Обычно они подключаются к нашей сети через VPN. Прямо сейчас на ноутбуке есть только учетная запись администратора (защищенная паролем) и учетная запись пользователя домена. Здесь используются Windows 7 и Server 2008R2.
Я хочу изменить их пароль или отключить / заблокировать их учетную запись, чтобы они вступили в силу немедленно, чтобы они вообще не могли получить доступ к нашему домену или любым файлам на ноутбуке.
Если они уже вошли в систему, должны ли они сначала выйти из системы? Если они не вошли в VPN, не сохранит ли компьютер их предыдущий пароль / учетные данные, если они войдут в систему, когда не подключены к какой-либо сети?
Есть ли другой способ сделать то, что я хочу делать?
Если они не подключены через VPN, вы ничего не можете сделать. С вашей точки зрения компьютер отключен, и кэшированные учетные данные будут работать на нем. Вы можете отключить их учетную запись, чтобы предотвратить VPN-соединение, но тогда вы никогда не получите контроль над машиной.
Один из вариантов - позволить им подключиться или проинструктировать их подключиться, если у вас есть такая возможность с юридической точки зрения, а затем заблокировать их. Но они все равно могут удалить диск и получить данные, если вы не используете что-то вроде BitLocker.
Но ваш лучший вариант - это, вероятно, попросить HR / юриста позвонить им и напомнить им об их обязательствах в отношении корпоративных данных и активов, а также о том, что правоохранительные органы не справятся с ними за кражу, если они не выполнят немедленно. Предоставьте им возможность отправить вам ноутбук обратно без необходимости платить за пересылку по почте или за упаковку (например, самовывоз FedEx).
Есть несколько способов принудительного выхода, упомянутых в вопросе SuperUser о сценарий принудительного выхода пользователя из системы для Windows 7.
Есть также shutdown /l /f и фантастический пакет SysInternals имеет PsShutdown.
Важно удалить кэшированные учетные данные с машины. Есть много вопросов по этому поводу, но у меня пока нет окончательного ответа или лаборатории, чтобы проверить это. Искать https://serverfault.com/search?q=cached+credentials
В качестве альтернативы, и я считаю это лучшим решением, но оно требует предварительного планирования, вы можете стереть криптографический ключ жесткого диска, а затем принудительно выключить машину. Написание раздела зашифрованного ключа тарабарщиной не позволит пользователю при каждой загрузке машины прочитать что-либо еще раз. Кроме того, если вы храните копию ключа на своей стороне, вы все равно можете получить доступ ко всему, что было на диске, если они не перезапишут его с помощью загрузочного диска.