как кэшировать учетные данные в Windows

2

Я программист и специалист по финансам, который неохотно отвечает за информационные технологии, а также среди других более подходящих отделов нашей фирмы из восьми человек. Я очень плохо знаком с IT, поэтому, пожалуйста, потерпите меня и предположите, что я знаю очень мало.

У нас есть ограниченное количество ноутбуков для совместного использования / отдыха, которые часто торгуют руками. Несмотря на мое руководство, сотрудники взлетают с ноутбуком, который не кэширует свои учетные данные, поэтому они не могут войти в систему. (Я пытаюсь заставить их войти, прежде чем они отправятся!)

Как я могу кэшировать все учетные данные на каждом из путешествующих ноутбуков? И это мудрый? Приветствуются предложения альтернативных (бесплатных) решений, которые решают эту проблему по-другому.

Ноутбук: Windows 7 без прав локального администратора, Сервер: Windows 2008 R2

mountainclimber
источник
1
Получите их, чтобы войти, прежде чем уйти из сети с ноутбуком.
schroeder
Шредер - заметка «Несмотря на мое руководство» часть моего вопроса. Я попробую! Я добавил разъяснения по этому вопросу в своем вопросе.
mountainclimber
Кроме того, где я должен публиковать подобные вопросы? Я вижу, вы перенесли мой вопрос.
mountainclimber
1
Отметил, и я согласен; однако, это сложно, когда ваш генеральный директор во время праздников нуждается в помощи.
mountainclimber
1
Как настраивать или выполнять задачи в конкретной ОС, как правило, вопрос типа SuperUser.
schroeder

Ответы:

4

Ответ: Нет.

Как упоминает Шредер в своем комментарии, для этого необходимо, чтобы сотрудники входили в компьютер, пока он еще подключен в офисе.

В групповой политике можно настроить параметр, который сообщает компьютеру, сколько учетных данных он может отозвать, что позволяет одному или двум сотрудникам войти в систему на компьютере в офисе, а затем вывести компьютер из офиса и при этом быть в состоянии войти, но даже это имеет свои пределы.

Проблема с тем, что вы запрашиваете, заключается в том, что вы, по сути, попросите компьютер сохранить копию аутентификации для всех учетных записей пользователей в домене и запросить любую обновленную информацию об этих учетных записях пользователей, такую ​​как измененные пароли или имена или разрешения, когда бы они ни менялись.

Во-первых, это нецелесообразно, потому что ноутбуки должны быть все равно подключены к домену, чтобы получить эту информацию, и почему пользователь-заемщик просто не может войти в систему, прежде чем уйти, во-вторых, это крайне небезопасно.

Если компьютер, запомнивший информацию об одной учетной записи, покидает офис и похищается, вы сбрасываете информацию об этой одной учетной записи. Но если у вас есть ВСЕ сведения для ВСЕХ учетных записей домена на этом ноутбуке, у вас возникнут проблемы, записанные с большой буквы «Т».

В рамках вашей новой роли вы также являетесь исполнителем, и правила должны быть как для безопасности информации компании, так и для вашего здравого смысла, что сотрудники ДОЛЖНЫ войти в компьютер ДО того, как они покинут офис или покинут офис. удачи.

То, что они забыли то, что им сказали, не является причиной для паники. Им не два года. Они взрослые, которые могут понять и следовать инструкциям. Я предполагаю.

ОБНОВЛЕНИЕ: Предлагаемый процесс & amp; Волшебный обходной путь

Предлагаемый процесс

Вариант 1: Храните все ноутбуки ссудополучателя в своем офисе, на своем техническом столе и т. Д. Когда люди приходят, чтобы проверить их у вас, попросите их войти в систему, прежде чем они уйдут. Бонус: вы знаете, что ноутбук работает.

Вариант 2: Дайте генеральному директору ноутбук для их единственного компьютера Тогда они уже вошли в систему.

Волшебный обходной путь

Не просто отдать это. Сохраняйте его в те времена, когда вам действительно нужно сэкономить бекон или набрать кусочки пирожных и использовать его только с осторожностью.

Установите какое-либо VPN-соединение, а затем настройте ОЧЕНЬ ограниченную локальную учетную запись на всех ноутбуках, которые ТОЛЬКО подключаются к доступному интернет-соединению и запускают VPN-соединение.

Вы можете сделать это таким образом, чтобы в этой ограниченной учетной записи даже не отображались значки панели задач или рабочего стола.

Как только VPN-соединение подключено, попросите удаленного пользователя, который не может следовать инструкциям, нажать CTRL-ALT-DEL и выбрать «Сменить пароль». В этом диалоговом окне вы можете изменить пароли, кроме зарегистрированной учетной записи, просто введя домен \ имя пользователя учетной записи, которую вы хотите кэшировать. После того, как пользователь изменил пароль для своей учетной записи на этом компьютере, учетные данные будут кэшированы, и они смогут нормально входить в систему.

Есть еще небольшое наказание, потому что они должны были изменить свой пароль, но это, мы надеемся, должно послужить напоминанием, чтобы сделать все правильно в следующий раз

music2myear
источник
0

Не обсуждаю, является ли это правильной практикой или нет. Но единственный способ кэширования учетных данных в Windows - это использование диспетчера учетных данных. Вы можете написать скрипт, используя инструмент командной строки "cmdkey", например так:

cmdkey /add:server01 /user:mikedan /pass:Kleo
amarnath chatterjee
источник
Но это не рекомендуется по соображениям безопасности, верно?
mountainclimber
Как я уже упоминал ... не могу обсуждать его правильное и безопасное или нет ... По моему мнению, оценка безопасности требует более глубоких упражнений ... Если у вас есть компенсаторный контроль над использованием cmdkey, то это абсолютно нормально ... Диспетчер учетных данных окон безопасно хранить данные ... вы не можете восстановить пароль, используйте его только для подключения, например, для совместного использования файлов и принтеров и т. д. ... проблема безопасности связана только с тем, кто может \ должен использовать его
amarnath chatterjee