没有密码共享的广告本地管理员

Question

我的团队正在一所小型研究生院建立一个Active Directory环境，并为普通计算机实验室、员工/教员机器和帐户管理提供支持。

我们有一组学生顾问，他们被雇来做一般的服务台工作。到目前为止，我们在每台机器上都有一个本地管理帐户。它的密码是一样的，我们都知道。我知道这不是最佳实践，我想通过新的设置来避免这种情况。我们希望拥有本地管理帐户，以防出现妨碍AD身份验证的网络问题，但我们不希望该帐户具有共享密码。有没有办法让每台机器缓存必要的信息来验证一组本地管理员，以便如果AD无法访问，学生顾问仍然可以使用他们的AD管理帐户登录？

Answer 1

我曾经在这样的环境中工作过，在这个环境中，机器有多达2万名学生用户，我们甚至从来没有给予我们的全职技术人员安装系统的管理权限，我们也从未想过给学生管理员权限，因为在工作时间以外的实验室里可能会有找到Doom/Quake/Min克拉夫特局域网派对的风险。

如果您正在使用一些部署技术来重新安装系统，那么重新安装PC只需要几分钟的技术人员时间。让人重新映像系统比让人登录来诊断/纠正问题要有效得多。不需要管理权限，因为部署可以处理部署过程的每个部分。

如果这是一个硬件问题，如果您正在使用基于网络的部署方法，这将在几分钟内显示出来，此时技术人员/学生只需将PC换成备用设备，然后诊断和修复硬件问题，然后再将这台机器作为新的备用设备。

您所描述的网络问题在我的经验中是非常罕见的，通常是硬件故障而不是软件故障，同样，不需要管理员权限。

Answer 2

在域中启用缓存凭据，并为本地帐户创建密码重置磁盘。但是，我认为如果您的整个域出现问题，您将忙于处理其他问题，用户在没有网络连接的情况下完成了哪些工作？假设他们的凭据没有缓存，你会让他们作为管理员登录吗？

Answer 3

一旦Active到位，它将不仅仅用于本地管理访问，因此通过在环境中拥有多个域控制器来获得更高可用性的AD服务将更有成效。为了节省资源，您可以在虚拟环境中保留一个DC作为物理，另一个作为物理。