2

Я программист и специалист по финансам, который неохотно отвечает за информационные технологии, а также среди других более подходящих отделов нашей фирмы из восьми человек. Я очень плохо знаком с ИТ, поэтому, пожалуйста, потерпите меня и предположите, что я знаю очень мало.

У нас есть ограниченное количество ноутбуков для совместного использования / отпуска, которые часто торгуют руками. Несмотря на мое руководство, сотрудники взлетают с ноутбуком, который не кэширует свои учетные данные, поэтому они не могут войти в систему. (Я пытаюсь заставить их войти, прежде чем они отправятся!)

Как я могу кэшировать все учетные данные на каждом из путешествующих ноутбуков? И это мудрый? Приветствуются предложения альтернативных (бесплатных) решений, которые решают эту проблему по-другому.

Портативный компьютер: Windows 7 без прав локального администратора, Сервер: Windows 2008 R2

2 ответа2

4

Ответ: Нет.

Как упоминает Шредер в своем комментарии, для этого необходимо, чтобы сотрудники входили в компьютер, пока он еще подключен в офисе.

В групповой политике можно настроить параметр, который сообщает компьютеру, сколько учетных данных он может отозвать, что позволяет сотруднику, двум или трем пользователям войти в компьютер в офисе, а затем вывести компьютер из офиса и при этом оставаться в сети. в состоянии войти, но даже это имеет свои пределы.

Проблема с тем, что вы запрашиваете, заключается в том, что вы, по сути, попросите компьютер сохранить копию аутентификации для всех учетных записей пользователей в домене и запросить любую обновленную информацию об этих учетных записях пользователей, такую как измененные пароли или имена или разрешения, когда бы они ни менялись.

Во-первых, это нецелесообразно, потому что ноутбуки должны быть все равно подключены к домену, чтобы получить эту информацию, и почему пользователь-заемщик просто не может войти в систему, прежде чем уйти, во-вторых, это крайне небезопасно.

Если компьютер, запомнивший информацию об одной учетной записи, покидает офис и похищается, вы сбрасываете информацию об этой одной учетной записи. Но если у вас есть ВСЕ сведения для ВСЕХ учетных записей домена на этом ноутбуке, у вас возникнут проблемы, записанные с большой буквы "Т".

В рамках вашей новой роли вы также являетесь исполнителем, и правила должны быть как для безопасности информации компании, так и для вашего здравого смысла, что сотрудники ДОЛЖНЫ войти в компьютер ДО того, как они покинут офис или покинут офис. удачи.

Их забвение того, что им сказали, не является причиной для вас, чтобы паниковать. Им не два года. Они взрослые, которые могут понять и следовать инструкциям. Я предполагаю.

ОБНОВЛЕНИЕ: Предлагаемый процесс и магический обход

Предлагаемый процесс

Вариант 1: Храните все ноутбуки ссудополучателя в своем офисе, на своем техническом столе и т.д. Когда люди приходят, чтобы проверить их у вас, попросите их войти в систему, прежде чем они уйдут. Бонус: вы знаете, что ноутбук работает.

Вариант 2: Дайте генеральному директору собственный ноутбук для своего единственного компьютера. Тогда они уже вошли в систему.

Волшебный обходной путь

Не просто отдать это. Сохраняйте его в те времена, когда вам действительно нужно сэкономить бекон или набрать кусочки пирожных и использовать его только с осторожностью.

Установите какое-либо VPN-соединение, а затем настройте ОЧЕНЬ ограниченную локальную учетную запись на всех ноутбуках, которые ТОЛЬКО подключаются к доступному интернет-соединению и запускают VPN-соединение.

Вы можете сделать это таким образом, чтобы в этой ограниченной учетной записи даже не отображались значки панели задач или рабочего стола.

Когда VPN-соединение подключено, попросите удаленного пользователя, которому не нужно следовать инструкциям, нажать CTRL-ALT-DEL и выбрать «Изменить пароль». В этом диалоговом окне вы можете изменить пароли, кроме зарегистрированной учетной записи, просто введя домен \ имя пользователя учетной записи, которую вы хотите кэшировать. После того, как пользователь изменил пароль для своей учетной записи на этом компьютере, учетные данные будут кэшированы, и они смогут нормально входить в систему.

Есть еще небольшое наказание, потому что они должны были изменить свой пароль, но это, мы надеемся, должно послужить напоминанием, чтобы сделать все правильно в следующий раз.

0

Не обсуждаю, является ли это правильной практикой или нет. Но единственный способ кэширования учетных данных в Windows - это использование диспетчера учетных данных. Вы можете написать скрипт, используя инструмент командной строки "cmdkey", например так:

cmdkey /add:server01 /user:mikedan /pass:Kleo

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .