Доброго времени суток.
Суть проблемы в заголовке. Есть торговая точка, и 3 рабочих станции, а сотрудников 5 человек.
В идеале хотелось бы чтобы каждый входил под своей уникальной учеткой, пароль знал только он и прочие основы безопасности + тогда можно дать индивидуальные разрешения под каждого.
НО в течении дня они они постоянно меняются местами, причем очень часто, т.е. появилась работа сотрудник садится за первую попавшуюся машину.
Разлогинивать свои учетки они будут забывать 100%, да и по 100 раз на дню перелогиниваться не все осилят к сожалению.
Кто сталкивался с подобным? Как лучше решить вопрос?

Ну и вдогонку спрошу чтобы зря темы не плодить:
1) Схема сети такая центральный офис 60-70 машин в локалке + 40 филиалов связаны по VPN по 2-6 машин в каждом. В центральном офисе планирую контроллер домена + его реплику на на случай падения основного.
Собственно вопрос по филиалам, мне уже подсказали что если вдруг упадет канал до офиса, пользователь сможет залогинится из кэша даже без связи с контроллером. Есть ли какое либо ограничение по логину из кэша по времени или по количеству раз? В одном филиале помню при аварии у провайдера на линии инета 3 дня небыло. :-( Нет ли какогонибудь инструмента типа RODCна такие случаи для не несерверных версий винды? Держать сервер ради 2-4 компьютеров в каждом филиале слегка накладно.
2) Как лучше обозвать домен чтобы потом небыло проблем? Есть компания - conpanyname, есть сайт - companyname.ru, домен с сайтом никак связан не будет, разве сто со временем планирую перевести наконец почту со всяких мэйлов и яндексов на корпоративную по типу ivanov_ii@companyname.ru. Возможно сделаю на основе того же гугла или яндекса, они вроде давно такие услуги предлагают. В данный момент название corp.maycompanyname.ru

IT_Sergei,
я пробовал для схожих задач девайс iButton - сотрудник от компа - сессия заблокировалась автоматом, но если компы рядом стоят то это не сработает(радиус действия того прибора что был у меня порядка 5 метров).

y--,
Думал о подобном, но машины слишком близко.

Если стандартными средствами - только устанавливать маленький период выхода из системы при неактивности. Мне кажется это больше административная задача - почему сотрудники постоянно меняются местами?

по вопросам:
1) Закешированные данные никогда не истекают, они могут пропасть либо при ручном удалении, либо если слишком много пользователей логинится за одну машину, новые учетки смогут вытеснить старые из кеша.
2) Если обзовете так же как сайт, вам придется держать две DNS зоны - для юзеров внутри и снаружи, если назовете иначе - такой проблемы не будет соответственно.

ko4evneg,
Такая специфика работы (салон связи) кто то консультирует у витрин, кто то продажи проводит, и.т.д вобщем кто из консультантов попадает под это тот и занимает первую попавшуюся машину.

Тогда сделайте им одну учетку на всех, а для доступа к ресурсам пусть используют индивидуальные учетки.

Есть ли какое либо ограничение по логину из кэша по времени или по количеству раз? »

За это отвечает параметр групповой политики: Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход — Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия контроллера домена)
По умолчанию 10 входов в систему.
Причем "вход в систему" это не количество входов одного пользователя, а количество кэшей пользователей. Вошло 10 человек — их кэши сохранились. Вошел новый 11-й — затер кэш первого, и так далее.

За это отвечает… »
Маленькое уточнение: суть в том, что далее по тексту видно, что указанный параметр безопасности отвечает совсем не «за это» — т.е., ни за «по времени», ни за «по количеству раз».

В идеале хотелось бы чтобы каждый входил под своей уникальной учеткой, пароль знал только он и прочие основы безопасности + тогда можно дать индивидуальные разрешения под каждого. »
Зачем это надо бизнесу? Если этого не надо бизнесу, то свои хотелки стоит поставить на полку пылиться и сделать одну учётку на всех.
1) Схема сети такая центральный офис 60-70 машин в локалке + 40 филиалов связаны по VPN по 2-6 машин в каждом. В центральном офисе планирую контроллер домена + его реплику на на случай падения основного.
Собственно вопрос по филиалам, мне уже подсказали что если вдруг упадет канал до офиса, пользователь сможет залогинится из кэша даже без связи с контроллером. Есть ли какое либо ограничение по логину из кэша по времени или по количеству раз? В одном филиале помню при аварии у провайдера на линии инета 3 дня небыло. :-( Нет ли какогонибудь инструмента типа RODCна такие случаи для не несерверных версий винды? Держать сервер ради 2-4 компьютеров в каждом филиале слегка накладно »
Цель всего это, особенно зачем компьютер в домене там, где всего два компьютера? В Центральном офисе понятно, там 60 человек, но филиалам зачем? Во многих случаях хватает VPN для подключения к ресурсам компании без ввода в домен.
2) Как лучше обозвать домен чтобы потом небыло проблем? Есть компания - conpanyname, есть сайт - companyname.ru, домен с сайтом никак связан не будет, разве сто со временем планирую перевести наконец почту со всяких мэйлов и яндексов на корпоративную по типу ivanov_ii@companyname.ru. Возможно сделаю на основе того же гугла или яндекса, они вроде давно такие услуги предлагают. В данный момент название corp.maycompanyname.ru »
Оставь так: corp.companyname.ru, разве что NETBIOS имя можно сделать в виде companyname.

