Windows 2008 R2 AD系列五:如何解决用户出差,脱域的问题-阿里云开发者社区

开发者社区> 安全> 正文

Windows 2008 R2 AD系列五:如何解决用户出差,脱域的问题

简介:

相信大家都碰到过这个问题,某个用户出差,连同已加域的笔记本一起带出,时间较长,回来之后,我们常常发现该用户的计算机已经无法登陆域,错误提示通常为:此工作站和主域间的信任关系失败(长时间不使用或脱离域环境的电脑也会碰到这个情况),常见的解决办法就是退出域再重新加入,如果这种情况多的话,每次这样操作都比较麻烦,那么我们如何从根本上解决这一问题呢?

 

首先要知道这个问题形成的原因,先来看看微软的官方解释:

默认情况下,在一个域环境中,为了保证账号的安全,在默认域策略中设置了“最长密码有效期”。域客户端即使在脱机的情况下,依然会受这条Group Policy的限制。当密码到期前的14天开始,该笔记本会提示用户更改密码,但由于无法连接到域控制器,所以密码无法修改成功。一旦超过了这个期限,该域账号将被锁定,用户将无法再次登陆系统。

每个基于windows系统的电脑都有一个电脑账户密码历史记录(machine account password history), 为了让这台windows系统的电脑登陆域,这台电脑必须要与域控建立一个安全通道以用来身份验证。客户端电脑上的Netlogon服务会使用这台客户端的电脑账户(machine account)和一个相关密码去建立安全通道。 如果这个计算机帐户密码和LSA不同步,那么这台电脑将无法连接到域,会有错误提示:此工作站和主域间的信任关系失败。也就是说此时安全通道已经坏掉了。(默认计算机帐户密码30天会变更一次)

 

解决方法:

一、在DC上运行gpmc.msc,在需要设置的GPO上右键编辑,依次展开计算机配置→策略 →Windows设置→安全设置→本地策略→安全选项,找到:

域成员: 计算机帐户密码最长使用期限  (默认30天,设置长一点)

域成员: 禁用计算机帐户密码更改 (设为已启用)

域控制器: 拒绝计算机帐户密码更改(设为已启用)

 

二、在计算机配置→策略 →Windows设置→安全设置→帐户策略→密码策略,找到密码最长使用期限,默认为42天,建议这里修改为与计算机帐户密码最长使用期限一致。




本文转自 kuSorZ 51CTO博客,原文链接:http://blog.51cto.com/kusorz/1707522


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章