題 如何在Windows上緩存憑據


我是一名程序員和財務人員,在我們的八人公司中,不情願地負責IT,以及任何其他更合適的部門。我對IT很陌生,所以請耐心等待,並假設我知之甚少。

我們擁有數量有限的共享/度假筆記本電腦,可以進行大量交易。儘管我提供了指導,員工仍然使用沒有緩存憑據的筆記本電腦,因此無法登錄。 (我試著讓他們在出發前登錄!)

如何將所有憑據緩存到每個旅行筆記本電腦?這是明智的嗎?建議歡迎以不同方式解決此問題的替代(免費)解決方案。

筆記本電腦:沒有本地管理員權限的Windows 7 服務器:Windows 2008 R2


2
2017-12-22 21:53


起源


讓他們登錄,然後使用筆記本電腦離開網絡。 - schroeder
schroeder - 注意“儘管我的指導”是我的問題的一部分。我試試!我在我的問題中補充說明了這一點。 - mountainclimber
另外,我應該在哪裡發布這樣的問題?我看到你遷移了我的問題。 - mountainclimber
注意到,我同意;然而,如果您在假期期間擔任首席執行官且需要幫助,那就很難了。 - mountainclimber
如何在特定操作系統中配置或完成任務往往更像是一個超級用戶類型的問題。 - schroeder


答案:


答案:沒有。

正如施羅德在評論中提到的那樣,要做到這一點的方法是要求員工在辦公室仍然連接時登錄計算機。

可以在組策略中配置一個設置,告訴計算機它可以調用多少憑據,這允許一個或兩個或三個人員登錄到辦公室中的計算機,然後將計算機帶出辦公室,仍然是能夠登錄,但即使這有其限制。

您要求的問題是,您實際上要求計算機保留域中所有用戶帳戶的身份驗證副本,並要求提供有關此用戶帳戶的任何更新信息,例如更改的密碼或名稱或權限,只要它發生變化。

首先這是不切實際的,因為無論如何筆記本電腦必須連接到域才能獲得這些信息,為什麼借用用戶在他們離開之前不會登錄,其次是高度不安全。

如果記住一個帳戶信息的計算機離開辦公室並被盜,則重置該帳戶的信息。但是,如果您擁有該筆記本電腦上所有域帳戶的所有信息,則會遇到問題,拼寫為大寫字母“T”。

作為新角色的一部分,您也是執行者,並且規則必須是,為了公司信息的安全性和您的理智,工作人員必須在他們離開辦公室之前登錄到計算機或他們不在運氣。

他們忘記了他們被告知的事情,你沒有理由不得不恐慌。他們不是兩歲的孩子。他們是能夠理解並遵循指示的成年人。我假設。

更新:建議的流程和魔術解決方法

建議的過程

選項1:將所有借用的筆記本電腦放在辦公室,技術台等處。當人們前來檢查時,讓他們在離開前登錄。額外收益:您知道筆記本電腦正在運行。

選項2:為首席執行官提供他們自己的筆記本電腦,用於唯一的計算機。然後他們已經登錄了。

魔術解決方案

不要只是把這個拿走。保留它,你真的需要一個培根保存或布朗尼點積累,並只是謹慎使用它。

設置某種VPN連接,然後在僅連接到可用Internet連接並觸發VPN連接的所有筆記本電腦上配置非常有限的本地帳戶。

您可以這樣做,即使任務欄或桌面圖標都不會顯示在此有限帳戶中

連接VPN後,如果遠程用戶無法按照說明操作,請按CTRL-ALT-DEL並選擇更改密碼。在此對話框中,您只需輸入要緩存的帳戶的域\用戶名,即可更改密碼BESIDES登錄帳戶。一旦用戶在此計算機上更改了自己帳戶的密碼,帳戶憑據將被緩存,並且他們將能夠正常登錄。

還有一點點懲罰,因為他們必須更改密碼,但這應該有助於提醒下次以正確的方式做事。


4
2017-12-22 22:09





沒有辯論是否正確的做法。但在Windows中緩存憑據的唯一方法是使用憑據管理器。您可以使用命令行工具“cmdkey”編寫腳本,如下所示:

cmdkey /add:server01 /user:mikedan /pass:Kleo

0
2017-12-23 05:27



但出於安全考慮,這不可取,對吧? - mountainclimber
正如我所提到的......無法辯論它的正確性和安全性......在我看來,安全評估需要更深入的練習......如果你有圍繞cmdkey使用的補償性控制那麼它絕對沒問題...... windows的憑證管理器在存儲數據方面是安全的...你無法檢索密碼,只能用它來連接文件和打印機共享等...安全問題只能圍繞誰應該使用它 - amarnath chatterjee