这台windows系统的电脑登陆域,这台电脑必须要与域控建立一个安全通道以用来身份验证。客户端电脑上的Netlogon服务会使用这台客户端的电脑账户(machine account)和一个相关密码去建立安全通道。 如果这个计算机帐户密码和LSA不同步,那么这台电脑将无法连接到域,会有错误提示:此工作站和主域间的信任关系失败。也就是说此时安全通道已经坏掉了。(默认计算机帐户密码30天会变更一次)

 

解决方法:

一、在DC上运行gpmc.msc,在需要设置的GPO上右键编辑,依次展开计算机配置→策略 →Windows设置→安全设置→本地策略→安全选项,找到:

域成员: 计算机帐户密码最长使用期限  (默认30天,设置长一点)

域成员: 禁用计算机帐户密码更改 (设为已启用)

域控制器: 拒绝计算机帐户密码更改(设为已启用)

 

二、在计算机配置→策略 →Windows设置→安全设置→帐户策略→密码策略,找到密码最长使用期限,默认为42天,建议这里修改为与计算机帐户密码最长使用期限一致。

本文出自 “每天进步一点” 博客,请务必保留此出处http://yujia2015.blog.51cto.com/59379/1707522

Windows 2008 R2 AD系列五:如何解决用户出差,脱域的问题

标签:脱域

原文地址:http://yujia2015.blog.51cto.com/59379/1707522

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!