Расхождение времени в домене
В домене на нескольких компьютерах в силу определенных причин расходится время более, чем заложено по умолчанию - 5 минут. Соответственно пользователь не может авторизироваться.
Администратору некогда, либо не хочется, да и вовсе не самый красивый вариант - уделить время каждому компьютеру по отдельности для такой тривиальной и рутиной задачи, как корректировка времени.
Можно временно увеличить окно расхождения во времени, тогда пользователь сможет авторизироваться. Во время его работы произойдет корректировка времени с домен контроллером, а администратору необходимо будет только поменять соответствующий параметр назад. В принципе, параметр является не постоянным и при следующей перезагрузке DC вернется в прежнее значение, но, с точки зрения безопасности, его необходимо восстановить как можно скорее, т.к. если время будет разным на большое значение - это может привести к том, что сетевой пакет будет перехвачен злоумышленником, а затем снова отправлен с целью получения несанкционированного доступа от имени легитимного пользователя. Зачем нам лишний раз волноваться.
Наши действия:
- Открыть оснастку Active Directory — Users and Computers.
- Нажать правой кнопкой на домене и выбрать в контекстном меню команду Properties.
- На вкладке Group Policy кликнуть Open.
- Выбрать объект групповой политики и кликнуть на кнопке Edit.
- Найти параметр Computer Configuration -> Windows Settings -> Security Settings ->Account Policies -> Kerberos Policy -> Maximum tolerance for computer clock synchronization и изменить на дельту расхождения.
- Выполнить gpupdate /force.
- Попросить нужных пользователей перезагрузить компьютер.
- Удостовериться в успехе и вернуть параметр в прежнее значение.