Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Otázka ohledně Windows Account a přepínání s doménovým účtem
prosinec 05
Otázka ohledně Windows Account a přepínání s doménovým účtem

Zrovna mi přišla taková pěkná otázka, nevím na ni sice přesnou odpověď, ale předpokládám, že můj educated gues je správný. Takže otázka a odpověď zde:

Otázka

Zdravím, pokud si vzpomenete, naposledy jsme se viděli na MS Festu. Ukazoval jsem Vám ty nepěkné cedule s koncem přednášky :) Můj dotaz je trochu off-topic vzhledem k tématu přednášek na MS Festu, ale rád bych se zeptal, jestli máte nějaké zkušenosti s chováním Microsoft Account na počítatčích v doméně AD. Na domácím PC to ocením, ale ve firmě je to něco, co by mělo být zakázáno přes GPO. (Lze to?) Případně jak se chová počítač, který přepíná mezi Microsoft Account (tedy doménou live.com) a doménou firemní? Z hlediska bezpečnosti a trafficu se mi totiž nezdá, že by si každý uživatel ve firemní síti synchronizoval svoji tapetu, nastavení a záložky.

Odpověď

No já o tom moc nevím, ale předpokládám, že to je prostě jenom jiný lokální účet. Jde jen o to, že Windows vás prostě ověří jiným heslem, než tím, které byste měl uloženo v registrech - tak jak to dělají lokální účty. Zřejmě také budou mít ty účty jiný SID, než účty lokální, i než účty doménové.

To znamená, že když se přihlásíte na účet vaší domény, máte svůj profil. Pokud se potom přehlásíte na účet z Live (Microsoft Account), tak prostě dostanete nový profil. Bude to nejspíš to stejné, jako když se přepínáte mezi nějakým lokálním účtem a účtem doménovým. Profily se nezdílí. Účty mají jiné SIDy.

Co se týče GPO, tak ano, zakázat se to dá. Je to v politice přesně v položce:

Computer Settings
Policies
Windows Settings
Security Settings
Local Policies
Security Options
Accounts: Block Microsoft Accounts

 

Comments

AD a Connected Accounts

zdravim, tady je pekny clanek, ktery by stal za precteni, taky jsem to resil s nasim ICT, at se k tomu nejak vyjadri ;)

Microsoft ucty mohou byt i primo nalinkovany na AD, a asi by bylo dobre se zamyslet nad

• sync documentu a fotek se Skydrive
• password sync

http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2012/09/04/new-features-in-active-directory-domain-services-in-windows-server-2012-part-9-connected-accounts.aspx
Jiri Pavlik on 3.1.2013 11:39

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments