Wenn man über mehrere Windows-Rechner verfügt, die (zunächst) remote und außerhalb der Domäne verwendet werden, gibt es eine Möglichkeit, die Benutzernamen und Kennwörter aus Active Directory vorab zu synchronisieren, sodass sich die Benutzer über zwischengespeicherte Anmeldeinformationen anmelden können, ohne zuerst die Domäne verwenden zu müssen?
(Wir haben Benutzer in abgelegenen Gebieten und schicken ihnen Maschinen – und es wird darüber gesprochen, Active Directory und seine Domänen anstelle lokaler Anmeldeinformationen zu verwenden. Diese Maschinen stellen dann letztendlich eine Verbindung über Mobilfunk und VPN oder über POTS-DFÜ her, aber nicht von Anfang an und schon gar nicht bei der ersten Anmeldung – sie müssen oft zuerst in einem getrennten Zustand arbeiten.)
Antwort1
Mir ist keine Möglichkeit bekannt, zwischengespeicherte Anmeldeinformationen herauszuschieben, und das würde bedeuten, dass das Wort „zwischengespeichert“ schlecht gewählt wäre, wenn es eine solche Möglichkeit gäbe.
Wie wäre es, wenn Sie LogMeIn oder eine andere Fernsteuerungssoftware auf jedem Computer installieren, bevor dieser ausgeliefert wird, und jeden Benutzer per Fernzugriff bei seinem Computer anmelden lassen, bevor Sie ihn ausliefern?
Meiner Erfahrung nach besteht die beste Möglichkeit darin, die Remote-Rechner nicht der Domäne hinzuzufügen, sondern stattdessen auf jedem Rechner ein lokales Benutzerkonto und ein lokales Administratorkonto zu erstellen. Die IT dokumentiert das lokale Administratorkennwort und gibt dem Benutzer das lokale Benutzerkennwort. Dieses Szenario funktioniert am besten mit VDI und/oder Cloud-Diensten. Eine weitere Problemumgehung besteht darin, vorkonfigurierte Hardware-VPN-Endpunkte mit jedem Computer auszuliefern, sodass jeder Computer grundsätzlich im LAN ist, wenn sich der Benutzer anmeldet.
Ein großes Problem beim Zwischenspeichern von Anmeldeinformationen auf 100 % Remotecomputern besteht darin, dass es praktisch unmöglich werden kann, die zwischengespeicherten Anmeldeinformationen nach dem ersten Ablaufdatum mit den aktuellen synchron zu halten, wenn Sie über eine Richtlinie zum Ablaufen von Passwörtern verfügen (was Sie tun sollten). Im besten Fall ist der Endbenutzer verwirrt, im schlimmsten Fall ist eine Authentifizierung nicht möglich.
Antwort2
Sie möchten keine zwischengespeicherten Anmeldeinformationen übertragen (die aufgrund ihrer Natur nicht per se übertragen werden können). Sie können jedoch bei neuen Bereitstellungen ein Skript nach der Bereitstellung ausführen, das Sie als Benutzer anmeldet (möglicherweise unter Verwendung eines zufälligen Kennworts, das von der Tasksequenz unter Verwendung der richtigen Anmeldeinformationen generiert und festgelegt wurde). Das neue zufällige Kennwort wird so eingestellt, dass es abläuft und separat übertragen wird, sodass es gültig ist, bis der Benutzer eine Verbindung zum Netzwerk herstellt.