最初はリモートでドメイン外で使用される Windows マシンが多数ある場合、Active Directory からユーザー名とパスワードを事前に同期して、ユーザーが最初にドメインを使用せずにキャッシュされた資格情報を使用してログインできるようにする方法はありますか?
(当社には遠隔地にユーザーがおり、彼らにマシンを発送しています。また、ローカル認証情報ではなく Active Directory とそのドメインを使用することが検討されています。これらのマシンは、最終的には携帯電話と VPN または POTS ダイヤルアップ経由で接続しますが、最初は接続しませんし、初回ログイン時も接続しません。多くの場合、最初に切断された状態で作業を行う必要があります。)
答え1
キャッシュされた資格情報をプッシュする方法は知りません。もしそのような方法が存在するなら、「キャッシュ」という単語の選択が不適切だったということになります。
コンピュータを出荷する前に各コンピュータに LogMeIn またはその他のリモート コントロール ソフトウェアをインストールし、出荷前に各ユーザーに自分のマシンにリモートでログオンしてもらうというのはどうでしょうか。
私の経験では、これを行う最良の方法は、リモート マシンをドメインに参加させず、各マシンにローカル ユーザー アカウントとローカル管理者アカウントを作成することです。IT 部門はローカル管理者パスワードを文書化し、ユーザーにローカル ユーザー パスワードを提供します。このシナリオは、VDI やクラウド サービスで最も効果的です。別の回避策は、各コンピューターに事前構成済みのハードウェア VPN エンドポイントを同梱して、ユーザーがログオンしたときに各コンピューターが基本的に LAN 上にあるようにすることです。
100% リモート コンピューターで資格情報をキャッシュする場合の大きな問題の 1 つは、パスワード有効期限ポリシーがある場合 (設定する必要があります)、最初の有効期限が切れた後、キャッシュされた資格情報を現在の資格情報と同期させることが事実上不可能になる可能性があることです。最良のシナリオはエンド ユーザーの混乱であり、最悪のシナリオは認証できないことです。
答え2
キャッシュされた資格情報をプッシュすることは望ましくありません (資格情報自体は本質的にプッシュできません)。ただし、新しい展開では、ユーザーとしてログインする展開後スクリプトを実行することができます (適切な資格情報を使用してタスク シーケンスによって生成および設定されたランダム パスワードを使用する可能性があります)。新しいランダム パスワードは期限が設定され、個別に送信されるため、ユーザーがネットワークに接続するまで有効になります。