Мои коллеги и я сталкиваемся с конкретной проблемой с пользователем в командировке. Я стараюсь описать это как можно более универсально, чтобы соответствовать правилам суперпользователя. К сожалению, я не смог найти сценарий, задокументированный в какой-либо форме, после 1 часа поиска в Google на английском и немецком языках.
Сценарий выглядит следующим образом:
- Пользователь (человек) находится в командировке (за пределами компании) и заблокировал свою учетную запись пользователя AD на своем ноутбуке, введя неверные учетные данные три раза подряд. Пользователь использует только учетную запись AD на своем ноутбуке. У него нет другого локального аккаунта.
- Пользователь (человек) знает правильный, текущий пароль, который был установлен с помощью записной книжки, когда он был на сайте. Пароль может быть успешно использован для других услуг.
- Наши контроллеры AD доступны только через локальную сеть
- Пользователь (человек) не имеет никаких средств VPN для подключения "дома" в офис.
- Пользователь теперь не может войти в свой блокнот вообще.
Техническая информация:
- AD на основе Win 2008 R2
- Записная книжка Win7 Enterprise
- Профили пользователей хранятся локально, но они по-прежнему являются профилями AD, а не локальными пользователями.
Возможные решения, о которых мы думали, приводят к некоторому препятствию:
- Предоставление пароля локального администратора: позволит ему получить доступ к ПК, но не к своей учетной записи с помощью Mail и т.д., Он также не сможет разблокировать свой профиль через вход в систему с правами администратора, поскольку учетные записи AD не могут управляться через lusrmgr.msc ,
- Настройка VPN для него невозможна, потому что для этого требуется физический токен, которого у него нет
- мы могли бы выдать пароль администратора и дать ему указание настроить удаленное решение, такое как TeamViewer, но что мы будем делать на компьютере?
В будущем мы изменим нашу политику PW (которой уже несколько десятилетий) на более современный подход, основанный на передовой практике (поднятие неправильного порога ввода до 50 минут и т.д.), Чтобы избежать подобных ситуаций, но приведенный выше сценарий по-прежнему актуален. и я хотел бы решить это как-нибудь.
Спасибо за ваш вклад заранее, очень признателен.