Windows Server
- 23.10.2014
- 26 852
- 2
- 23.03.2019
- 17
- 17
- 0
- Содержание статьи
- Редактируем групповые политики локально
- Редактируем групповые политики в домене
- Комментарии к статье ( 2 шт )
- Добавить комментарий
По умолчанию, настройки текущего времени на компьютере могут менять лишь пользователи, которые входят в группу администраторов. Если же такая ситуация не устраивает, то исправляется она групповыми политиками на компьютере.
Редактируем групповые политики локально
Данный способ будет работать только в операционных системах Windows редакций Профессиональная, Корпоративная и Максимальная!
Если нужно поменять настройки на единичном компьютере, то можно все это сделать в его собственных групповых политиках. Делается это следующим образом:
- Нажав клавиши Win+R, набираете
gpedit.msc
. Нажимаете Enter. - В открывшемся окне, в древе слева выбираем «Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Предоставление прав пользователям«.
- В списке ищем «Изменение системного времени«, нажимаем правой кнопкой и открываем Свойства. Там ставим галочку на «Определить следующие параметры политики» и выбираем нужных пользователей по их именам или по группам.
Редактируем групповые политики в домене
Открываем «Управление групповой политикой» (Панель управления — Администрирование — Управление групповой политикой). Если нужно, то создаем новый объект групповой политики, в противном случае редактируем уже существующий.
Выбираем «Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Предоставление прав пользователям«. Там в списке ищем «Изменение системного времени«, нажимаем правой кнопкой и открываем Свойства. Там ставим галочку на «Определить следующие параметры политики» и выбираем нужных пользователей.
Содержание
- Разрешить пользователям Windows менять системное время
- Редактируем групповые политики локально
- Редактируем групповые политики в домене
- Как разрешить стандартным пользователям Windows 10 изменять время и дату
- Изменение системного времени — параметр политики безопасности Change the system time — security policy setting
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Location Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Групповая политика Group Policy
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
Разрешить пользователям Windows менять системное время
По умолчанию, настройки текущего времени на компьютере могут менять лишь пользователи, которые входят в группу администраторов. Если же такая ситуация не устраивает, то исправляется она групповыми политиками на компьютере.
Редактируем групповые политики локально
Если нужно поменять настройки на единичном компьютере, то можно все это сделать в его собственных групповых политиках. Делается это следующим образом:
- Нажав клавиши Win+R , набираете gpedit.msc . Нажимаете Enter .
- В открывшемся окне, в древе слева выбираем «Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Предоставление прав пользователям«.
- В списке ищем «Изменение системного времени«, нажимаем правой кнопкой и открываем Свойства. Там ставим галочку на «Определить следующие параметры политики» и выбираем нужных пользователей по их именам или по группам.
Редактируем групповые политики в домене
Открываем «Управление групповой политикой» (Панель управления — Администрирование — Управление групповой политикой). Если нужно, то создаем новый объект групповой политики, в противном случае редактируем уже существующий.
Выбираем «Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Предоставление прав пользователям«. Там в списке ищем «Изменение системного времени«, нажимаем правой кнопкой и открываем Свойства. Там ставим галочку на «Определить следующие параметры политики» и выбираем нужных пользователей.
Как разрешить стандартным пользователям Windows 10 изменять время и дату
По умолчанию только пользователи с правами администратора в Windows 10 могут изменять настройки времени и даты. Однако, если вы используете Windows 10 Professional или Enterprise Edition, вы можете использовать групповую политику, чтобы позволить стандартным пользователям изменять время и дату. Вот как это сделать.
Однако, если вы используете Windows Pro или Enterprise, вам хорошо идти. Будьте предупреждены, что групповая политика — довольно мощный инструмент, поэтому, если вы никогда раньше не использовали его, стоит потратить некоторое время, чтобы узнать, что он может сделать. Кроме того, если вы находитесь в сети компаний, сделайте все одолжение и сначала обратитесь к своему администратору. Если ваш рабочий компьютер является частью домена, также вероятно, что это часть политики группы домена, которая в любом случае заменит политику локальной группы.
