如果一個人有一堆將在遠端和網域外使用的 Windows 電腦(首先),是否有一種方法可以從 Active Directory 預先同步使用者名稱和密碼,以便使用者可以透過快取的憑證登錄,而不必先使用網域?
(我們在偏遠地區有用戶,並向他們運送機器 - 並且有人談論使用 Active Directory 及其網域而不是本地憑證。然後這些機器最終通過蜂窩和 VPN 或通過 POTS 撥號連接,但不是最初,當然也不是在要么先登入——他們通常必須首先在斷開連接的狀態下工作。
答案1
我不知道有什麼方法可以推出快取的憑證,這意味著「快取」這個詞選擇不當(如果存在這種方法)。
在每台電腦出廠之前安裝 LogMeIn 或任何其他遠端控制軟體,並在發送電腦之前讓每個使用者遠端登入到他們的電腦怎麼樣?
根據我的經驗,最好的方法是不要將遠端電腦加入網域,而是在每台電腦上建立一個本機使用者帳戶和一個本機管理員帳戶。 IT 記錄本機管理員密碼並提供使用者本機使用者密碼。此方案最適合 VDI 和/或雲端服務。另一種解決方法是為每台電腦提供預先配置的硬體 VPN 端點,這樣當使用者登入時,每台電腦基本上都位於 LAN 上。
在 100% 遠端電腦上快取憑證的一個大問題是,如果您有任何密碼過期策略(您應該這樣做),則在第一次過期後,幾乎不可能使快取的憑證與當前的憑證保持同步。最好的情況是最終用戶感到困惑,最糟的情況是無法進行身份驗證。
答案2
您不想推送快取的憑證(本質上它本身無法推送),但是您可以為新部署做的是執行一個以使用者身分登入的部署後腳本(可能使用任務序列使用正確的憑證產生和設定的隨機密碼) 。新的隨機密碼將被設定為過期並單獨傳輸,以便在使用者連接到網路之前它一直有效。