Vraag Sta Active Directory-gebruikers toe om datetime-synchronisatie uit te schakelen


Ik heb onlangs mijn bedrijf gemigreerd naar Active Directory. Hiermee komt een standaardinstelling die dwingt dat tijdsynchronisatie wordt ingeschakeld.

Het probleem is dat sommige gebruikers hun datum-tijdinstellingen moeten wijzigen voor testdoeleinden, maar automatische synchronisatie herstelt de werkelijke tijdwaarde. De optie om tijdsynchronisatie uit te schakelen is grijs. De betreffende gebruiker is vertrouwd en lid van de lokale beheerdersgroep op zijn computer.

Ik heb geprobeerd een manier te vinden om gebruikers in staat te stellen deze instelling naar believen in te schakelen en uit te schakelen, maar ik vond alleen een globale in- / uitschakelen.

Ik zou graag willen weten of het mogelijk is om deze instelling (het inschakelen / uitschakelen van tijdsynchronisatie) aan de discretie van de gebruikers over te laten.

Bedankt iedereen

BEWERK voor meer informatie: de gebruiker heeft de rechten om de systeemtijd te wijzigen (in een groepsbeleidsobject gedefinieerde rechten). De gebruiker is in staat om de tijd te veranderen, alleen zal het automatisch enkele minuten later worden teruggezet. Het is dit gedrag dat ik wil uitschakelen. Het uitschakelen van de Windows Time-service (w32time) helpt niet.


6
2017-07-06 10:17


oorsprong


Ik heb de acties beschreven in deze artikelen zonder succes ondernomen. De gebruiker is in staat om de tijd te veranderen, maar het zal door Windows worden veranderd en het uitschakelen van de Windows Time-service verandert niets. - Nathan.Eilisha Shiraini


antwoorden:


Zoals opgemerkt door @MDMarra, is het gebruik van een VM een geweldige manier om te gaan, omdat blokkering van tijdsynchronisatie kan aanzienlijke problemen veroorzaken voor verificatie, geldigheid van het TLS-certificaat, enz. Maar voor echte tests is dit waarschijnlijk het geval zullen wil dit testen op een machine die is verbonden met het domein zoals het zou zijn in een geval van 'echte wereld'. Hoe dan ook, het is altijd handig om bekend te zijn met de configuratie van tijdsinstellingen in een Windows-domein.

De ingebouwde w32tm opdracht zou het antwoord moeten zijn op je uitdaging. De volgende twee opdrachtreeksen voorkomen dat uw testmachines hun tijd automatisch opnieuw instellen:

w32tm /config /syncfromflags:no /update
net stop w32time && net start w32time

Voer de volgende twee opdrachtreeksen uit om de juiste werking te herstellen nadat het testen is voltooid:

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

Hierdoor weet de computer dat de tijd moet worden gesynchroniseerd met de Active Directory-domeincontrollers en wordt de tijdservice opnieuw gestart.

Aanvullende referenties:

Bewerken met extra info: Deze opdrachten gaan uit van wat de vraag al heeft gesteld - dat de persoon die de opdrachten uitvoert lokale beheerdersbevoegdheden heeft.

Ik zal ook een fooi van een andere lenen fantastisch SF Q & A over het configureren van de tijd. Dit is een directe quote van het antwoord dat nu een communitywiki is:

9.Als je al eerder hebt gespeeld met de Windows Time Service, of je dit netwerk hebt overgenomen van iemand anders, is het waarschijnlijk een   goed idee om w32time naar de standaardinstellingen te resetten voordat je begint   opnieuw configureren. Voer de volgende opdrachten uit op uw domein   controllers, beginnend met de PDCe.

net stop w32time
w32tm /unregister  <-- If you get an Access Denied message, reboot.
w32tm /register
net start w32time

Ik raad aan dat je de server 1-2 keer herstart na het uitvoeren van deze   commando's en zorg ervoor dat de Windows Time Service aanwezig is, stel in op   Automatisch en gestart. Ik heb situaties gezien waarbij de registratie ongedaan werd gemaakt   opdracht is niet van kracht totdat het volgende opnieuw wordt opgestart. Dan heb je   een verrassing als je opnieuw opstart na het doen van Windows-patches en de W32time   dienst ontbreekt plotseling!


8
2017-07-06 12:49



Werkt als een bedel, bedankt. Het opnieuw starten w32timenadat het opnieuw inschakelen van synchronisatie niet nodig lijkt (datumherinstelling zelf zodra het commando is voltooid). Ik heb de gebruiker nog steeds gezegd de service opnieuw te starten, hoewel, beter veilig dan sorry. - Nathan.Eilisha Shiraini


Je wilt dit echt niet doen. Tijdsynchronisatie is essentieel voor het goed functioneren van Kerberos. Tenzij u authenticatiefouten wilt, laat u de systeemklokken waar ze zijn.

Misschien is een niet-domein gekoppelde VM die in client Hyper-V draait een betere oplossing.


7
2017-07-06 12:24



ik werkelijk wil dit doen, omdat ik liever een tijdelijk risico heb op fouten met de authentificatie dan een jaar te wachten om te zien of wat mijn gebruiker aan het doen is zich zoals verwacht gedraagt. Ik zal de VM-positie voorstellen. - Nathan.Eilisha Shiraini