Учетные записи, безопасность, несколько сотрудников на одной рабочей станции.
 

Доброго времени суток.
Суть проблемы в заголовке. Есть торговая точка, и 3 рабочих станции, а сотрудников 5 человек.
В идеале хотелось бы чтобы каждый входил под своей уникальной учеткой, пароль знал только он и прочие основы безопасности + тогда можно дать индивидуальные разрешения под каждого.
НО в течении дня они они постоянно меняются местами, причем очень часто, т.е. появилась работа сотрудник садится за первую попавшуюся машину.
Разлогинивать свои учетки они будут забывать 100%, да и по 100 раз на дню перелогиниваться не все осилят к сожалению.
Кто сталкивался с подобным? Как лучше решить вопрос?

Ну и вдогонку спрошу чтобы зря темы не плодить:
1) Схема сети такая центральный офис 60-70 машин в локалке + 40 филиалов связаны по VPN по 2-6 машин в каждом. В центральном офисе планирую контроллер домена + его реплику на на случай падения основного.
Собственно вопрос по филиалам, мне уже подсказали что если вдруг упадет канал до офиса, пользователь сможет залогинится из кэша даже без связи с контроллером. Есть ли какое либо ограничение по логину из кэша по времени или по количеству раз? В одном филиале помню при аварии у провайдера на линии инета 3 дня небыло. :-( Нет ли какогонибудь инструмента типа RODCна такие случаи для не несерверных версий винды? Держать сервер ради 2-4 компьютеров в каждом филиале слегка накладно.
2) Как лучше обозвать домен чтобы потом небыло проблем? Есть компания - conpanyname, есть сайт - companyname.ru, домен с сайтом никак связан не будет, разве сто со временем планирую перевести наконец почту со всяких мэйлов и яндексов на корпоративную по типу ivanov_ii@companyname.ru. Возможно сделаю на основе того же гугла или яндекса, они вроде давно такие услуги предлагают. В данный момент название corp.maycompanyname.ru

IT_Sergei,
я пробовал для схожих задач девайс iButton - сотрудник от компа - сессия заблокировалась автоматом, но если компы рядом стоят то это не сработает(радиус действия того прибора что был у меня порядка 5 метров).

y--,
Думал о подобном, но машины слишком близко.

Если стандартными средствами - только устанавливать маленький период выхода из системы при неактивности. Мне кажется это больше административная задача - почему сотрудники постоянно меняются местами?

по вопросам:
1) Закешированные данные никогда не истекают, они могут пропасть либо при ручном удалении, либо если слишком много пользователей логинится за одну машину, новые учетки смогут вытеснить старые из кеша.
2) Если обзовете так же как сайт, вам придется держать две DNS зоны - для юзеров внутри и снаружи, если назовете иначе - такой проблемы не будет соответственно.

ko4evneg,
Такая специфика работы (салон связи) кто то консультирует у витрин, кто то продажи проводит, и.т.д вобщем кто из консультантов попадает под это тот и занимает первую попавшуюся машину.

Тогда сделайте им одну учетку на всех, а для доступа к ресурсам пусть используют индивидуальные учетки.

За это отвечает параметр групповой политики: Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход — Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия контроллера домена)
По умолчанию 10 входов в систему.
Причем "вход в систему" это не количество входов одного пользователя, а количество кэшей пользователей. Вошло 10 человек — их кэши сохранились. Вошел новый 11-й — затер кэш первого, и так далее.

Зачем это надо бизнесу? Если этого не надо бизнесу, то свои хотелки стоит поставить на полку пылиться и сделать одну учётку на всех.
Цель всего это, особенно зачем компьютер в домене там, где всего два компьютера? В Центральном офисе понятно, там 60 человек, но филиалам зачем? Во многих случаях хватает VPN для подключения к ресурсам компании без ввода в домен.
Оставь так: corp.companyname.ru, разве что NETBIOS имя можно сделать в виде companyname.

Увы, это неверный перевод. Вот из этого всё становится ясно:

Да ну? Наличие своей учётки ещё ничего не значит. Значение имеет то, с какими данными и как работают люди. Как пример, используется 1С в которой у каждого свой логин, тогда логин на компьютер может быть один. И зайти в 1С под своим логином проще, чем под своей учёткой на компьютер. А проблемы подстав решаются моментально и на уровне рефлексов у сотрудников - отшёл от компа, завершил свой сеанс в 1С.

PS. D моём сообщении говорилось про надобность бизнесу и "хотелки админа", а не "хотелки бизнеса", которые важнее хотелок админа. ;)

Я знаю (1, 2). Ну да.

Это не «хотелки админа», а элементарные требования ИБ.

"Элементарные требования ИБ" — это процентов 75 организационных решений. Можно до одури накручивать политики ИБ техническими и технологическими средствами, но это не будет мешать даме из финансового блока повесить на монитор стикер с паролем доменного пользователя.

К слову, работая в региональном сотовом ритейлере, подобный вопрос решался как раз административным ресурсом, приказом управляющего по группе салоном — "отошёл от компа — залочь учётку".

Именно так! ИБ — это в первую очередь оргмероприятия.

Ну я же написал что в идеале. Зачем? Очевидно что при разборе инцидента виновных ненайдешь, пользователи сами низачто не сознаются и крайним таки остнется админ. Скорее всего от этого придется отказаться покрайней мере на данный момент.

Ну ок! Расскажите тогда как мне адекватно управлять парком машин а их на секундочку примерно 4(среднее число машин в филиале)*40(всего филиалов)=160 штук.
Разнесенных территориально очень далеко. И чтобы все это не превратилось в административный АД. Коим сейчас является.