如果有一大堆的Windows机器可以远程使用,并且可以远程使用(起初),有没有一种方法可以将活动目录中的用户名和密码进行预处理,以便用户可以通过caching凭据进行login,而无需先使用域?
(我们有偏远地区的用户,并向他们交付机器 – 有关使用Active Directory及其域名的讨论,而不是本地证书,这些机器最终通过蜂窝和VPN或POTS拨号进行连接,但最初并不是首先login – 他们通常首先必须在断开状态下工作。)
我不知道有什么办法将caching的证书推出去,这意味着如果存在这样的方式,那么“caching”这个词的select就会很差。
在每台电脑上安装LogMeIn或任何其他远程控制软件,然后让每个用户远程login到他们的机器,然后再发送出去?
根据我的经验,最好的方法是不要将远程计算机join到域中,而是在每台计算机上创build本地用户帐户和本地pipe理员帐户。 ITlogging本地pipe理员密码,并为用户提供本地用户密码。 此场景最适合VDI和/或云服务。 另一个解决方法是用每台计算机发布预configuration的硬件VPN端点,以便每台计算机在用户login时基本位于LAN上。
在100%远程计算机上caching凭据的一个大问题是,如果你有任何密码过期策略(你应该这样做),在第一次到期之后,实际上不可能保持caching的凭证与当前的凭据同步。 最好的情况是terminal用户混淆,最糟糕的是无法进行身份validation。
您不希望推入caching的凭据(通过本质无法推送本身),但是您可以为新部署执行的操作是运行后部署脚本,以用户身份login(可能使用随机密码由任务序列使用适当的凭据生成和设置)。 新的随机密码将被设置为过期并单独发送,直到用户连接到networking才会生效。