¿Durante cuánto tiempo se puede cerrar un cliente en AD?

Estamos creando un ambiente de entrenamiento para ser usado después de las vacaciones de verano. La gerencia quiere que establezcamos clientes ahora antes de las vacaciones. Como los clientes deben ser enviados lejos, estarán fuera de línea hasta que comience la capacitación. Eso significa que los clientes no estarán en contacto con el AD durante aproximadamente 15 semanas. Además, dado que no habrá nadie aquí, los servidores se apagarán durante unas seis u ocho semanas. La vida útil de la lápida se establece en 180 días.

¿Puede este período de 15 semanas generar algún problema para los clientes? ¿Deberíamos tratar de persuadir a la gerencia para posponer la instalación del cliente hasta después de las vacaciones?

Estará bien.

Aquí hay un pequeño comentario de Sean Ivey de Microsoft; un chico bastante inteligente:

Ok, siempre que estemos hablando de miembros de dominio, y no de controladores de dominio, a todos los efectos prácticos, podrían desactivarse indefinidamente sin ningún problema. Cuando finalmente los vuelva a encender, se ejecutará el eliminador de netlogon, se pondrá en contacto con un controlador de dominio y restablecerá la contraseña de la cuenta de la computadora.

Lo importante a recordar es que el restablecimiento de la contraseña de la cuenta de la computadora es conducido por el CLIENTE, no por el controlador de dominio. Por lo tanto, mientras el cliente no intente cambiar su contraseña, la contraseña no se cambiará.

Eche un vistazo a este enlace cuando tenga la oportunidad. He sacado las partes relevantes:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Las contraseñas de cuentas de máquinas como tales no caducan en Active Directory. Están exentas de la política de contraseñas del dominio. Es importante recordar que los cambios en la contraseña de la cuenta de la máquina son conducidos por el CLIENTE (computadora) y no por el AD. Siempre que nadie haya deshabilitado o eliminado la cuenta de la computadora, ni intentado agregar una computadora con el mismo nombre al dominio, alguna otra acción destructiva), la computadora continuará funcionando sin importar cuánto tiempo haya pasado desde que se inició y cambió la contraseña de su cuenta de máquina.

Entonces, si una computadora se apaga durante tres meses, nada caduca. Cuando la computadora se inicia, notará que su contraseña tiene más de 30 días e iniciará acciones para cambiarla. El servicio Netlogon en la computadora cliente es responsable de hacer esto. Esto solo es aplicable si la máquina está apagada durante tanto tiempo.

Antes de establecer la nueva contraseña localmente, nos aseguramos de tener un canal seguro válido para DC. Si el cliente nunca pudo conectarse al DC (donde nunca hay nada antes del momento del intento - hora de actualizar el canal seguro), entonces no cambiaremos la contraseña localmente.

Los parámetros relevantes de Netlogon que entran en juego y podemos pensar en cambiar aquí son:

ScavengeInterval (valor predeterminado 15 minutos), MaximumPasswordAge (valor predeterminado 30 días) DisablePasswordChange (valor predeterminado desactivado). "

¡Espero que esto ayude!