Сначала войдите в систему с учетной записью администратора и откройте редактор групповой политики, нажав «Пуск», набрав «gpedit.msc», а затем нажмите «Ввод». В окне групповой политики в левой панели разверните узел «Конфигурация компьютера»> «Настройки Windows»> «Параметры безопасности»> «Локальные политики»> «Назначения прав пользователя». Справа найдите элемент «Изменить системное время» и дважды щелкните его.
На вкладке «Локальная безопасность» в появившемся окне свойств обратите внимание, что по умолчанию в настоящее время в списке разрешены только группы «Администраторы» и «ЛОКАЛЬНАЯ СЕРВИС». Нажмите «Добавить пользователя или группу».
По умолчанию Windows не включает имена групп при выполнении поиска, поэтому сначала вам нужно включить это. Нажмите кнопку «Типы объектов».
В окне «Типы объектов» установите флажок «Группы», чтобы включить его, и нажмите «ОК».
В поле «Ввести имена объектов для выбора» введите «Пользователи», а затем нажмите кнопку «Проверить имена». Windows будет проверять имена, которые можно использовать, и затем заполнить поле с полным именем группы ( Users). Когда это будет сделано, нажмите «ОК».
В окне свойств для установки времени системы вы можете увидеть, что теперь группа пользователей добавлена в список разрешений. Нажмите «ОК», чтобы применить настройки и вернуться в редактор групповой политики.
И это все, что нужно. Теперь вы можете выйти из редактора групповой политики. Чтобы проверить новые настройки, просто войдите со стандартной учетной записью пользователя и попробуйте изменить время или дату. И если вы передумаете и хотите, чтобы стандартные пользователи не меняли время и дату, просто используйте редактор групповой политики, чтобы вернуться к этому параметру и удалить группу «Пользователи» из списка разрешений.
Изменение системного времени — параметр политики безопасности Change the system time — security policy setting
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности, которые следует учитывать при изменении параметра политики безопасности системного времени. Describes the best practices, location, values, policy management, and security considerations for the Change the system time security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие пользователи могут настраивать время на внутренних часах устройства. This policy setting determines which users can adjust the time on the device’s internal clock. Это право позволяет пользователю компьютера изменять дату и время, связанные с записями в журналах событий, транзакциях базы данных и файловой системе. This right allows the computer user to change the date and time associated with records in the event logs, database transactions, and the file system. Это право также требуется процессу, который выполняет синхронизацию времени. This right is also required by the process that performs time synchronization. Этот параметр не влияет на способность пользователя изменять часовой пояс или другие характеристики системного времени. This setting does not impact the user’s ability to change the time zone or other display characteristics of the system time. Сведения о назначении права на изменение часовой пояс см. в подмене часовой пояс. For info about assigning the right to change the time zone, see Change the time zone.
Константа: SeSystemtimePrivilege Constant: SeSystemtimePrivilege
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Не определено Not Defined
Рекомендации Best practices
- Ограничив право пользователя на изменение системного времени пользователями, у них есть законная необходимость изменить системное время. Restrict the Change the system time user right to users with a legitimate need to change the system time.
Location Location
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
Значения по умолчанию Default values
По умолчанию члены групп администраторов и локальных служб имеют это право на рабочих станциях и серверах. By default, members of the Administrators and Local Service groups have this right on workstations and servers. Члены групп «Администраторы», «Операторы сервера» и «Локальные службы» имеют это право на контроллерах домена. Members of the Administrators, Server Operators, and Local Service groups have this right on domain controllers.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
---|---|
Default Domain Policy Default Domain Policy | Не определено Not Defined |
Политика контроллера домена по умолчанию Default Domain Controller Policy | Администраторы Administrators Операторы сервера Server Operators Локализованная служба Local Service |
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Администраторы Administrators Локализованная служба Local Service |
Эффективные параметры по умолчанию для DC DC Effective Default Settings | Администраторы Administrators Операторы сервера Server Operators Локализованная служба Local Service |
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Администраторы Administrators Локализованная служба Local Service |
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Администраторы Administrators Локализованная служба Local Service |
Управление политикой Policy management
В этом разделе описываются функции, средства и рекомендации, которые помогут вам управлять этой политикой. This section describes features, tools and guidance to help you manage this policy.
Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Групповая политика Group Policy
Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Пользователи, которые могут изменить время на компьютере, могут вызвать несколько проблем. Users who can change the time on a computer could cause several problems. Например: For example:
- Отметки времени в записях журнала событий могут быть неточны Time stamps on event log entries could be made inaccurate
- Отметки времени для созданных или измененных файлов и папок могут быть неправильными Time stamps on files and folders that are created or modified could be incorrect
- Компьютеры, принадлежащие домену, могут не иметь возможности самостоятельной проверки подлинности Computers that belong to a domain might not be able to authenticate themselves
- Пользователи, которые пытаются войти в домен с устройств с неточным временем, могут не иметь возможности проверки подлинности. Users who try to log on to the domain from devices with inaccurate time might not be able to authenticate.
Кроме того, так как протокол проверки подлинности Kerberos требует, чтобы часы запрашивающего и аутентификация синхронизировались в течение определенного администратором периода отступа, злоумышленник, который изменяет время устройства, может привести к тому, что компьютер не сможет получить или предоставить билеты протокола Kerberos. Also, because the Kerberos authentication protocol requires that the requester and authenticator have their clocks synchronized within an administrator-defined skew period, an attacker who changes a device’s time may cause that computer to be unable to obtain or grant Kerberos protocol tickets.
Риск таких событий снижается на большинстве контроллеров домена, серверов-членов и компьютеров конечных пользователей, так как служба времени Windows автоматически синхронизирует время с контроллерами домена следующими способами: The risk from these types of events is mitigated on most domain controllers, member servers, and end-user computers because the Windows Time Service automatically synchronizes time with domain controllers in the following ways:
- Все настольные клиентские устройства и серверы-члены используют контроллер домена для проверки подлинности в качестве партнера по входящий времени. All desktop client devices and member servers use the authenticating domain controller as their inbound time partner.
- Все контроллеры домена в домене назначают основного мастера операций эмулятора контроллера домена (PDC) в качестве партнера по работе с входящие данными времени. All domain controllers in a domain nominate the primary domain controller (PDC) emulator operations master as their inbound time partner.
- Все хозяини операций эмулятора PDC следуют иерархии доменов в выборе партнера по входящие времени. All PDC emulator operations masters follow the hierarchy of domains in the selection of their inbound time partner.
- Хозяин операций эмулятора PDC в корне домена является полномочного для организации. The PDC emulator operations master at the root of the domain is authoritative for the organization. Поэтому рекомендуется настроить этот компьютер для синхронизации с надежным внешним сервером времени. Therefore, we recommend that you configure this computer to synchronize with a reliable external time server.
Эта уязвимость становится гораздо более серьезной, если злоумышленник может изменить системное время, а затем остановить службу времени Windows или перенастроить ее для синхронизации с сервером времени, который не является точным. This vulnerability becomes much more serious if an attacker is able to change the system time and then stop the Windows Time Service or reconfigure it to synchronize with a time server that is not accurate.
Противодействие Countermeasure
Ограничив право пользователя на изменение системного времени пользователями, которые действительно должны изменить системное время, например членамИ ИТ-группы. Restrict the Change the system time user right to users with a legitimate need to change the system time, such as members of the IT team.
Возможное влияние Potential impact
Это не должно влиять на работу, так как синхронизация времени для большинства организаций должна быть полностью автоматизирована для всех компьютеров, принадлежащих домену. There should be no impact because time synchronization for most organizations should be fully automated for all computers that belong to the domain. Компьютеры, не принадлежащие домену, должны быть настроены для синхронизации с внешним источником, например веб-службой. Computers that do not belong to the domain should be configured to synchronize with an external source, such as a web service.
