Active Directoryユーザーが日時同期を無効にできるようにする
最近、会社をActive Directoryに移行しました。これには、時刻同期を強制的に有効にするデフォルト設定があります。
問題は、一部のユーザーはテスト目的で日時設定を変更する必要があるが、自動同期により実際の時刻値が復元されることです。時間同期を無効にするオプションはグレー表示されます。問題のユーザーは信頼されており、コンピューターのローカル管理者グループのメンバーです。
ユーザーが自由にこの設定を有効または無効にできる方法を見つけようとしましたが、グローバルな有効化/無効化しか見つかりませんでした。
この設定(時間同期の有効化/無効化)をユーザーの裁量に任せることができるかどうか知りたいのですが。
みんなありがとう
[〜#〜] edit [〜#〜]より正確に:ユーザーは、システム時刻を変更する権限を持っています( GPOで定義されたリグ)。ユーザーは時間を変更できますが、数分後に自動的に変更されます。無効にしたいのはこの動作です。 Windowsタイムサービス(w32time)を無効にしても効果はありません。
@MDMarraで指摘されているように、VMを使用することは、時間の同期をブロックするcanが認証やTLS証明書の有効性などに重大な問題を引き起こすため、最適な方法です。ただし、 、実際のテストでは、おそらくwill「現実の世界」の場合と同様に、ドメインに参加しているマシンでこれをテストする必要があります。どちらの方法でも、慣れておくと役立ちますWindowsドメインの時間設定の構成。
組み込みの W32TM コマンドは、課題への答えになるはずです。次の2つのコマンド文字列は、テストマシンが自動的に時間をリセットするのを防ぎます。
w32tm /config /syncfromflags:no /update
net stop w32time && net start w32time
テストが完了した後で適切な操作を復元するには、次の2つのコマンド文字列を実行します。
w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time
これにより、コンピューターにActive Directoryドメインコントローラーからの時刻を同期し、タイムサービスを再起動するように指示します。
その他の参照:
追加情報で編集:これらのコマンドは、質問がすでに述べていることを前提としています-コマンドを実行する人がローカル管理者権限を持っていることを前提としています。
また、時間の設定について、別のfantastic SF Q&A からもヒントを借ります。これは、現在コミュニティーWikiとなっている回答の直接の引用です。
9.これまでにWindowsタイムサービスで遊んだり、このネットワークを他の人から継承したりしている場合は、再構成を開始する前にw32timeをデフォルト設定にリセットすることをお勧めします。 PDCeから始めて、ドメインコントローラーで次のコマンドを実行します。
net stop w32time w32tm /unregister <-- If you get an Access Denied message, reboot. w32tm /register net start w32timeこれらのコマンドを実行した後、サーバーを1〜2回再起動し、Windowsタイムサービスが存在し、自動に設定され、開始されていることを確認することをお勧めします。/unregisterコマンドが次の再起動まで有効にならない状況を見てきました。次に、Windowsパッチを実行した後に再起動すると、驚きがあります。w32timeサービスが突然失われます。
あなたは本当にこれをしたくありません。 時刻の同期はKerberosが正しく機能するために重要です。 認証の失敗が必要でない限り、システムクロックをそのままにしておきます。
おそらく、ドメインに参加していないVMクライアントのHyper-V内で実行するのがより良い解決策です。