域环境，怎么让所有的普通用户有更改系统时间的权限

把域用户添加到本地计算机的POWER USER组。
如果手工添加就是把Domain Users组（包含所有域用户）添加到POWER USER组。
如果想自动添加，可以写一个vbs脚本，在域控上设置为本地计算机的开机脚本或系统管理员的登录脚本。
Set WshNetwork = WScriptCreateObject("WScriptNetwork")
strComputer = WshNetworkComputerName
localgroupname="POWER USER"
domaingroup="WinNT://域名/Domain Users"
Set localGroup = GetObject("WinNT://" & strComputer & "/" & localgroupname & ",Group")
有域的环境一般都是要求比较安全的环境，设置域帐号只有域管理员才有权限，除非你能知道他的密码，知道后就能提升自己的权限，但是，一个合格的管理员会很快知道你更改了权限而对你发出警告的。
禁用本地帐号对网络的安全有很大好处，但是因为一般的域帐号权限会很低，安装很多软件都不行，只能运行指定的程序，所以会感觉自己什么都被限制，但是安全和自由总要选一样，你说呢？
If localGroupIsMember(domaingroup) Then
WScriptQuit
Else
LocalGroupAdd domaingroup
End If

你当前账户权限不够，用管理员账户改，注销系统，在出现输入密码的时候，按下CTRL＋ALT＋Del启动Del连按两次，会出现可以修改用户名的窗口，你把用户名改成Administrator，密码是空格，就可以进入，双击电脑右下角的时间，更改时间即可。

域环境中不推荐客户端使用还原卡。
其次即是使用，也可以定制进行更新同步。即把接近同步周期结束时，同步至还原卡上，让第一次启动电脑，只恢复今天的同步的数据。
此外同步的是计算机机器密码与域控的信息。
可以尝试以下方法禁用计算机密码同步（不推荐）
设置"域安全画策略 域用户:禁止更改计算机密码

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182921211 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182921211为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182921211 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182921211

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 1829211

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1首先，运行如下命令删除时间服务：

2然后，再运行如下命令加载默认时间配置服务：

域控服务器，首先,进入域的"组策略编辑器"

进入方法:

1开始---程序----管理工具-----Active Directory 用户和计算机

2对域名点右键----属性

3选择"组策略"选项卡,双击默认组策略Default Domain Policy

其次,修改屏幕保护时间

方法(请参照附图):

打开左侧的"用户配置---管理模板----控制面板---显示"

找到右侧的"屏幕保护程序超时",改为"启用",并设置你要的时间即可

设置好组策略后,等组策略自动刷新即可更新也可以手工更新

---