禁用Active Directory中的计算机仍然允许域帐户login?
如果我禁用AD中的计算机帐户,我不应该能够使用这台计算机login到域?
我testing了这一点,我有一台计算机join到域(Windows 10),我禁用了计算机帐户,我重新启动客户端计算机,然后我试图用域用户帐户login到计算机,它的工作。
我的想法是,我不应该被允许使用禁用的计算机login,即使我使用有效的用户凭据login,因为计算机帐户被禁用。
我可以理解,如果计算机不在networking上,它将无法联系AD获取更新的信息,因此我仍然可以作为域用户login,因为caching凭证等。
- 在主要的DC崩溃之后,增加新的DC到networking的问题
- 域控制器无法联系
- 我如何用其中一个子域replace森林根域?
- Symantec Endpoint Protection是否创build名为“symantec”的AD用户?
- 指定域的名称或安全ID(SID)与该域的信任信息不一致
我试图重新启动计算机,重置计算机帐户,禁用/启用它等。不知何故,我仍然能够使用这台电脑login到域!
我想要的是如果计算机帐户被禁用,没有人可以使用该计算机login到域。
这个想法是,我想清理我们的Active Directory计算机,禁用那些LastLogindate超过90天的人.. 有些保证,如果我这样做,那些被禁用的计算机被插回到networking,他们甚至无法login如果您尝试使用有效的域用户凭据login,因为实际的计算机帐户被禁用 。
当您在Active Directory中禁用计算机时,基本上禁用了计算机帐户。 我怀疑计算机正在将身份validation请求传递到除您禁用的身份validation服务器之外的域控制器,并且该信息尚未复制。
在Active Directory本身中也可能存在某种更大的复制问题,但根据您的文章中的信息很难说。
编辑:瑞安的build议,禁用caching的凭据。 这是组策略中的一个选项:
计算机configuration – > Windows设置 – >安全设置 – >本地策略 – >安全选项 – > 交互式login:要caching的以前login的数量。
(您可能必须重新启动或gpupdate /force才能生效。)