我在一家高度分布的基于IT的咨询公司工作,在任何特定时间,在不同的客户站点有大约150名用户。 随着我们的发展,我们需要能够远程禁止用户访问公司笔记本电脑。 在Active Directory中禁用帐户后,是否有防止该用户login到笔记本电脑的内容? 正如我已经解释过的,答案基本上是“直到与公元的沟通已经确立”。 要么通过VPN,要么来到我们的主要分支之一。 它是否正确? 有没有任何第三方的应用程序可以促成这一点? 我个人无法解决这种情况,即在没有主动networking连接的最低要求的情况下可以这样做。
我们遇到了同样的问题,我们的远程工作,在家里的工作人员,当有人退出或放手。
我们的解决scheme基本上假设,因为他们有物理访问笔记本电脑,试图远程禁用他们的帐户没有意义(一个简单的启动CD可以再次访问硬盘驱动器)。 相反,我们只是删除所有远程访问我们的networking(VPN,AD帐户),使他们不能再访问受保护的资源。
我们公司内部也有类似的情况。
你基本上有两个select:
显然,第二个选项需要一些准备,你的问题听起来像你没有这个选项。
您可以完全closuresWindows中的密码caching,但这需要他们能够在login之前访问networking。
closures密码caching
将所有内容安装在encryption的分区上,该分区必须通过networking以authentication的方式访问密钥,从而使分区可读。 事实上这当然会很复杂。
然后,您可以随时撤消身份validation,或者阻止该请求。
我猜测,远程人员需要尽可能快地拒绝访问公司和/或客户端文件,这表明信任系统中的某些东西已经崩溃。 因为这些是IT顾问,所以我希望他们至less知道他们能够完全访问计算机的许多方法中的一些。 如果他们不能信任电脑上的信息,我会build议他们也不能相信自己是个好孩子,而不是简单地破解系统,这使得整个练习变得毫无意义。
计算机访问的黄金法则:有权访问计算机的人有权访问计算机上的内容。 在这种情况下,encryption驱动器是您唯一的希望。
最简洁的答案是不。” 原因是,如果没有与你方的某种接口进行通信来告诉计算机用户的状态有变化,计算机就不知道要执行这个动作。 即使如此,正如John Gardeniers所指出的那样,如果他们有实际的访问权限,他们仍然可以访问计算机的内容。 微软列表中的安全规则之一是适用的(释义)“如果我有物理访问你的计算机,这不是你的电脑了。
一个常见的技术,如果用户具有pipe理权限,只是简单地创build一个本地用户帐户。 如果他们没有pipe理员权限,仍然有一些技巧可以将权限升级到pipe理级别的用户,然后创build后续的用户帐户。 然后,所有其他停止访问的技术都被绕过。 这说明了安全原则。