Автор: Амиль | Дата публикации: 18.01.2019 | В разделе: Windows инструкции
Датирование – базовый элемент любой ОС, выполняющий множество функций, нежели просто отображение календаря. Среди них: автоматическое создание точки восстановления, дефрагментация жесткого диска и осуществление служб, отслеживание простоя с последующим вводом в спящий режим или гибернацию, проверка подлинности сертификатов безопасности. Не актуальная дата в системных настройках приводит к возникающим сбоям в работе приложений. Расскажем о том, как изменить дату в Windows 10. Это можно осуществить несколькими способами.
Настройка даты с помощью параметров операционной системы
Процедура изменения даты начинается с открытия окна «Параметры Windows». Данная опция включается через меню «Пуск». Также с этой целью можно использовать сочетание клавиш «Win+I». Щелкните по иконке «Время и язык».
На вкладке «Дата и время» кликнете кнопку «Изменить».
Когда в операционной системе предусмотрен автоматический режим для настройки даты, у пользователя не получится напрямую повлиять на эти функции. Для ручной корректировки даты, переключатели, которые отвечают за автоматическую установку часового пояса, даты и времени в автоматическом режиме, следует установить в позицию «Откл».
В новом окне установите правильную дату и нажмите «Изменить».
При помощи панели управления
Настройка даты компьютера, через «Панель управления» проводится следующим образом:
- Щелкните по клавише «Win» и по клавише «R» одновременно. Появится окно, в котором нужно ввести команду «control«. В результате откроется «Панель управления«.
- Кликните по ссылке «Время, часы и регион«.
- Нажмите «Установка дата и времени«. Появится новое окно, в нем вы увидите текущие настройки даты.
- Далее следует нажать «Изменить дату и время«. Вы увидите окно, в нем нужно произвести корректировку этих параметров, затем надо кликнуть «Ок«.
При помощи командной строки от имени администратора
Чтобы в Windows 10 изменить дату, используя консоль командной строки, ее нужно запустить с полным доступом. Для этого следует кликнуть по меню «Пуск» и набрать на клавиатуре «cmd«. Обнаружив ярлык программы запуска командной строки в результатах поиска, выберете его правой кнопкой мышки и активируйте консоль строку от лица администратора.
Команды для управления датированием следующие:
- date /t – проверить текущее значение даты в настройках.
- date ДД /ММ /ГГГГ – установить новое значение. Здесь после слова «date» последовательно вводятся день, месяц и год. После нажатия клавиши Enter произойдет автоматическое изменение даты в ОС.
Быстрый переход к настройкам даты
Если требуется перевести число в системе, а переходить по вкладкам и окнам не хочется, можно прибегнуть к «ленивому» способу. Его очень легко запомнить:
- Нажать на часы, расположенные в панели задач правой клавишей мыши;
- Выбрать пункт «Настройка даты и времени»;
- Откроется соответствующее окно из Панели управления;
- После выбора нужного числа, месяца и года сделать подтверждение – «ОК»: параметры вступят в силу.
Способов поставить правильную дату в операционной системе много. Каждый по-своему интересен, поэтому сложно назвать какой из них лучше. Помните, что некорректные параметры, могут негативно сказаться на работе онлайн сервисов и программного обеспечения.
Другие инструкции:
- Remove From My Forums
-
Вопрос
-
Добрый день!
Есть несколько новых машин с ОС Windows 10 Pro, в AD, активированы
Проблема в следующем:
Дата на одной из машин постоянно сбрасывается на 10 марта 2016 г., время на 19.55
Меняю руками дату и время на текущее, через некоторое время, время и дата опять меняются…
В домене проблем со временем нет, все остальные рабочие станции (Windows 7, XP, видеонаблюдение) синхронизируются без проблем.
Компьютеры новые, проблему с батарейкой bios не рассматриваем.
