我为一家高度分布式的 IT 咨询公司工作,该公司在不同的客户站点随时都有大约 150 名用户。随着公司的发展,我们需要能够远程禁用用户对公司笔记本电脑的访问。是否有某种东西可以在 Active Directory 中禁用该用户的帐户后阻止该用户登录笔记本电脑。正如我所解释的那样,答案基本上是“在与 AD 建立通信之前不行。”无论是通过 VPN 还是他们来到我们的一个主要分支机构。这是正确的吗?是否有任何第三方应用程序可以实现这一点?我个人无法想出在没有最低活动网络连接要求的情况下可以做到这一点的情况。
答案1
当远程办公或在家办公的员工辞职或被解雇时,我们也遇到了同样的问题。
我们的解决方案基本上是假设,由于他们可以物理访问笔记本电脑,因此尝试远程禁用他们的帐户是没有意义的(简单的启动 CD 就可以再次访问硬盘)。相反,我们只是删除对我们网络的所有远程访问(VPN、AD 帐户),这样他们就无法再访问受保护的资源。
答案2
我们公司也遇到过类似的情况。
你基本上有两个选择:
- 等待本地缓存过期,登录将停止工作。需要几天时间。注册表中可能甚至有一个设置,但我们到目前为止还没有费心去寻找它。一旦发生这种情况,并且没有本地用户帐户(用户知道其密码),笔记本电脑/台式机对该人来说实际上就变得毫无用处了。
- 将 VPN 配置为作为服务启动。在这种情况下,VPN 连接在登录屏幕出现之前建立,禁用帐户会立即导致登录失败。一旦发生这种情况,本地缓存也会处于该状态,然后您可以禁用 VPN 凭据。
显然,第二种选择确实需要一些准备,而您的问题听起来好像您没有这个选择。
答案3
您完全关闭 Windows 中的密码缓存,但这要求他们能够在登录之前访问网络。
答案4
我猜想远程人员需要尽快被拒绝访问公司和/或客户文件,这表明信任系统中的某些东西已经崩溃。由于他们是 IT 顾问,我希望他们至少知道他们可以完全访问计算机的许多方法中的一些。如果不能信任他们处理计算机上的信息,我认为他们也不能被信任是乖孩子,不会简单地破解系统,这会让整个过程变得毫无意义。
计算机访问的黄金法则:拥有计算机物理访问权限的人可能有权访问该计算机上的内容。在这种情况下,加密驱动器是您唯一的希望。