我正在尝试为本地公司网络设置一个域,有些用户将笔记本电脑带回家。我的问题是他们可以同时使用本地和域帐户吗?例如,在家里他们使用本地帐户,在工作中使用域帐户。我不想搞砸他们的本地帐户。我打算使用 Forensit 将他们的本地帐户迁移到域。
答案1
将计算机加入 AD 域根本不会禁用本地帐户。它隐藏角落中的“用户列表”(可通过 GPO 重新启用),但始终可以通过指定.
(点)作为域将本地帐户名称输入到“用户名”字段中。例如,.\Fred
表示本地帐户“Fred”。
但使用本地账户通常毫无意义,因为 Windows 默认会缓存凭证验证程序,因此如果域用户之前曾登录过某台机器,他们将继续能够登录即使机器无法联系 DC。(我认为验证器(又称“缓存凭据”)的存储时间为 30 天?可通过 GPO 进行调整。)
(此外,如果你的用户将笔记本电脑带去工作那么他们大概会连接到公司的 VPN,这应该允许 Windows 重新进行身份验证并延长缓存凭据的有效期,因此就没有必要每周都把笔记本电脑带回来了。)
另一方面,使用本地帐户有很多缺点:
正如评论中指出的那样,它们将永远是两个分离帐户(它们不能共享配置文件目录;本地帐户的 SID 总是与任何域用户不同)。这意味着用户现在必须手动保持两者同步,这样他们才能完成任何工作。
由于两个配置文件不同,没有人会费心在帐户之间切换 - 如果他们有一个有效的本地帐户,他们会很乐意继续使用它,并且除了删除本地帐户之外,世界上没有任何力量可以强迫他们使用域帐户。
使用本地帐户也意味着“用户” GPO 将不起作用,只有机器 GPO 才适用。
本地帐户还意味着没有 AD SSO;用户必须为他们想要访问的每个网络服务器分别输入密码。(如果您强制密码过期,他们必须为每个服务器分别重新输入新密码。)许多从远程共享访问文件的应用程序不会触发密码提示,只会失败,直到用户手动访问共享并输入其凭据。
简而言之,您只是毫无理由地给用户增加了额外的工作。该计划可能比一开始没有 AD 更糟糕。