-
Перемещено
6 апреля 2016 г. 5:21
Более подходящий раздел
-
Перемещено
Ответы
-
подобный вопрос уже всплывал…
правда для w10если опустить подробности, то решение
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeSecureTimeLimits]
«SecureTimeConfidence»=dword:00000008установить значение 0
-
Предложено в качестве ответа
Vector BCOModerator
5 апреля 2016 г. 8:48 -
Помечено в качестве ответа
Dmitriy VereshchakMicrosoft contingent staff, Moderator
6 апреля 2016 г. 5:20
-
Предложено в качестве ответа
Содержание
- Настройка синхронизации времени windows 10 в домене
- Синхронизация времени в Active Directory
- Конфигурация NTP-сервера на корневом PDC
- Включение синхронизации внутренних часов с внешним источником
- Задание списка внешних источников для синхронизации
- Задание интервала синхронизации с внешним источником
- Установка минимальной положительной и отрицательной коррекции
- Все необходимое одной строкой
- Полезные команды
- Настройка NTP сервера и клиента групповой политикой
- Особенности виртуализированных контроллеров домена
- Настройка синхронизации времени по NTP с помощью групповых политик
- Настройка политики синхронизации NTP на контролере домена PDC
- Настройка синхронизации времени на клиентах домена
- Настройка сервера времени на домен контроллере
- Настройка синхронизации времени в домене
- Немного теории
- Как проверить, работает ли синхронизация времени в домене?
- Команда w32tm /monitor
- Команда w32tm /query /Source или w32tm /query /peers
- Команда w32tm /query /Configuration /verbose
- Команда w32tm /query /status /verbose
- Команда w32tm /stripchart /computer:» » /samples:3 /dataonly
- Как исправить настройки синхронизации времени
- Настройка синхронизации времени на компьютерах и контроллерах домена (кроме КД с ролью PDC)
- Настройка синхронизации времени на контроллере домена с ролью PDC
- Перерегистрация службы времени на контроллере домена с ролью PDC
- Настройка синхронизации времени на контроллере домена с ролью PDC
- Как выполняется синхронизация времени в Windows 10
- Параметры
- Панель управления
- Командная строка
- Службы
- PowerShell
- Добавление новых серверов
- Настройка времени по Интернету
- Редактор реестра
- Решение проблем
- Отключение синхронизации
Настройка синхронизации времени windows 10 в домене
Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.
Синхронизация времени в Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:
EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)
FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)
NtpClient (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)
NtpServer (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
VMICTimeProvider (Локально)
DllName: C:WindowsSystem32vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
Включение синхронизации внутренних часов с внешним источником
Объявление NTP-сервера в качестве надежного
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
Задание списка внешних источников для синхронизации
Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.
Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.
Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update
Полезные команды
Настройка NTP сервера и клиента групповой политикой
Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.
Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.
Затем вы создаете политику на контейнере Domain Controllers.
В самом низу политики применяете ваш созданный WMI фильтр.
Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.
Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры
Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.
Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
Источник
Настройка синхронизации времени по NTP с помощью групповых политик
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Настройка политики синхронизации NTP на контролере домена PDC
Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5
Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.
Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers
Нас интересуют три политики:
В настройках политики Configure Windows NTP Client укажите следующие параметры:
Примените созданный ранее фильтр PDC Emulator к данной политике.
Осталось обновить политики на контроллере PDC:
gpupdate /force
Вручную запустите синхронизацию времени:
w32tm /resync
Проверьте текущие настройки NTP:
w32tm /query /status
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Источник
Настройка сервера времени на домен контроллере
Схема: интернет — Mikrotik — DC — Workstations
Открываю на srv-dc консоль командной строки с правами администратора:
Win + X — Command Prompt (Admin)
Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:
C:Windowssystem32>netdom query fsmo
The command completed successfully.
Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:
C:Windowssystem32>net stop w32time
Настраиваем внешний источник времени:
C:Windowssystem32>w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org»
Cделать ваш контроллер домена PDC доступным для клиентов:
C:Windowssystem32>w32tm /config /reliable:yes
Запускаю службу времени:
C:Windowssystem32>net start w32time
Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters
Чтобы после принудительно запросить получение точного времени проделываем:
C:Windowssystem32>W32tm /config /reliable:yes
The command completed successfully.
C:Windowssystem32>W32tm /config /update
The command completed successfully.
C:Windowssystem32>W32tm /resync
Sending resync command to local computer
The command completed successfully.
Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:
C:Windowssystem32>w32tm /query /configuration
После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:
Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers
Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.
Открываю оснастку на srv-dc управления групповыми политиками домена:
Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…
и
нажимаю OK, OK, Save
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: srv-dc.polygon.local,0x9
все остальное оставляю по умолчанию.
После нажимаю Apply & OK.
И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:
После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:
C:Usersalektest>w32tm /query /status
Индикатор помех: 0(предупреждений нет)
Задержка корня: 0.0876923s
Дисперсия корня: 7.8503892s
Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)
Время последней успешной синхронизации: 30.04.2017 16:46:38
Интервал опроса: 10 (1024s)
C:Usersalektest>w32tm /monitor
srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:
NTP: +0.0000000s смещение относительно srv-dc.polygon.local
RefID: ground.corbina.net [85.21.78.91]
На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.
Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:
Select * from Win32_ComputerSystem where DomainRole = 5
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: 0.pool.ntp.org,0x9
все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.
Также параметр Type вместо NT5DS можно использовать и NTP
И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.
А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.
На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.
На заметку: если роль PDC б ыла переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.
На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.
Источник
Настройка синхронизации времени в домене
Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.
Немного теории
Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:
Как проверить, работает ли синхронизация времени в домене?
До того, как что-либо «ломать» (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.
Команда
w32tm /monitor
Команда
w32tm /query /Source
или
w32tm /query /peers
Команда
w32tm /query /Configuration /verbose
Команда
w32tm /query /status /verbose
Команда
w32tm /stripchart /computer:» » /samples:3 /dataonly
Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды:
w32tm /stripchart /computer:»ntp.org» /samples:3 /dataonly
или
w32tm /stripchart /computer:»dc1.domain.local» /samples:3 /dataonly
Как исправить настройки синхронизации времени
Настройка синхронизации времени на компьютерах и контроллерах домена
(кроме КД с ролью PDC)
Настройка синхронизации времени на контроллере домена с ролью PDC
Перерегистрация службы времени на контроллере домена с ролью PDC
Для отмены регистрации и повторной регистрации службы времени выполните следующие команды:
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
Настройка синхронизации времени на контроллере домена с ролью PDC
Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):
w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org» /reliable:yes /update
Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:
net stop w32time
net start w32time
w32tm /resync /force или w32tm /resync /rediscover
После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:
w32tm /stripchart /computer:»0.ru.pool.ntp.org» /samples:3 /dataonly
Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:
Всё должно заработать!
P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает.
Источники информации для данной статьи:
Статья опубликована: 20.08.2017, обновлена 31.01.2020
Источник
Как выполняется синхронизация времени в Windows 10
Синхронизация времени Windows 10 позволяет автоматически сверять время с показателями на сервере. Происходит она раз в неделю посредством сетевого протокола времени (NTP). Если оно установлено неверно, лицензии на некоторые программы могут слететь, а часть сайтов перестанет загружаться.
NTP учитывает тайминг между отправкой запроса и получением ответа, отчего гарантирует высокую точность (до 10 миллисекунд). Рассмотрим, как включить и отключить синхронизацию времени, решать связанные с ним проблемы и выбирать серверы времени.
Параметры
Настройка синхронизации данным способом, относительно недавняя, и может использоваться только на Виндовс 10, так-как «Параметры системы» в том виде в котором они представлены есть только на десятке.
2. В первой вкладке активируйте опцию «Установить время автоматически».
