Zrovna mi přišla taková pěkná otázka, nevím na ni sice přesnou odpověď, ale předpokládám, že můj educated gues je správný. Takže otázka a odpověď zde:
Otázka
Zdravím, pokud si vzpomenete, naposledy jsme se viděli na MS Festu. Ukazoval jsem Vám ty nepěkné cedule s koncem přednášky :) Můj dotaz je trochu off-topic vzhledem k tématu přednášek na MS Festu, ale rád bych se zeptal, jestli máte nějaké zkušenosti s chováním Microsoft Account na počítatčích v doméně AD. Na domácím PC to ocením, ale ve firmě je to něco, co by mělo být zakázáno přes GPO. (Lze to?) Případně jak se chová počítač, který přepíná mezi Microsoft Account (tedy doménou live.com) a doménou firemní? Z hlediska bezpečnosti a trafficu se mi totiž nezdá, že by si každý uživatel ve firemní síti synchronizoval svoji tapetu, nastavení a záložky.
Odpověď
No já o tom moc nevím, ale předpokládám, že to je prostě jenom jiný lokální účet. Jde jen o to, že Windows vás prostě ověří jiným heslem, než tím, které byste měl uloženo v registrech - tak jak to dělají lokální účty. Zřejmě také budou mít ty účty jiný SID, než účty lokální, i než účty doménové.
To znamená, že když se přihlásíte na účet vaší domény, máte svůj profil. Pokud se potom přehlásíte na účet z Live (Microsoft Account), tak prostě dostanete nový profil. Bude to nejspíš to stejné, jako když se přepínáte mezi nějakým lokálním účtem a účtem doménovým. Profily se nezdílí. Účty mají jiné SIDy.
Co se týče GPO, tak ano, zakázat se to dá. Je to v politice přesně v položce:
Computer Settings
Policies
Windows Settings
Security Settings
Local Policies
Security Options
Accounts: Block Microsoft Accounts