Credenciais armazenadas em cache no ActiveDirectory e configuração de máquinas

Question 1

Não conheço uma maneira de enviar credenciais armazenadas em cache, e isso significaria que a palavra "armazenado em cache" foi mal escolhida, se tal forma existisse.

Que tal colocar o LogMeIn ou qualquer outro software de controle remoto em cada computador antes de ele ser lançado e fazer com que cada usuário faça login remotamente em sua máquina antes de enviá-lo?

Na minha experiência, a melhor maneira de fazer isso é não associar as máquinas remotas ao domínio, mas criar uma conta de usuário local e uma conta de administrador local em cada máquina. A TI documenta a senha do administrador local e fornece ao usuário a senha do usuário local. Este cenário funciona melhor com VDI e/ou serviços em nuvem. Outra solução alternativa é enviar endpoints VPN de hardware pré-configurados com cada computador para que cada computador esteja basicamente na LAN quando o usuário fizer logon.

Um grande problema com o cache de credenciais em computadores 100% remotos é que se você tiver alguma política de expiração de senha (o que deveria), pode se tornar virtualmente impossível manter as credenciais em cache sincronizadas com as atuais, após a primeira expiração. O melhor cenário é a confusão do usuário final, o pior é a incapacidade de autenticação.

Answer

Não conheço uma maneira de enviar credenciais armazenadas em cache, e isso significaria que a palavra "armazenado em cache" foi mal escolhida, se tal forma existisse.

Que tal colocar o LogMeIn ou qualquer outro software de controle remoto em cada computador antes de ele ser lançado e fazer com que cada usuário faça login remotamente em sua máquina antes de enviá-lo?

Na minha experiência, a melhor maneira de fazer isso é não associar as máquinas remotas ao domínio, mas criar uma conta de usuário local e uma conta de administrador local em cada máquina. A TI documenta a senha do administrador local e fornece ao usuário a senha do usuário local. Este cenário funciona melhor com VDI e/ou serviços em nuvem. Outra solução alternativa é enviar endpoints VPN de hardware pré-configurados com cada computador para que cada computador esteja basicamente na LAN quando o usuário fizer logon.

Um grande problema com o cache de credenciais em computadores 100% remotos é que se você tiver alguma política de expiração de senha (o que deveria), pode se tornar virtualmente impossível manter as credenciais em cache sincronizadas com as atuais, após a primeira expiração. O melhor cenário é a confusão do usuário final, o pior é a incapacidade de autenticação.

Question 2

Você não gostaria de enviar uma credencial em cache (que por sua própria natureza não pode ser enviada por si só), no entanto, o que você pode fazer para novas implantações é executar um script pós-implantação que efetue login como o usuário (potencialmente usando um senha aleatória gerada e definida pela sequência de tarefas usando as credenciais adequadas). A nova senha aleatória seria definida para expirar e transmitida separadamente para que fosse válida até que o usuário se conectasse à rede.

Answer

Você não gostaria de enviar uma credencial em cache (que por sua própria natureza não pode ser enviada por si só), no entanto, o que você pode fazer para novas implantações é executar um script pós-implantação que efetue login como o usuário (potencialmente usando um senha aleatória gerada e definida pela sequência de tarefas usando as credenciais adequadas). A nova senha aleatória seria definida para expirar e transmitida separadamente para que fosse válida até que o usuário se conectasse à rede.

Credenciais armazenadas em cache no ActiveDirectory e configuração de máquinas

Responder1

Responder2

informação relacionada