처음에는 도메인 외부에서 원격으로 사용할 Windows 시스템이 많은 경우 사용자가 도메인을 먼저 사용하지 않고도 캐시된 자격 증명을 통해 로그인할 수 있도록 Active Directory에서 사용자 이름과 비밀번호를 사전 동기화하는 방법이 있습니까? ?
(원격 지역에 사용자가 있고 그들에게 시스템을 배송합니다. 로컬 자격 증명 대신 Active Directory 및 해당 도메인을 사용하는 것에 대한 이야기가 있습니다. 그런 다음 이러한 시스템은 결국 셀룰러 및 VPN 또는 POTS 전화 접속을 통해 연결되지만 처음에는 연결되지 않으며 확실히 연결되지 않습니다. 먼저 로그인하거나 먼저 연결이 끊긴 상태에서 작업을 수행해야 하는 경우가 많습니다.)
답변1
나는 캐시된 자격 증명을 밀어내는 방법을 알지 못합니다. 그런 방법이 존재한다면 "캐시됨"이라는 단어가 잘못 선택되었음을 의미합니다.
LogMeIn이나 기타 원격 제어 소프트웨어를 각 컴퓨터에 설치한 후 외부로 내보내고 각 사용자가 컴퓨터를 보내기 전에 원격으로 로그인하도록 하는 것은 어떻습니까?
내 경험에 따르면 이를 수행하는 가장 좋은 방법은 원격 컴퓨터를 도메인에 가입시키는 것이 아니라 대신 각 컴퓨터에 로컬 사용자 계정과 로컬 관리자 계정을 만드는 것입니다. IT는 로컬 관리자 비밀번호를 문서화하고 사용자에게 로컬 사용자 비밀번호를 제공합니다. 이 시나리오는 VDI 및/또는 클라우드 서비스에서 가장 잘 작동합니다. 또 다른 해결 방법은 사용자가 로그온할 때 각 컴퓨터가 기본적으로 LAN에 있도록 각 컴퓨터에 미리 구성된 하드웨어 VPN 끝점을 제공하는 것입니다.
100% 원격 컴퓨터에서 자격 증명을 캐싱할 때 발생하는 한 가지 큰 문제는 암호 만료 정책이 있는 경우(꼭 그래야 함) 첫 번째 만료가 발생한 후 캐시된 자격 증명을 현재 자격 증명과 동기화하는 것이 사실상 불가능해질 수 있다는 것입니다. 최선의 시나리오는 최종 사용자의 혼란이고, 최악의 경우는 인증할 수 없는 것입니다.
답변2
캐시된 자격 증명(본질상 푸시할 수 없음)을 푸시하고 싶지는 않을 것입니다. 그러나 새 배포에 대해 수행할 수 있는 작업은 사용자로 로그인하는 배포 후 스크립트를 실행하는 것입니다(잠재적으로 적절한 자격 증명을 사용하여 작업 순서에 의해 생성되고 설정된 임의의 암호입니다. 새로운 무작위 비밀번호는 만료되도록 설정되어 별도로 전송되므로 사용자가 네트워크에 연결될 때까지 유효합니다.