3. Про скрольте вниз, до надписи: «Сопутствующие параметры», и перейдите по ссылке «Формат даты, времени и региона».
4. Чтобы указать сервер для синхронизации, опуститесь немного ниже и кликните по ссылке «Дополнительные параметры даты и…».
5. Перейдите в указанный на скриншоте раздел.
6. Активируйте последнюю вкладку и нажмите «Изменить параметры…».
7. Отметьте флажком пункт «Синхронизировать с сервером…» и выберите сервер из выпадающего списка.
8. Для немедленной синхронизации кликните «Обновить сейчас».
9. Закройте окошко кнопкой «OK» и примените новые настройки.
Панель управления
1. Откройте Панель управления.
2. Посетите ее раздел под названием «Часы, язык и регион».
3. Перейдите в подраздел «Дата и время».
4. Активируйте «Время по интернету» и переходите к 7-му шагу предыдущей инструкции.
Командная строка
Рассмотрим, как синхронизировать время на компьютере с интернетом при помощи командной строки.
2. Выполните команду « w32tm /resync » для немедленной синхронизации с выбранным сервером.
Если компьютер расположен в домене, команда будет следующей: « net time /domain ».
Службы
Синхронизация через интернет может не работать, если отключен сервис «Служба времени Windows». Для проверки и запуска службы выполните следующие шаги.
1. Откройте окно управления сервисами операционной системы. Для этого зажмите клавиши Win + R и выполните команду « services.msc » в открывшемся окне.
2. Откройте свойства записи «Служба времени Windows» через контекстное меню, двойным кликом или сочетанием клавиш Alt + Enter.
3. В выпадающем списке «Тип запуска» выберите «Вручную».
Можно указать и «Автоматически», но тогда сервис будет запускаться при каждой загрузке операционной системы, а при варианте «Вручную» — только когда Windows 10 обратится к нему.
4. Кликните «Запустить» и жмите «OK».
PowerShell
Запускается сервис и через PowerShell.
2. Выполните в открывшемся окне команду Get-Service W32Time | Select-Object * для получения статуса сервиса.
3. Ищите сроку «Status»: если её значение «Stopped», выполните « Start-Service W32Time » для запуска службы.
4. В ином случае выполните « Restart-Service W32Time » для перезапуска службы.
Никаких уведомлений по окончании выполнения операций в случае их успешного завершения не будет.
6. Для запуска синхронизации введите « w32tm /config /reliable:yes » и жмите «Enter».
Добавление новых серверов
В Windows 10 предусмотрена смена NTP-серверов и добавление сторонних, отсутствующих в списке. Делается это двумя способами.
Настройка времени по Интернету
1. Чтобы не повторяться, перейдите к первому разделу «Параметры» и выполните из него 6 первых шагов.
2. Убедитесь, что опция «Синхронизировать с сервером…» активирована.
3. Кликните по форме с выпадающим списком ниже.
5. Сохраните настройки кнопкой «OK».
Для немедленной проверки жмите «Обновить сейчас».
После настройки и проверки появится оповещение об успешном завершении синхронизации часов со ссылкой на NTP-сервер.
Редактор реестра
1. Для запуска утилиты «Выполнить» воспользуйтесь комбинацией клавиш Win + R.
2. Введите в текстовую строку « regedit » и жмите «OK» либо «Enter».
Команду можете выполнить и через поиск Windows 10.
3. Разверните ветку HKLM.
4. Перейдите вниз по пути: SOFTWAREMicrosoftWindowsCurrentVersionDateTime.
5. В подразделе Servers создайте новый строковый параметр через его контекстное меню либо правый клик по свободной области в левой части окна.
6. В качестве параметра укажите число, следующее за последней записью в списке (скорее всего, будет 3), в поле «Значение» вставьте ссылку на нужный сервер и кликните «OK».
Для сверки реального времени с сервером необходимо выполнить 6 шагов из раздела «Параметры» и щелкнуть «Обновить сейчас».