Зачем это надо бизнесу? Если этого не надо бизнесу, то свои хотелки стоит поставить на полку пылиться и сделать одну учётку на всех. »
«Хотелки бизнеса» заканчиваются ровно в тот момент, когда начинаются разборки, «а кто это сделал» и «кто кого подставил». А в данном случае они начнутся обязательно.

Маленькое уточнение: суть в том, что далее по тексту видно, что указанный параметр безопасности отвечает совсем не «за это» — т.е., ни за «по времени», ни за «по количеству раз». »
Увы, это неверный перевод. Вот из этого (https://technet.microsoft.com/itpro/windows/keep-secure/interactive-logon-number-of-previous-logons-to-cache-in-case-domain-controller-is-not-available) всё становится ясно:

This policy setting determines the number of unique users whose logon information is cached locally.

Хотелки бизнеса» заканчиваются ровно в тот момент, когда начинаются разборки, «а кто это сделал» и «кто кого подставил». А в данном случае они начнутся обязательно. »
Да ну? Наличие своей учётки ещё ничего не значит. Значение имеет то, с какими данными и как работают люди. Как пример, используется 1С в которой у каждого свой логин, тогда логин на компьютер может быть один. И зайти в 1С под своим логином проще, чем под своей учёткой на компьютер. А проблемы подстав решаются моментально и на уровне рефлексов у сотрудников - отшёл от компа, завершил свой сеанс в 1С.

PS. D моём сообщении говорилось про надобность бизнесу и "хотелки админа", а не "хотелки бизнеса", которые важнее хотелок админа. ;)

Увы, это неверный перевод. Вот из этого всё становится ясно: »
Я знаю (1 (http://forum.oszone.net/post-1810191.html#post1810191), 2 (http://forum.oszone.net/post-2366608.html#post2366608)). Я писал о том, что указанная Вами трактовка верна, но это не является ответом на поставленный вопрос. Т.е., указанный параметр групповой политики:
…параметр групповой политики: Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход — Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия контроллера домена)…»
отвечает именно за то, что написано Вами ниже, но никак не за:
Есть ли какое либо ограничение по логину из кэша по времени или по количеству раз? »
как Вы пишете:
За это отвечает… »
Да ну? »
Ну да. Наличие своей учётки ещё ничего не значит. »
Повторяю: ровно до первой разборки.

Значение имеет то, с какими данными и как работают люди. »
Это определяется не наличием одной учётной записи на всех пользователей, а членством в группах безопасности.

Как пример, используется 1С в которой у каждого свой логин, тогда логин на компьютер может быть один. »
Может. До первой же разборки.

И зайти в 1С под своим логином проще, чем под своей учёткой на компьютер. »
Вообще-то и туда, и туда «заходить» не «проще».

А проблемы подстав решаются моментально и на уровне рефлексов у сотрудников - отшёл от компа, завершил свой сеанс в 1С. »
Это накладно. Достаточно банальной (и принудительной) блокировки. Что там, что там. В случае же новых ОС даже нет нужды завершать сеанс, поскольку даже в домене доступна «Смена пользователя». Лень вводить пароль или паранойя — ставим считыватели, и хоть смарт-карты, хоть опечатки пальцев, хоть сканер радужки.

PS. D моём сообщении говорилось про надобность бизнесу и "хотелки админа", а не "хотелки бизнеса", которые важнее хотелок админа. »
Это не «хотелки админа», а элементарные требования ИБ.

а элементарные требования ИБ »
"Элементарные требования ИБ" — это процентов 75 организационных решений. Можно до одури накручивать политики ИБ техническими и технологическими средствами, но это не будет мешать даме из финансового блока повесить на монитор стикер с паролем доменного пользователя.

К слову, работая в региональном сотовом ритейлере, подобный вопрос решался как раз административным ресурсом, приказом управляющего по группе салоном — "отошёл от компа — залочь учётку".

"Элементарные требования ИБ" — это процентов 75 организационных решений. Можно до одури накручивать политики ИБ техническими и технологическими средствами, но это не будет мешать даме из финансового блока повесить на монитор стикер с паролем доменного пользователя. »
Именно так! ИБ — это в первую очередь оргмероприятия.

Зачем это надо бизнесу? Если этого не надо бизнесу, то свои хотелки стоит поставить на полку пылиться и сделать одну учётку на всех. »
Ну я же написал что в идеале. Зачем? Очевидно что при разборе инцидента виновных ненайдешь, пользователи сами низачто не сознаются и крайним таки остнется админ. Скорее всего от этого придется отказаться покрайней мере на данный момент.

Цель всего это, особенно зачем компьютер в домене там, где всего два компьютера? В Центральном офисе понятно, там 60 человек, но филиалам зачем? Во многих случаях хватает VPN для подключения к ресурсам компании без ввода в домен. »
Ну ок! Расскажите тогда как мне адекватно управлять парком машин а их на секундочку примерно 4(среднее число машин в филиале)*40(всего филиалов)=160 штук.
Разнесенных территориально очень далеко. И чтобы все это не превратилось в административный АД. Коим сейчас является.