我需要改进拥有 50 多台计算机的客户支持站点的帐户管理(使用 Active Directory)。
默认的“AD”方式是为每个用户提供自己的帐户。这会增加大量的管理工作,包括添加/禁用/启用用户帐户。
为了避免这种情况,主管人员已开始使用共享的“通用”帐户等domain\callcenter2,我不喜欢每个人都知道并共享帐户和密码的想法。
我们理想的解决方案是创建一个计算机组,不需要用户登录。也就是说,用户只需启动计算机即可。
- 我是否应该使用单个用户帐户配置自动登录
domain\agentAccount? - 如果我对所有用户使用同一个帐户,还需要考虑其他什么吗?
- 如何使用 GPO 在组上配置实际自动登录?有没有不使用第三方插件的“微软方式”?
或者有更好的解决办法吗?
答案1
您可以通过设置以下注册表项在每台计算机上配置自动登录:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName
(例如域\用户名)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword
明文密码
您可以使用组策略首选项进行配置。但是,存在两个明显的安全风险 - 首先,纯文本密码;其次,由于有自动登录,您可能还会让每个人都知道密码。
共享用户帐户存在一些技术问题,例如用户定制、个人资料等。然而,最大的问题是责任。
对我来说,这感觉就像是利用技术解决社会问题的经典案例。你需要向上层传达信息,并设计一个可接受的使用政策,规定以下内容:
- 所有用户必须使用自己的用户帐户
- 任何用户都不应泄露其密码
- 用户在不使用时必须注销或锁定工作站
每家公司都设法让人们使用自己的用户帐户和密码,您也不例外。