計算機脫域

1. 計算機長時間沒登錄域會自動脫離域，那麼是否是超過30天未登陸過域的計算機就必定會脫離域？
2. 個人環境中發現有幾臺計算機因爲休假或者出差長時間（兩三個月）未登陸域，這部分計算機在30天之前已經被我經用了，今天我啓用這幾臺計算機以後，發現他們仍能後登錄域。計算機與域控間的網絡正常。這個怎麼解釋？（域功能級別windows server 2008 r2）

 

回答：從您的描述中，我對這個問題的理解是您想知道計算機是否是超過30天未登陸就必定會脫域。

默認狀況下，加域計算機每三十天就會更改一次計算機密碼，這個密碼會分別被存在計算機本地和AD裏面。同時，計算機自己會保存兩份密碼在本地：當前的密碼和以前的密碼。當計算機嘗試和DC創建secure channel的時候，它會先使用最新的密碼，若是這個密碼無效，那麼它會嘗試使用以前的那個密碼，若是這個密碼也不可以和AD域裏面保存的密碼匹配，那麼計算機和DC之間的secure channel就會被破壞，咱們將不能經過域帳號登陸到這臺電腦上。由於咱們不清楚計算機密碼是何時更改的，因此通常狀況下，計算機不能登陸到域的時間範圍是31到60天。您看到的文章來自活動目錄seo http://adirectory.blog.com/category/active-directory/

這裏也要分兩種狀況：

• 加域的計算機shutdown的話，在它Start up以前，它是不會更改計算機密碼的。
• 若是加域的計算機一直在運行，只是沒有連到公司網絡，那麼它仍然會每隔三十天更改一次密碼。

計算機脫域的時間不是隨機的，它是由計算機可以聯繫到DC的時候最後一次改密碼的時間決定的。舉個例子：好比還有十天計算機就須要更改密碼了，從這個時候開始，它將再也不處於域環境中，那麼，他不可以登陸到域的時間是四十天以後。

具體一點說：好比它在域的最後一次密碼是：password1（剩餘有效期：10天），十天以後他須要改密碼了，改成password2（有效期30天）。這時候在計算機保存的密碼是：password1和password2，在DC端保存的密碼是password1。在第三十五天的時候，若是計算機連到公司網絡，它會首先嚐試用password2去和DC創建安全通道，因爲DC沒有這個新的密碼，計算機再次嘗試並用password1，因爲DC保存有這個密碼，密碼匹配，那麼安全通道成功創建，計算機就能夠登陸到域。

然而，若是是在第四十五天的時候，這時候計算機已經第二次改密碼了，假設爲：password3。那麼在計算機保存的密碼是：password2和password3，在DC端保存的密碼仍然是password1。當計算機連到公司網絡，他會嘗試用password3和password2去和DC創建安全通道，因爲DC上面保存的密碼是password1，他們不可以匹配，安全通道創建不起來，計算機就不可以登陸到域環境。

不過因爲咱們沒法得知計算是具體是何時更改的密碼，因此在某種程度上面來說，您能夠認爲計算機不可以登陸到域的時間在31~60天的時間段內是隨機的。

From:http://adirectory.blog.com/2015/02/computer-disconnects-from-domain/

 

 [DateTime]::FromFileTime((Get-ADComputer bailin1 -Properties pwdlastset).pwdlastset)