Имеет ли смысл работа под локальной учёткой с компа введённого в AD?
Возможно ли включить компьютер в active directory, но работать под локальным пользователем?
Возможно эта ситуация несколько безумна. Пользователи работают за ноутбуками, в качестве пароля они привыкли к простым 4 цифреным паролям. Если сказать им использовать длинные пароли, да ещё и менять их, то всё кончится бумажками на ноуте. Поэтому родилась идея использовать локального пользователя как pin код. А все дальнейшие авторизации осуществлять через AD. Насколько безумна эта идея?
моя идея в том, что неудобно на ноуте/виндоус планшете длинный и сложный пароль. хочется разделить важные сервисы сложным паролем, а то, где пароль вводится каждый день по несколько раз - простым паролем.
Смысла не имеет. Войдя под локальной учеткой пользователь не получает никаких доменных авторизаций (прозрачная аутентификация через SSO есть только в домене ), не получает доменных политик.
Т.е., разрешая пользователям логиниться локальными юзерами, вы возвращаетесь на уровень рабочей группы.
Запретить через GPO локальный вход на компьютер - первое что надо делать в домене.