我的团队正在一所小型研究生院构建一个 Active Directory 环境,支持通用计算机实验室以及教职员工机器和帐户管理。
我们聘请了一支学生顾问团队,负责一般的帮助台工作。目前,我们在每台机器上都有一个本地管理员帐户。它有相同的密码,我们都知道。我知道这不是最佳实践,我想通过新设置避免这种情况。我们希望有本地管理员帐户,以防网络问题阻碍 AD 身份验证,但我们不希望此帐户是通用的,使用共享密码。有没有办法让每台机器缓存必要的信息来验证一组本地管理员,这样如果 AD 因某种原因无法访问,学生顾问仍然可以使用他们的 AD 管理员帐户登录?
答案1
我过去曾在这种环境中工作过,那里的机器最多有 20,000 名学生用户,我们甚至从未将管理权限授予安装系统的全职技术人员,而且我们从未想过授予学生管理权限,因为存在在工作时间之外在实验室中发现 Doom/Quake/Minecraft LAN 聚会的风险。
如果您使用某种部署技术重新安装系统,技术人员只需几分钟即可重新安装 PC。让某人重新映像系统比让某人登录来诊断/纠正问题要高效得多。无需管理员权限,因为部署可以处理每一个部署流程的一部分。
如果是硬件问题,如果您使用基于网络的部署方法,这个问题会在几分钟内显现出来,此时技术人员/学生只需将 PC 换成备用电脑,诊断并修复硬件问题,然后将这台机器作为新的备用电脑。
据我所知,您所描述的网络问题非常罕见,而且通常是由于硬件故障而不是软件故障,同样不需要管理员权限。
答案2
在域中启用缓存凭据,并为本地帐户创建密码重置磁盘。我认为,如果您的整个域消失,您将忙于处理其他问题,没有网络连接,用户还能完成什么工作?假设他们的凭据没有缓存,您会让他们都以管理员身份登录吗?
答案3
一旦 Active Directory 到位,它将不仅仅用于本地管理员访问,因此通过在环境中拥有多个域控制器来提高 AD 服务的可用性将更加有效。为了节省资源,您可以将一个 DC 保留为物理 DC,将其他 DC 保留在虚拟环境中。
答案4
有后门是好事。你可以做一些事情。
1. 应急管理
您可以使用 GPO 在每台计算机上创建紧急用户。这样,所有计算机上的密码都相同,但每月左右更改一次密码非常容易。
您可以在以下位置执行此操作:
计算机配置->首选项->控制面板设置->本地用户和组。
确保将密码设置为“永不过期”,并且不要使用“用户必须在下次登录时更改密码”。您也可以通过 GPO 将用户添加到本地管理员组。您可以在以下位置找到它:
计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 受限组
2. 修改密码脚本
您可以为每台计算机定义一个启动脚本,将密码更改为随机值并将密码写入网络上的(安全)位置。
您可以下载我在博客中写的脚本:http://zeda.nl/b05