как кэшировать учетные данные в Windows

2039
mountainclimber

Я программист и специалист по финансам, который неохотно отвечает за информационные технологии, а также среди других более подходящих отделов нашей фирмы из восьми человек. Я очень плохо знаком с ИТ, поэтому, пожалуйста, потерпите меня и предположите, что я знаю очень мало.

У нас есть ограниченное количество ноутбуков для совместного использования / отпуска, которые часто торгуют руками. Несмотря на мое руководство, сотрудники взлетают с ноутбуком, который не кэширует свои учетные данные, поэтому они не могут войти в систему. (Я пытаюсь заставить их войти, прежде чем они отправятся!)

Как я могу кэшировать все учетные данные на каждом из путешествующих ноутбуков? И это мудрый? Приветствуются предложения альтернативных (бесплатных) решений, которые решают эту проблему по-другому.

Портативный компьютер: Windows 7 без прав локального администратора, Сервер: Windows 2008 R2

2
Получите их, чтобы войти, прежде чем уйти из сети с ноутбуком. schroeder 7 лет назад 1
Шредер - заметка «Несмотря на мое руководство» часть моего вопроса. Я попробую! Я добавил разъяснения по этому вопросу в своем вопросе. mountainclimber 7 лет назад 0
Кроме того, где я должен публиковать подобные вопросы? Я вижу, вы перенесли мой вопрос. mountainclimber 7 лет назад 0
Вы можете сделать так много, чтобы помочь своим пользователям. Один из многих тяжелых уроков IT. Если они не будут следовать процедуре, то они принесут последствия, которые они навлекают на себя. schroeder 7 лет назад 0
Отметил, и я согласен; однако, это сложно, когда ваш генеральный директор во время праздников нуждается в помощи. mountainclimber 7 лет назад 1
Как настроить или выполнить задачи в конкретной ОС, как правило, вопрос типа SuperUser. schroeder 7 лет назад 1
Я полагал, что это было высшее руководство. Компьютеры не являются волшебными коробками, и существуют процедуры для максимизации производительности. Напоминание об этом может помочь. schroeder 7 лет назад 0

2 ответа на вопрос

4
music2myear

Ответ: Нет.

Как упоминает Шредер в своем комментарии, для этого необходимо, чтобы сотрудники входили в компьютер, пока он еще подключен в офисе.

В групповой политике можно настроить параметр, который сообщает компьютеру, сколько учетных данных он может отозвать, что позволяет сотруднику, двум или трем пользователям войти в компьютер в офисе, а затем вывести компьютер из офиса и при этом оставаться в сети. в состоянии войти, но даже это имеет свои пределы.

Проблема с тем, что вы запрашиваете, заключается в том, что вы, по сути, попросите компьютер сохранить копию аутентификации для всех учетных записей пользователей в домене и запросить любую обновленную информацию об этих учетных записях пользователей, такую ​​как измененные пароли или имена или разрешения, когда бы они ни менялись.

Во-первых, это нецелесообразно, потому что ноутбуки должны быть все равно подключены к домену, чтобы получить эту информацию, и почему пользователь-заемщик просто не может войти в систему, прежде чем уйти, во-вторых, это крайне небезопасно.

Если компьютер, запомнивший информацию об одной учетной записи, покидает офис и похищается, вы сбрасываете информацию об этой одной учетной записи. Но если у вас есть ВСЕ сведения для ВСЕХ учетных записей домена на этом ноутбуке, у вас возникнут проблемы, записанные с большой буквы «Т».

В рамках вашей новой роли вы также являетесь исполнителем, и правила должны быть как для безопасности информации компании, так и для вашего здравого смысла, что сотрудники ДОЛЖНЫ войти в компьютер ДО того, как они покинут офис или покинут офис. удачи.

Их забвение того, что им сказали, не является причиной для вас, чтобы паниковать. Им не два года. Они взрослые, которые могут понять и следовать инструкциям. Я предполагаю.

ОБНОВЛЕНИЕ: Предлагаемый процесс и магический обход

Предлагаемый процесс

Вариант 1: Храните все ноутбуки ссудополучателя в своем офисе, на своем техническом столе и т. Д. Когда люди приходят, чтобы проверить их у вас, попросите их войти в систему, прежде чем они уйдут. Бонус: вы знаете, что ноутбук работает.

Вариант 2: Дайте генеральному директору собственный ноутбук для своего единственного компьютера. Тогда они уже вошли в систему.

Волшебный обходной путь

Не просто отдать это. Сохраняйте его в те времена, когда вам действительно нужно сэкономить бекон или набрать кусочки пирожных и использовать его только с осторожностью.

Установите какое-либо VPN-соединение, а затем настройте ОЧЕНЬ ограниченную локальную учетную запись на всех ноутбуках, которые ТОЛЬКО подключаются к доступному интернет-соединению и запускают VPN-соединение.

Вы можете сделать это таким образом, чтобы в этой ограниченной учетной записи даже не отображались значки панели задач или рабочего стола.

Когда VPN-соединение подключено, попросите удаленного пользователя, которому не нужно следовать инструкциям, нажать CTRL-ALT-DEL и выбрать «Изменить пароль». В этом диалоговом окне вы можете изменить пароли, кроме зарегистрированной учетной записи, просто введя домен \ имя пользователя учетной записи, которую вы хотите кэшировать. После того, как пользователь изменил пароль для своей учетной записи на этом компьютере, учетные данные будут кэшированы, и они смогут нормально входить в систему.

Есть еще небольшое наказание, потому что они должны были изменить свой пароль, но это, мы надеемся, должно послужить напоминанием, чтобы сделать все правильно в следующий раз.

0
amarnath chatterjee

Не обсуждаю, является ли это правильной практикой или нет. Но единственный способ кэширования учетных данных в Windows - это использование диспетчера учетных данных. Вы можете написать скрипт, используя инструмент командной строки "cmdkey", например так:

cmdkey /add:server01 /user:mikedan /pass:Kleo 
Но это не рекомендуется по соображениям безопасности, верно? mountainclimber 7 лет назад 0
Как я уже говорил ... не могу обсуждать его правильное и безопасное или нет ... По моему мнению, оценка безопасности требует более глубокого упражнения ... Если у вас есть компенсаторный контроль над использованием cmdkey, то это абсолютно нормально ... Диспетчер учетных данных окон безопасно хранить данные ... вы не можете восстановить пароль, используйте его только для подключения, например, для совместного использования файлов и принтеров и т. д. ... проблема безопасности связана только с тем, кто может \ должен использовать его amarnath chatterjee 7 лет назад 0

Похожие вопросы