统一授时对象

将授时对象划分为操作系统类和网络设备类。其中操作系统类包括服务器、终端计算机等；网络设备类包括交换机、防火墙、入侵检测、漏洞扫描等。

统一授时方式

为了确保时间的准确性，应采用专业的时间服务器（以下简称统一时间源）作为网络中授时的基准时间源，这样既可以实现常年时间误差在秒级，又能够满足掉电后维持时间的需求，同时解决了传统手工校准时间导致的授时不及时等问题。

图1 统一授时网络拓扑示意图

对于小型网络，需要进行统一授时的对象数量比较少，可以采用唯一时间源提供单点授时的方式，就是说所有需要授时的设备都通过统一时间源直接授时。当网络中需要进行统一授时的对象数量较多时，特别是对于大型网络，成百上千的设备需要授时，可以采用多点授时的方式，统一时间源仅向少数具有时间服务功能的设备提供授时，如：域控制器、网络核心交换机等，再由域控制器、网络核心交换机等设备向其他设备同时提供多点授时，如图1。

具体说，就是服务器、终端计算机等操作系统类的时间同步对象，通过域控制器进行授时，域控制器通过统一时间源进行授时，主要步骤如下：

1.服 务器、终端计算机分别加入域，自动与PDC域控制器保持授时关系。

2.配置PDC域控制器的时间源。

n e t t i m e /setsntp:[统一时间源IP地址]

3.校准PDC域控制器时间

net time \[统一时间源IP地址] /set/y

交换机、防火墙等网络设备类的时间同步对象，通过网络核心交换机进行授时，网络核心交换机通过统一时间源进行授时，以华三交换机为例：

ntp-service unicastserver [统一时间源IP地址]或[网络核心交换机IP地址]

域内授时

理论上终端计算机加入域后，自动连接PDC域控制器进行授时，但实际上终端计算机的时间会因用户误操作等原因发生较大变化，导致不能自动连接PDC域控制器进行授时。可以按照如下步骤配置域内授时服务，确保终端计算机自动和PDC域控制器保持授时关系。

1.设置PDC授时参数

打开PDC域控制器注册表，修改以下键值：

H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesW32TimeParameters,“Type”键值设置为“NTP”。

H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesW32TimeT i m e P r o v i d e r sNtpServer,“Enabled”键值设置为“1”。

2.修改Windows授时策略

编辑PDC域控制器组策略，计算机配置管理模板系统Windows时间服务时间提供程序

（1）“配 置 Windows NTP客户端”修改为“已启

图2 配置域内授时

图3 修改默认时间差

修改默认时间差

Windows操作系统默认允许域控制器和客户端计算机之间的时间差为5分钟，应设置更加精确的时间差。

图4 禁止修改时间

具体步骤如下：编辑PDC域控制器组策略，计算机配置安全设置帐户策略kerberos策略，修改“计算机时钟同步的最大容差”，如图3。用”，“NtpServer” 设 置 为“[PDC域控制器IP地址]，0x1”，“Type”设置为“NTP”，“SpecialPollInterval” 设置为“1800”。

（2）“启用Windows NTP客户端”修改为“已启用”。

（3）“启用Windows NTP服务器”修改为“已启用”。如图2。

禁止修改时间

对于操作系统类的时间同步对象，应禁止随意修改系统时间，以保证时间的正确性和安全性。服务器、终端计算机以域用户身份登录，如果属于“Users”组，将不具有更改系统时间的权限，只有“Administrators”或“Power Users”组才具有更改系统时间的权限。应去除缺省更改系统时间的权限组，即禁止一切更改系统时间的行为。

具体步骤如下：编辑PDC域控制器组策略，计算机配置安全设置本地策略用户权利指派，删除“更改系统时间”策略中的缺省权限组,如图4。