题 允许Active Directory用户禁用日期时间同步


我最近将我的公司迁移到Active Directory。随之而来的是一个默认设置,它将强制启用时间同步。

麻烦的是,有些用户需要更改日期时间设置以进行测试,但自动同步将恢复实际时间值。禁用时间同步的选项显示为灰色。有问题的用户是受信任的,并且是他计算机上本地管理员组的成员。

我试图找到一种让用户随意启用和禁用此设置的方法,但我只找到了全局启用/禁用。

我想知道是否可以将此设置(启用/禁用时间同步)留给用户自行决定。

谢谢大家

编辑 更精确:用户 具有 修改系统时间的权利(在GPO中定义的权限)。用户  能够改变时间,只有几分钟后它会自动改变。这是我希望禁用的行为。禁用Windows时间服务(w32time)没有帮助。


6
2017-07-06 10:17




我采取了这些文章中描述的行动无济于事。用户 是 能够改变时间,但它将被Windows更改并禁用Windows时间服务不会改变任何东西。 - Nathan.Eilisha Shiraini


答案:


正如@MDMarra所指出的,使用VM是一种很好的方法,因为阻止时间同步 能够 对于身份验证,TLS证书有效性等导致严重问题。但是,对于真正的测试,您可能  想要在加入域的机器上测试这个,就像在“真实世界”的情况下一样。无论哪种方式,熟悉Windows域中时间设置的配置总是有帮助的。

内置的 W32TM 命令应该是你挑战的答案。以下两个命令字符串将阻止测试计算机自动重置其时间:

w32tm /config /syncfromflags:no /update
net stop w32time && net start w32time

要在测试完成后恢复正常操作,请运行以下两个命令字符串:

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

这将告诉计算机从Active Directory域控制器同步其时间,然后重新启动时间服务。

其他参考:

使用其他信息进行修改 这些命令假定问题已经说明 - 运行命令的人具有本地管理员权限。

我还会借用另一个小费 奇妙 SF Q&A 关于配置时间。这是现在社区维基的答案的直接引用:

9.如果您之前一直在使用Windows时间服务,或者您从其他人那里继承了此网络,那么它可能是   最好在开始之前将w32time重置为默认设置   重新配置它。在您的域上运行以下命令   控制器,从PDCe开始。

net stop w32time
w32tm /unregister  <-- If you get an Access Denied message, reboot.
w32tm /register
net start w32time

我建议您在运行这些服务器后重新启动服务器1-2次   命令并确保Windows时间服务存在,设置为   自动,并启动。我见过/取消注册的情况   命令直到以下重启才生效。那你有   在执行Windows补丁和w32time后重新启动时会出现意外情况   服务突然失踪!


8
2017-07-06 12:49



像魅力一样工作,谢谢。重新启动 w32time在重新启用同步之后似乎不需要(命令完成后立即重置日期)。我仍然告诉用户重启服务,但是比抱歉更安全。 - Nathan.Eilisha Shiraini


你真的不想这样做。 时间同步对于Kerberos正常运行至关重要。 除非您希望身份验证失败,否则您将使系统时钟保持原样。

也许在客户端Hyper-V内部运行的非域加入VM是更好的解决方案。


7
2017-07-06 12:24



一世 其实 我希望这样做,因为我宁愿暂时出现身份验证失败的风险,而不是等待一年,看看我的用户是否正在按预期行事。我会建议VM的可能性。 - Nathan.Eilisha Shiraini