我们有一个 2012R2 域,并根据用户所在的团队为其配置了许多 GPO 设置。在不久的将来,我们将用新笔记本电脑替换现有的笔记本电脑,并迁移到 Windows 8.1 Enterprise。
我们的问题是,我们的一些用户在国外,不在公司网络上工作(例如在家工作)。我们希望将他们的新笔记本电脑寄给他们,这样他们就可以简单地打开包装,使用他们(现有的)域凭据立即开始使用。
但是,由于他们不在公司网络上,因此当他们第一次尝试登录时,他们的笔记本电脑无法连接到 Active Directory。如果该笔记本电脑上没有用户的域帐户或缓存该帐户,他们将收到“无可用登录服务器”的信息...
在我们的场景中,登录前设置 VPN 连接也是不可行的,因为笔记本电脑在登录前需要有活动的网络连接,但据我所知,WiFi 连接只能在登录后设置。对于我们的大多数用户来说,有线网络是不可能的……
目前,我们要求输入用户的密码(我知道……),当笔记本电脑仍在公司网络上时,我们使用该密码登录笔记本电脑,以便应用 GPO 和其他设置。接下来,我们关闭笔记本电脑并将其发送给用户,他可以使用该密码立即使用它,因为用户域帐户已在笔记本电脑上创建并缓存(不再需要联系 AD)。
然而,出于显而易见的原因,我们不再想询问用户密码。
有没有办法我们可以在笔记本电脑上创建用户的域帐户并应用所有 GPO 设置并缓存域凭据,而无需以该特定用户的身份实际登录计算机?(这样,即使笔记本电脑完全处于离线状态,用户也可以使用其域凭据登录)。
问候
答案1
如果您使用公共 VPN(所有用户都勾选 VPN),您可以在登录时连接到 VPN 服务器。选择此选项后,您还可以建立 WiFi 连接。这确实是此类场景的最佳选择。
答案2
我一直以来的做法是使用我的域管理员帐户登录新机器,设置 VPN,等待 GPO 和软件包(防病毒、远程管理代理)传播,然后发送给远程工作人员。
基本上,做你一直做的事情,只是使用你自己的账户。我知道 Windows 8 会很乐意允许在注销时连接到 Wi-Fi,因为 Microsoft 账户密码同步可供消费者使用。如果它不允许属于域的机器这样做,你应该能够通过 GPO 进行更改。