Hallo,

ich wollte mich mal erkundigen wie lange es möglich ist sich am PC mit seinem Domänenaccount anzumelden ohne eine Verbindung zum DC zu haben ?

Gruß
Marcus

Solange, bis eine Verbindung zum DC besteht - wenn die Möglichkeit einer "offline-Anmeldung" überhaupt besteht (kann in der Default Domain Policy über die Anzahl von "zwischenzuspeichernden vorherigen Anmeldungen" konfiguriert werden).
Auf einem Client kann man das dann in der lokalen Sicherheitsrichtlinie nachschauen.
Windows-Einstellungen->Sicherheitseinstellungen->lokale Richtlinien->Sicherheitsoptionen->Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist).
Gerüchten zufolge fallen Rechner aus der Domäne bzw. verlieren ihre Vertrauensstellung, wenn sie 180 Tage nicht mit einem DC sprechen. Das mag aber auch nur grober Unsinn und eine Verwechslung mit der Tombstone Lifetime sein .-)

Edit: Es geht zwar an der Frage vorbei, mag aber dennoch eine interessante Info sein: (Computerkonten-)Mitglieder einer Domäne ändern alle ?30? Tage ihr Kennwort. Wird eine ältere Sicherung eines Rechner zurückgespielt, kennt der Rechner unter Umständen also nicht das aktuelle Kennwort seines Computerkontos und hat somit seine Vertrauensstellung verloren. Dies ist in "meiner" Umgebung der Standardfall, da sich die PC-Admins i.d.R. nicht mit den Eigenheiten eines ADs auskennen.

Warum ich frage :

Wir haben Rechner im Einsatz welche die Domäne schon eine längere Zeit nicht gesehen haben (da der DC nicht mehr vorhanden ist). Die Benutzeraccounts werden weiterhin verwendet. Wir haben SW im Einsatz welche mit den Acounts verknüpft zu sein scheint. Neuinstallation würde nicht funktionieren da es die Firmen nicht mehr gibt. Gibt es eine Möglichkeit den Timer zu reseten oder zu deaktivieren ?

Gruß
Marcus

Prinzipiell sollte es niemals ablaufen:

http://blogs.technet.com/b/deds/archive/2009/01/23/wann-laeuft-ein-
maschinenaccount-computerkonto-ab-gar-nicht.aspx

Edit: Es geht zwar an der Frage vorbei, mag aber dennoch eine interessante Info sein: (Computerkonten-)Mitglieder einer Domäne ändern alle ?30? Tage ihr Kennwort. Wird eine ältere Sicherung eines Rechner zurückgespielt, kennt der Rechner unter Umständen also nicht das aktuelle Kennwort seines Computerkontos und hat somit seine Vertrauensstellung verloren. Dies ist in "meiner" Umgebung der Standardfall, da sich die PC-Admins i.d.R. nicht mit den Eigenheiten eines ADs auskennen.

Das genau bewirkt die Tombstone Lifetime.

Gibt es eine Möglichkeit den Timer zu reseten oder zu deaktivieren ?
Die angesprochene Einstellung in der Default Domain Policy ist kein Timer. Man Stellt die Anzahl der (Benutzer-)Konten, die gecached werden sollen, ein - nicht die Anzahl der damit erlaubten offline-Anmeldungen.
Wie der Gast schrieb, sollte das (Computer-)Konto niemals ablaufen. Die von mir angesprochenen Probleme entstehen erst, wenn doch irgendwann eine Verbindung zur Domäne wiederhergestellt werden sollte.

Edit: Wie man sieht, verwirrt auch mich die Tombstone Lifetime. Die gibt doch nur an, wann ein gelöschtes AD-Objekt auch aus der AD-Datenbank gelöscht wird - oder?
Ein Computerkonto wird aber nicht automatisch nach einer gewissen Zeit gelöscht (außer man automatisiert es selbst). So sollte es eigentlich kein Problem sein, wenn sich ein Computer erst nach ein paar Jahren wieder in der Domäne meldet. Irgendwas scheine ich zu übersehen...