а на случай ноутов за пределами офиса есть локальные логины
Это не решение, т.к. для юзеров будет непримемлемо иметь два профиля -- они будут в них путаться и так далее, придётся иметь две копии настроек для всего софта, для ИЕ и т.п.
Если же им всё время работать в локальном профиле и в домен не логониться -- то возникнет проблема отсутствия SSO, придётся для доступа к каждому доменному ресурсу вводить логин/пасс. Также с т.з. безопасности это решение будет дурацким, т.к. логин/пасс для аутентификации на ресурсах будет слаться в лучшем случае как NTLMv2, а не Керберос, а это, считай, то же самое, что открытым текстом пароль слать.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2012-03-08 06:55 pm (UTC)Это не решение, т.к. для юзеров будет непримемлемо иметь два профиля -- они будут в них путаться и так далее, придётся иметь две копии настроек для всего софта, для ИЕ и т.п.
Если же им всё время работать в локальном профиле и в домен не логониться -- то возникнет проблема отсутствия SSO, придётся для доступа к каждому доменному ресурсу вводить логин/пасс. Также с т.з. безопасности это решение будет дурацким, т.к. логин/пасс для аутентификации на ресурсах будет слаться в лучшем случае как NTLMv2, а не Керберос, а это, считай, то же самое, что открытым текстом пароль слать.