如果有一堆 Windows 机器将被远程和域外使用(首先),有没有办法从 Active Directory 预先同步用户名和密码,以便用户可以通过缓存凭据登录,而不必先使用域?
(我们在偏远地区有用户,并将机器运送给他们 - 并且讨论使用 Active Directory 及其域而不是本地凭据。这些机器最终通过蜂窝和 VPN 或通过 POTS 拨号进行连接,但最初不是,当然也不是在第一次登录时 - 它们通常必须先在断开连接的状态下工作。)
答案1
我不知道如何推送缓存的凭据,如果存在这样的方法,那就意味着“缓存”这个词的选择不正确。
那么在每台计算机出厂前安装 LogMeIn 或任何其他远程控制软件,并让每个用户在将其发送出去之前远程登录到他们的机器怎么样?
根据我的经验,最好的方法是不要将远程计算机加入域,而是在每台计算机上创建一个本地用户帐户和一个本地管理员帐户。IT 记录本地管理员密码并向用户提供本地用户密码。此方案最适合 VDI 和/或云服务。另一种解决方法是将预配置的硬件 VPN 端点与每台计算机一起发送,这样当用户登录时,每台计算机基本上都在 LAN 上。
在 100% 远程计算机上缓存凭据的一个大问题是,如果您有任何密码过期策略(您应该这样做),那么在第一次过期后,几乎不可能将缓存的凭据与当前凭据保持同步。最好的情况是最终用户感到困惑,最糟糕的情况是无法进行身份验证。
答案2
您不会想要推送缓存的凭据(就其本质而言,它本身无法推送),但是对于新部署,您可以运行一个部署后脚本,以用户身份登录(可能使用由任务序列使用正确凭据生成和设置的随机密码)。新的随机密码将被设置为过期并单独传输,以便它在用户连接到网络之前一直有效。