Pendant combien de temps un client peut-il être arrêté dans AD?

Nous mettons en place un environnement de formation à utiliser après les vacances d'été. La direction veut que nous installions des clients maintenant avant les vacances. Étant donné que les clients doivent être expédiés, ils seront hors ligne jusqu'au début de la formation. Cela signifie que les clients seront déconnectés de la DA pendant environ 15 semaines. De plus, comme personne ne sera là, les serveurs seront fermés pendant environ six à huit semaines. La durée de vie de la pierre tombale est fixée à 180 jours.

Cette période de 15 semaines peut-elle générer des problèmes pour les clients? Devrions-nous essayer de persuader la direction de reporter l'installation du client après les vacances?

Tout ira bien.

Voici un petit texte de présentation de Sean Ivey de Microsoft; un gars assez intelligent:

Ok, tant que nous parlons de membres de domaine, et non de contrôleurs de domaine, ils peuvent être désactivés à toutes fins pratiques sans problème. Lorsque vous les réactivez enfin, le nettoyeur de netlogon s'exécute, contacte un contrôleur de domaine et réinitialise le mot de passe du compte d'ordinateur.

La chose importante à retenir est qu'une réinitialisation du mot de passe du compte d'ordinateur est pilotée par le CLIENT, pas par le contrôleur de domaine. Donc, tant que le client n'essaye pas de changer son mot de passe, le mot de passe ne sera pas modifié.

Jetez un œil à ce lien lorsque vous en aurez l'occasion. J'ai retiré les parties pertinentes:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Les mots de passe de compte d'ordinateur en tant que tels n'expirent pas dans Active Directory. Ils sont exemptés de la stratégie de mot de passe du domaine. Il est important de se rappeler que les modifications du mot de passe du compte d'ordinateur sont effectuées par le CLIENT (ordinateur) et non par AD. Tant que personne n'a désactivé ou supprimé le compte d'ordinateur, ni essayé d'ajouter un ordinateur portant le même nom au domaine, (ou autre action destructrice), l'ordinateur continuera de fonctionner, peu importe le temps écoulé depuis le lancement et la modification du mot de passe de son compte d'ordinateur.

Donc, si un ordinateur est éteint pendant trois mois, rien n'expire. Lorsque l'ordinateur démarre, il remarquera que son mot de passe date de plus de 30 jours et lancera une action pour le modifier. Le service Netlogon sur l'ordinateur client est responsable de cette opération. Ceci n'est applicable que si la machine est éteinte pendant si longtemps.

Avant de définir le nouveau mot de passe localement, nous nous assurons que nous avons un canal sécurisé valide vers le contrôleur de domaine. Si le client n'a jamais pu se connecter au contrôleur de domaine (où il n'y a jamais rien avant l'heure de la tentative - le temps de rafraîchir le canal sécurisé), alors nous ne changerons pas le mot de passe localement.

Les paramètres Netlogon pertinents qui entrent en jeu et nous pouvons penser à changer ici sont:

ScavengeInterval (par défaut 15 minutes), MaximumPasswordAge (par défaut 30 jours) DisablePasswordChange (par défaut désactivé). "

J'espère que ça aide!