A forma como resolvi isso (e não estou dizendo que isso é "padrão da indústria" ou "melhor prática") foi criar uma única conta que eles poderiam usar (como uma conta de serviço), colocá-la em um grupo criado apenas para isso (e usado no NPS para correspondência de diretivas), torne esse grupo o principal e remova-o dos Usuários do Domínio. Dessa forma, mesmo que alguém conseguisse obter a senha, eles só teriam acesso a qualquer coisa usando "Usuários Autenticados", que nós não usamos de forma alguma.
No caso de verificarmos que a conta foi comprometida, basta criar uma nova conta com uma nova senha, alterar o arquivo de configuração de inicialização do telefone e, assim que todos os telefones tiverem as novas configurações, eliminar a conta antiga. / p>
Quanto ao uso de um banco de dados de usuários não-Active Directory, isso pode ser feito, mas você teria que adicionar um servidor RADIUS não-NPS. Eu tentei por muito tempo conseguir um servidor Ubuntu com FreeRadius para fazer isso, mas acabou demorando muito para aprender como integrá-lo corretamente, então voltei para o NPS. O NPS tem uma maneira de especificar que, para determinados critérios, ele deve passar a solicitação para um servidor RADIUS externo, então é definitivamente possível.