如何解决用户出差,脱域的问题、计算机帐户密码最长使用期限 (默认30天,可以k设置长一点)

如何解决用户出差,脱域的问题、计算机帐户密码最长使用期限 (默认30天,可以k设置长一点)

 http://www.zh-cjh.com/gechangjia/2086.html


相信大家都碰到过这个问题,某个用户出差,连同已加域的笔记本一起带出,时间较长,回来之后,我们常常发现该用户的计算机已经无法登陆域,错误提示通常为:此工作站和主域间的信任关系失败(长时间不使用或脱离域环境的电脑也会碰到这个情况),常见的解决办法就是退出域再重新加入,如果这种情况多的话,每次这样操作都比较麻烦,那么我们如何从根本上解决这一问题呢?

 

首先要知道这个问题形成的原因,先来看看微软的官方解释:

 

默认情况下,在一个域环境中,为了保证账号的安全,在默认域策略中设置了“最长密码有效期”。域客户端即使在脱机的情况下,依然会受这条Group Policy的限制。当密码到期前的14天开始,该笔记本会提示用户更改密码,但由于无法连接到域控制器,所以密码无法修改成功。一旦超过了这个期限,该域账号将被锁定,用户将无法再次登陆系统。

 

每个基于windows系统的电脑都有一个电脑账户密码历史记录(machine account password history), 为了让这台windows系统的电脑登陆域,这台电脑必须要与域控建立一个安全通道以用来身份验证。客户端电脑上的Netlogon服务会使用这台客户端的电脑账户(machine account)和一个相关密码去建立安全通道。 如果这个计算机帐户密码和LSA不同步,那么这台电脑将无法连接到域,会有错误提示:此工作站和主域间的信任关系失败。也就是说此时安全通道已经坏掉了。(默认计算机帐户密码30天会变更一次)

 

解决方法:

 

一、在DC上运行gpmc.msc,在需要设置的GPO上右键编辑,依次展开

计算机配置→策略 →Windows设置→安全设置→本地策略→安全选项,找到:

域成员: 计算机帐户密码最长使用期限 (默认30天,设置长一点)

1.png

域成员: 禁用计算机帐户密码更改 (设为已启用)

域控制器: 拒绝计算机帐户密码更改(设为已启用)

二、在计算机配置→策略 →Windows设置→安全设置→帐户策略→密码策略,找到密码最长使用期限,默认为42天,建议这里修改为与计算机帐户密码最长使用期限一致。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 如何解决用户出差,脱域的问题、计算机帐户密码最长使用期限 (默认30天,可以k设置长一点)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!