我想build立一个join域的计算机进行无密码login与一些特定于该计算机的低特权域帐户。 我已经看到了一些博客文章,用户名和密码存储在一个registry项中,但我也认为没有PIN的虚拟智能卡也可以工作。 configuration无PIN的智能卡有效吗?
由于TPM几乎总是作为双因素authentication使用,所以甚至想要使用没有PIN的智能卡是非常不寻常的,但是在这种情况下我可以使用1因素authentication。
目前还不完全清楚你真正想要什么,但根据评论中的说明,你最好限制用户何时可以使用类似login时间login电脑的限制。 这听起来像是你更有兴趣在一定时间后(例如当智能卡被移除时)阻止login到盒子,而不是从智能卡本身获得安全好处。 鉴于login的用户已经拥有pipe理权限,智能卡不会提供任何额外的安全保证。
您也可以考虑按照某个时间表(夜间,每周等)自动对该盒子进行成像,以清除可能出现的任何恶意软件或不良情况。