Имеет ли смысл работа под локальной учёткой с компа введённого в AD?

Question

[LAG_LAGbI4]

Возможно ли включить компьютер в active directory, но работать под локальным пользователем?

Возможно эта ситуация несколько безумна. Пользователи работают за ноутбуками, в качестве пароля они привыкли к простым 4 цифреным паролям. Если сказать им использовать длинные пароли, да ещё и менять их, то всё кончится бумажками на ноуте. Поэтому родилась идея использовать локального пользователя как pin код. А все дальнейшие авторизации осуществлять через AD. Насколько безумна эта идея?

Answer 1

[liks]

Изменить длину пароля в AD

Comments

[LAG_LAGbI4]

от этого пострадает безопасность.

моя идея в том, что неудобно на ноуте/виндоус планшете длинный и сложный пароль. хочется разделить важные сервисы сложным паролем, а то, где пароль вводится каждый день по несколько раз - простым паролем.

[liks]

LAG_LAGbI4, имеете ввиду, что-бы к сетевым шарам коннект происходил с длинным паролем от AD, а вход у пользователей был с коротким паролем?

Answer 2

[kolossradosskiy]

Смысла не имеет. Войдя под локальной учеткой пользователь не получает никаких доменных авторизаций (прозрачная аутентификация через SSO есть только в домене ), не получает доменных политик.
Т.е., разрешая пользователям логиниться локальными юзерами, вы возвращаетесь на уровень рабочей группы.
Запретить через GPO локальный вход на компьютер - первое что надо делать в домене.