Решение проблем
Ранее было сказано, что чаще всего синхронизация не работает по причине остановки отвечающего за это системного сервиса. Как его перезапустить и добавить в автозагрузку, рассмотрели в подразделе «Службы». Здесь ознакомимся с ускоренным способом выхода из ситуации.
Рассмотрим, как исправить через командную строку, в случае когда не синхронизируется время по интернету:
Отключение синхронизации
Чтобы операционная система периодически не сверяла время с тем, что установлено на выбранном сервере, выполните такие шаги.
1. Откройте «Настройки даты и времени», кликнув правой кнопкой мыши по часам внизу дисплея.
2. Перенесите первый переключатель в положение «Откл.» и закройте окно.
В данное окно можете попасть через Параметры Windows 10 (см. 1-й раздел статьи) или Панель управления (см. 2-й раздел).
Второй способ: остановите и отключите автоматический запуск сервиса «Служба времени Windows», о чем рассказано в 3-м разделе.
Не забудьте проверить правильность указанного часового пояса.
Источник
Дата и время, казалось бы, обыденная настройка компьютера. Но многие пользователи сталкиваются с определенными трудностями в процессе корректировки. В частности, это касается компьютеров, которые находятся в домене, либо локальными групповыми политиками стоит ограничение. Одна из возможных причин, по которой я решил выпустит данный материал отображена на скриншоте выше.
Включаете компьютер и замечаете, что время сбилось, не прошло синхронизацию, открываете настройки и видите надпись: «Некоторые параметры скрыты или управляются вашей организацией«, а кнопка «Изменить дату и время» не активна.
Как же быть?
Обращаться к IT специалистам вовсе не обязательно. «Дата и время» — произведем настройку через командную строку.
Открываем — «Пуск» — «Служебные Windows» — «Командная строка (запуск от имени администратора)»
Вводим команду: time 14:54:35 (часы, минуты, секунды)
Для смены даты, вводим команду: date 19.04.2021
На этом все, простые команды, простое исполнение, но иногда очень полезные и необходимые.
Спасибо за внимание, надеюсь кто-то извлечет из этого пользу.
Пишите комментарии, подписывайтесь на блог, буду регулярно размещать интересные задачи, которые возникают в процессе работы.
Всем добра!
We have some of the industrial PCs with Windows 10 Enterprise (build 10586) installed for the testing purpose. In our environment, we have our domain controllers (Windows Server 2012 R2), and they are also the time source, and all of the Windows 10
Enterprise clients are domain joined.
We are now seeing a very strange problem that the date and time were automatically changed to the old date time when the OS was built. which is wrong. After restarting the computer, some of them might be correct, but after several hours, they became wrong
again. We tried to manually set the correct date time in Control Panel, but after restarting the Windows Time service, the date time reverted back to wrong again.
We also checked that Windows 10 clients and they successfully connected to the domain time source, but the date time in the system is still wrong, even if manually resync it (w32tm.exe /resync /computer:domaintimeserver).
From the System event logs, there are a lot of error info related to the Windows Time, and another strange thing is that we did not use Hyper-V VMs in Windows 10 client machines, but there’re some Hyper-V services in the System services.
The time provider ‘VMICTimeProvider’ has indicated that the current hardware and operating environment is not supported and has stopped. This behavior is expected for VMICTimeProvider on non-HyperV-guest environments. This may be the expected behavior for
the current provider in the current operating environment as well.
The time service has detected that the system time needs to be changed by 164716 seconds. The time service will not change the system time by more than 4294967295 seconds. Verify that your time and time zone are correct, and that the time source JDMWINFDC02.psz.tcs.corp.microsoft.com
(ntp.d|0.0.0.0:123->10.51.94.6:123) is working properly.
Is this a bug in Windows 10 OS? As we have other type of OS used in the domain, like Windows 7, Windows Server 2008 R2, Windows Server 2012 R2, no any date time issues on these OS.
Hunter
-
Moved by
Friday, May 6, 2016 8:30 AM
not winforms related