Si uno tiene un montón de máquinas con Windows que se usarán de forma remota y fuera del dominio (al principio), ¿hay alguna manera de presincronizar los nombres de usuario y las contraseñas de Active Directory para que los usuarios puedan iniciar sesión mediante credenciales almacenadas en caché sin tener que usar el dominio primero? ?
(Tenemos usuarios en áreas remotas y les enviamos máquinas, y se habla de usar Active Directory y sus dominios en lugar de credenciales locales. Estas máquinas eventualmente se conectan a través de celular y VPN o mediante acceso telefónico POTS, pero no inicialmente, y ciertamente no en iniciar sesión primero, a menudo primero tienen que trabajar en un estado desconectado).
Respuesta1
No conozco una forma de extraer las credenciales almacenadas en caché, y eso significaría que la palabra "en caché" no se eligió correctamente, si existiera esa forma.
¿Qué tal si colocamos LogMeIn o cualquier otro software de control remoto en cada computadora antes de que salga y hacemos que cada usuario inicie sesión remotamente en su máquina antes de enviarla?
En mi experiencia, la mejor manera de hacer esto es no unir las máquinas remotas al dominio, sino crear una cuenta de usuario local y una cuenta de administrador local en cada máquina. TI documenta la contraseña del administrador local y le proporciona al usuario la contraseña de usuario local. Este escenario funciona mejor con VDI y/o servicios en la nube. Otra solución es enviar terminales VPN de hardware preconfigurados con cada computadora para que cada computadora esté básicamente en la LAN cuando el usuario inicie sesión.
Un gran problema con el almacenamiento en caché de credenciales en computadoras 100% remotas es que si tiene alguna política de vencimiento de contraseñas (lo cual debería), puede resultar prácticamente imposible mantener las credenciales almacenadas en caché sincronizadas con las actuales, después de que llegue el primer vencimiento. El mejor de los casos es la confusión del usuario final, el peor es la incapacidad de autenticarse.
Respuesta2
No querrás insertar una credencial almacenada en caché (que por su propia naturaleza no se puede enviar per se); sin embargo, lo que puedes hacer para nuevas implementaciones es ejecutar un script posterior a la implementación que inicie sesión como usuario (potencialmente usando un contraseña aleatoria generada y establecida por la secuencia de tareas utilizando las credenciales adecuadas). La nueva contraseña aleatoria se establecería para que caduque y se transmita por separado para que sea válida hasta que el usuario se conecte a la red.