计算机脱域

1. 计算机长时间没登录域会自动脱离域，那么是否是超过30天未登陆过域的计算机就必定会脱离域？
2. 个人环境中发现有几台计算机因为休假或者出差长时间（两三个月）未登陆域，这部分计算机在30天之前已经被我经用了，今天我启用这几台计算机以后，发现他们仍能后登录域。计算机与域控间的网络正常。这个怎么解释？（域功能级别windows server 2008 r2）

 

回答：从您的描述中，我对这个问题的理解是您想知道计算机是否是超过30天未登陆就必定会脱域。

默认状况下，加域计算机每三十天就会更改一次计算机密码，这个密码会分别被存在计算机本地和AD里面。同时，计算机自己会保存两份密码在本地：当前的密码和以前的密码。当计算机尝试和DC创建secure channel的时候，它会先使用最新的密码，若是这个密码无效，那么它会尝试使用以前的那个密码，若是这个密码也不可以和AD域里面保存的密码匹配，那么计算机和DC之间的secure channel就会被破坏，咱们将不能经过域帐号登陆到这台电脑上。由于咱们不清楚计算机密码是何时更改的，因此通常状况下，计算机不能登陆到域的时间范围是31到60天。您看到的文章来自活动目录seo http://adirectory.blog.com/category/active-directory/

这里也要分两种状况：

• 加域的计算机shutdown的话，在它Start up以前，它是不会更改计算机密码的。
• 若是加域的计算机一直在运行，只是没有连到公司网络，那么它仍然会每隔三十天更改一次密码。

计算机脱域的时间不是随机的，它是由计算机可以联系到DC的时候最后一次改密码的时间决定的。举个例子：好比还有十天计算机就须要更改密码了，从这个时候开始，它将再也不处于域环境中，那么，他不可以登陆到域的时间是四十天以后。

具体一点说：好比它在域的最后一次密码是：password1（剩余有效期：10天），十天以后他须要改密码了，改成password2（有效期30天）。这时候在计算机保存的密码是：password1和password2，在DC端保存的密码是password1。在第三十五天的时候，若是计算机连到公司网络，它会首先尝试用password2去和DC创建安全通道，因为DC没有这个新的密码，计算机再次尝试并用password1，因为DC保存有这个密码，密码匹配，那么安全通道成功创建，计算机就能够登陆到域。

然而，若是是在第四十五天的时候，这时候计算机已经第二次改密码了，假设为：password3。那么在计算机保存的密码是：password2和password3，在DC端保存的密码仍然是password1。当计算机连到公司网络，他会尝试用password3和password2去和DC创建安全通道，因为DC上面保存的密码是password1，他们不可以匹配，安全通道创建不起来，计算机就不可以登陆到域环境。

不过因为咱们没法得知计算是具体是何时更改的密码，因此在某种程度上面来说，您能够认为计算机不可以登陆到域的时间在31~60天的时间段内是随机的。

From:http://adirectory.blog.com/2015/02/computer-disconnects-from-domain/

 

 [DateTime]::FromFileTime((Get-ADComputer bailin1 -Properties pwdlastset).pwdlastset)