Если у вас есть несколько машин Windows, которые будут использоваться удаленно и вне домена (в первое время), есть ли способ предварительно синхронизировать имена пользователей и пароли из Active Directory, чтобы пользователи могли входить в систему с помощью кэшированных учетных данных, не используя сначала домен?
(У нас есть пользователи в отдаленных районах, и мы отправляем им машины, и ведутся разговоры об использовании Active Directory и ее доменов вместо локальных учетных данных. Затем эти машины в конечном итоге подключаются через сотовую связь и VPN или через коммутируемое соединение POTS, но не изначально, и уж точно не при первом входе в систему, — им часто сначала приходится выполнять работу в отключенном состоянии.)
решение1
Я не знаю способа вывести кэшированные учетные данные, и это означало бы, что слово «кэшированный» было выбрано неудачно, если бы такой способ существовал.
А что если установить LogMeIn или любую другую программу удаленного управления на каждый компьютер перед его выпуском и заставить каждого пользователя удаленно войти в систему на своем компьютере, прежде чем вы отправите его?
По моему опыту, лучший способ сделать это — не присоединять удаленные машины к домену, а вместо этого создать локальную учетную запись пользователя и локальную учетную запись администратора на каждой машине. ИТ-отдел документирует пароль локального администратора и предоставляет пользователю пароль локального пользователя. Этот сценарий лучше всего работает с VDI и/или облачными сервисами. Другим обходным путем является отправка предварительно настроенных аппаратных конечных точек VPN с каждым компьютером, чтобы каждый компьютер фактически находился в локальной сети, когда пользователь входит в систему.
Одна большая проблема с кэшированием учетных данных на 100% удаленных компьютерах заключается в том, что если у вас есть политика истечения срока действия пароля (а она должна быть), может стать практически невозможно синхронизировать кэшированные учетные данные с текущими после истечения первого срока действия. В лучшем случае это запутает конечного пользователя, в худшем — не сможет пройти аутентификацию.
решение2
Вам не хотелось бы вставлять кэшированные учетные данные (которые по своей природе не могут быть вставлены сами по себе), однако для новых развертываний вы можете запустить скрипт после развертывания, который входит в систему как пользователь (потенциально используя случайный пароль, сгенерированный и установленный последовательностью задач с использованием соответствующих учетных данных). Новый случайный пароль будет установлен на срок действия и передан отдельно, чтобы он был действителен до тех пор, пока пользователь не подключится к сети.