他们通常通过VPN连接到我们的networking。 现在在笔记本电脑上只有(密码保护的)pipe理员帐户和他们的域用户帐户。 Windows 7和Server 2008R2在这里使用。
我想改变他们的密码或禁用/locking他们的帐户,并立即生效,以便他们根本无法进入我们的域名,或者到达笔记本电脑上的任何文件。
如果他们已经login了,他们是否必须先登出? 如果他们没有login到VPN,那么当没有连接到任何networking时,如果他们login,计算机不会保存以前的密码/凭证吗?
还有另一种方法去做我想做的事情吗?
如果他们没有通过VPN连接,那么你无能为力。 从您的angular度来看,该机器处于脱机状态,并且caching的凭据仍然适用于他们。 您可以禁用他们的帐户来阻止VPN连接,但是您将永远无法控制机器。
一种select是让他们连接,或者如果你从法律angular度有这个select,就指示他们连接,然后locking他们。 但是他们仍然可以删除磁盘并获取数据,除非您使用的是BitLocker之类的东西。
但你最好的select可能是由人力资源部门/法律部门打电话给他们,提醒他们在公司数据和资产方面的义务,以及如果他们不立即遵守的话,他们的生病执法。 为他们提供一种方法,将笔记本电脑发回给您,而无需为邮资或包装付费(如联邦快递取件)。
有几种方法可以强制SuperUser问题中提到的有关Windows 7的强制用户注销脚本中提到的注销 。
还有shutdown /l /f ,梦幻般的SysInternals套件有PsShutdown 。
从机器中删除caching的凭据将是非常重要的。 关于这个有很多问题,但我还没有一个明确的答案或实验室来testing这个。 寻找https://serverfault.com/search?q=cached+credentials
另外,我认为这是一个更好的解决scheme,但它需要预先计划,你可以抹去硬盘的encryption密钥,然后强制关机。 使用乱码对encryption密钥部分进行写操作将会阻止用户每次启动机器再次读取任何内容。 此外,如果您保留密钥的副本,则仍然可以访问驱动器上的任何内容,除非它们被引导程序覆盖。