他们通常通过 VPN 连接到我们的网络。目前笔记本电脑上只有(受密码保护的)管理员帐户和他们的域用户帐户。这里使用的是 Windows 7 和 Server 2008R2。
我想更改他们的密码或禁用/锁定他们的帐户并让其立即生效,以便他们根本无法访问我们的域,也无法访问笔记本电脑上的任何文件。
如果他们已经登录,是否必须先注销?如果他们未登录 VPN,那么如果他们在未连接到任何网络的情况下登录,计算机是否只会保存他们之前的密码/凭据?
还有其他方法可以做我想做的事吗?
答案1
如果他们没有通过 VPN 连接,您就无能为力了。从您的角度来看,该机器处于离线状态,缓存的凭据对他们仍然有效。您可以禁用他们的帐户以阻止 VPN 连接,但这样您将永远无法控制该机器。
一个选项是让他们连接,或者指示他们连接(如果从法律角度来说你有这个选项的话),然后锁定他们。但是除非你使用 BitLocker 之类的东西,否则他们仍然可以移除磁盘并获取数据。
但最好的选择可能是让人力资源/法律部门打电话给他们,提醒他们有关公司数据和资产的义务,如果他们不立即遵守,将以盗窃罪起诉他们。为他们提供一种将笔记本电脑寄回给您的方法,而无需他们支付邮费或包装费(例如 FedEx 取件)。
答案2
在 SuperUser 问题中提到了几种强制注销的方法强制用户注销 Windows 7 脚本。
还有shutdown /l /f出色的 SysInternals 套件具有关机。
从机器中删除缓存的凭据非常重要。关于这一点有很多疑问,但我还没有明确的答案或实验室来测试这一点。查找https://serverfault.com/search?q=cached+credentials
另外,我认为这是更好的解决方案,但需要预先规划,您可以删除硬盘驱动器的加密密钥,然后强制关闭机器。用乱码覆盖加密密钥部分将阻止用户再次启动机器以读取任何内容。此外,如果您保留密钥的副本,您仍然可以访问驱动器上的任何内容,除非他们通过启动盘覆盖它。