Desbloquear um usuário do anúncio em um notebook desconectado do AD

Navegue suas respostas
0

meus colegas e eu estamos enfrentando um problema concreto com um usuário em uma viagem de negócios. Eu tento descrevê-lo o mais genérico possível para cumprir as políticas do superusuário. Infelizmente, não consegui encontrar o meu cenário documentado de qualquer forma no googling depois de 1 hora em inglês e alemão.

O cenário é o seguinte:

  • Um usuário (pessoa) está em uma viagem de negócios (fora da empresa) e bloqueado sua conta de usuário AD em seu notebook, digitando credenciais erradas três vezes seguidas. O usuário usa apenas a conta do AD em seu notebook. Ele não tem outra conta local.
  • O usuário (pessoa) sabe a senha atual correta, que foi definida com o dito caderno quando ele estava no site. A senha pode ser usada com sucesso para outros serviços.
  • Nossos controladores AD estão disponíveis localmente somente por LAN
  • O usuário (pessoa) não tem nenhum meio de VPN para conectar "casa" ao escritório.
  • O usuário agora não pode efetuar login no seu caderno.

Informações técnicas:

  • O AD é baseado no Win 2008 R2
  • O notebook é o Win7 Enterprise
  • Os perfis de usuário são armazenados localmente, mas ainda são perfis do AD, não usuários locais.

As possíveis soluções que pensamos levaram a bloqueios de estradas de algum tipo:

  • Atribuindo a senha de administrador local: permitiria que ele acessasse o computador, mas não a conta dele com o E-mail etc., ele também não conseguiria desbloquear seu perfil por meio do logon administrativo, pois as contas do AD não podem ser gerenciadas por meio de lusrmgr.msc.
  • Configurar uma VPN para ele não é possível, porque isso requer um Token físico que ele não tem
  • poderíamos fornecer a senha do administrador e instruí-lo a configurar uma solução remota, como o TeamViewer, mas o que faríamos na máquina?

Para o futuro, mudaremos nossas políticas de PW (que têm décadas) para uma abordagem de práticas recomendadas mais atualizada (elevando o limite de entrada incorreto para 50 minutos, etc.) para evitar situações como esta, mas o cenário acima ainda é real e eu gostaria de resolvê-lo de alguma forma.

Obrigado pela sua contribuição antecipadamente, muito apreciado.

    
por modmatt 27.04.2016 / 10:00

1 resposta

0

na minha empresa, enfrentamos o mesmo cenário e o que fizemos foi que nossa equipe do sistema desbloqueou a conta da AD link

e o usuário fez login usando o administrador local e acessou o OWA para os e-mails

    
por 28.04.2016 / 06:21

Tags

At está agendando o trabalho mas não executando os comandos sob ele Remover malware de anúncios do Chrome