有没有办法设置 AD 组策略来限制域控制器不可用(无法访问)时的登录次数?我公司有 50 台笔记本电脑,它们是域成员,旨在用于在家办公。问题是用户通常不会长时间将笔记本电脑带到工作场所(为了连接到 LAN 来更新组策略、一些自定义软件等),这可能会导致一些安全问题。因此,我正在寻找一些组策略设置来限制 DC 不可用时的登录次数(或根据未与 DC 通信的天数来限制使用量)。有没有办法,或者也许一些第三方软件可以做到这一点?
答案1
我找不到可以自动使缓存凭据过期的组策略。但是,他们可以可以相当轻松地从注册表中手动删除(稍后我将添加确切位置)。不知道有任何现有工具,但这可以使用自定义启动脚本(本身通过 GPO 部署)来完成。
或者,您可以使用 Windows 防火墙中的内置 IPsec 支持设置“始终在线”的 IKEv2 VPN,仅用于访问域控制器。