在我曾经工作过的一家公司,他们拥有一些高端多功能松下数码复印机(传真机/扫描仪/打印机/复印机等),大约 150 名员工使用。
出于某种原因,尽管工作人员必须使用自己的 AD 凭据登录,但复印机实际上在某种程度上由 Active Directory 中的单个底层用户帐户进行了身份验证。
用户登录失败将被视为所有 Panasonic 复印机的共享 AD 帐户登录失败,而不是单个用户的个人 AD 帐户登录失败。共享 AD 帐户被锁定之前的限制(在域级别)设置为仅五个。
可以预见的是,每天多次,某人会连续五次输入错误的凭据(或者在其 PC 上更改密码后使用带有缓存凭据的身份证),导致所有用户都被锁定在所有复印机上,直到 IT 主管在 Active Directory 中解除对共享帐户的阻止。
为什么公司要使用共享的 Active Directory 帐户来验证复印机,而不是将其配置为当设备登录尝试失败时仅锁定个人有问题的用户?
答案1
我目前就职的公司使用一系列打印机登录名,并按大楼内的每个区域提供这些登录名。他们这样做而不是使用个人 PIN 码,只是为了避免管理这个问题的麻烦,并减少 PIN 码重置,因为很多人都知道这一点。
我怀疑出于类似的原因,会采用通用的单点登录,但他们为什么要设置 5 次尝试的上限,这似乎很荒谬。尤其是如果公司中有超过 30 名员工。还不如直接把 PIN 写在复印机上。