PC可以同时使用本地帐户和域帐户吗？

Question

将计算机加入 AD 域根本不会禁用本地帐户。它隐藏角落中的“用户列表”（可通过 GPO 重新启用），但始终可以通过指定.（点）作为域将本地帐户名称输入到“用户名”字段中。例如，.\Fred表示本地帐户“Fred”。

但使用本地账户通常毫无意义，因为 Windows 默认会缓存凭证验证程序，因此如果域用户之前曾登录过某台机器，他们将继续能够登录即使机器无法联系 DC。（我认为验证器（又称“缓存凭据”）的存储时间为 30 天？可通过 GPO 进行调整。）

（此外，如果你的用户将笔记本电脑带去工作那么他们大概会连接到公司的 VPN，这应该允许 Windows 重新进行身份验证并延长缓存凭据的有效期，因此就没有必要每周都把笔记本电脑带回来了。）

另一方面，使用本地帐户有很多缺点：

正如评论中指出的那样，它们将永远是两个分离帐户（它们不能共享配置文件目录；本地帐户的 SID 总是与任何域用户不同）。这意味着用户现在必须手动保持两者同步，这样他们才能完成任何工作。
由于两个配置文件不同，没有人会费心在帐户之间切换 - 如果他们有一个有效的本地帐户，他们会很乐意继续使用它，并且除了删除本地帐户之外，世界上没有任何力量可以强迫他们使用域帐户。
使用本地帐户也意味着“用户” GPO 将不起作用，只有机器 GPO 才适用。
本地帐户还意味着没有 AD SSO；用户必须为他们想要访问的每个网络服务器分别输入密码。（如果您强制密码过期，他们必须为每个服务器分别重新输入新密码。）许多从远程共享访问文件的应用程序不会触发密码提示，只会失败，直到用户手动访问共享并输入其凭据。

简而言之，您只是毫无理由地给用户增加了额外的工作。该计划可能比一开始没有 AD 更糟糕。

Answer 1

将计算机加入 AD 域根本不会禁用本地帐户。它隐藏角落中的“用户列表”（可通过 GPO 重新启用），但始终可以通过指定.（点）作为域将本地帐户名称输入到“用户名”字段中。例如，.\Fred表示本地帐户“Fred”。

但使用本地账户通常毫无意义，因为 Windows 默认会缓存凭证验证程序，因此如果域用户之前曾登录过某台机器，他们将继续能够登录即使机器无法联系 DC。（我认为验证器（又称“缓存凭据”）的存储时间为 30 天？可通过 GPO 进行调整。）

（此外，如果你的用户将笔记本电脑带去工作那么他们大概会连接到公司的 VPN，这应该允许 Windows 重新进行身份验证并延长缓存凭据的有效期，因此就没有必要每周都把笔记本电脑带回来了。）

另一方面，使用本地帐户有很多缺点：

正如评论中指出的那样，它们将永远是两个分离帐户（它们不能共享配置文件目录；本地帐户的 SID 总是与任何域用户不同）。这意味着用户现在必须手动保持两者同步，这样他们才能完成任何工作。
由于两个配置文件不同，没有人会费心在帐户之间切换 - 如果他们有一个有效的本地帐户，他们会很乐意继续使用它，并且除了删除本地帐户之外，世界上没有任何力量可以强迫他们使用域帐户。
使用本地帐户也意味着“用户” GPO 将不起作用，只有机器 GPO 才适用。
本地帐户还意味着没有 AD SSO；用户必须为他们想要访问的每个网络服务器分别输入密码。（如果您强制密码过期，他们必须为每个服务器分别重新输入新密码。）许多从远程共享访问文件的应用程序不会触发密码提示，只会失败，直到用户手动访问共享并输入其凭据。

简而言之，您只是毫无理由地给用户增加了额外的工作。该计划可能比一开始没有 AD 更糟糕。

相关内容