Если у вас есть несколько компьютеров с Windows, которые будут использоваться удаленно и вне домена (сначала), есть ли способ предварительно синхронизировать имена пользователей и пароли из Active Directory, чтобы пользователи могли входить в систему с помощью кэшированных учетных данных без необходимости сначала использовать домен ?
(У нас есть пользователи в удаленных районах и мы отправляем им машины - и говорят об использовании Active Directory и его доменов, а не локальных учетных данных. Эти машины в конечном итоге подключаются через сотовую сеть и VPN или через коммутируемое соединение POTS, но не изначально и, конечно, не в либо сначала войдите в систему - им часто сначала приходится выполнять работу в отключенном состоянии.)
Я не знаю способа вытолкнуть кешированные учетные данные, и это означало бы, что слово «кэшированные» было выбрано неправильно, если бы такой способ существовал.
Как насчет того, чтобы установить LogMeIn или любое другое программное обеспечение для удаленного управления на каждый компьютер до того, как он выйдет за дверь, и чтобы каждый пользователь удаленно входил в систему на своей машине перед отправкой?
По моему опыту, лучший способ сделать это - не присоединять удаленные машины к домену, а вместо этого создать локальную учетную запись пользователя и локальную учетную запись администратора на каждой машине. ИТ-отдел документирует пароль локального администратора и предоставляет пользователю пароль локального пользователя. Этот сценарий лучше всего работает с VDI и / или облачными сервисами. Другой обходной путь - отправить предварительно настроенные аппаратные конечные точки VPN с каждым компьютером, чтобы каждый компьютер в основном находился в локальной сети, когда пользователь входит в систему.
Одна большая проблема с кешированием учетных данных на 100% удаленных компьютерах заключается в том, что если у вас есть какая-либо политика истечения срока действия пароля (что вам необходимо), может стать практически невозможно синхронизировать кэшированные учетные данные с текущими после первого истечения срока действия. В лучшем случае возникает путаница с конечным пользователем, в худшем - невозможность аутентификации.
Вы не хотели бы вставлять кэшированные учетные данные (которые по самой своей природе не могут быть отправлены как таковые), однако для новых развертываний вы можете запустить сценарий после развертывания, который входит в систему как пользователь (потенциально используя случайный пароль, созданный и установленный последовательностью задач с использованием надлежащих учетных данных). Новый случайный пароль будет истекать и передаваться отдельно, так что он будет действителен до тех пор, пока пользователь не подключится к сети.