В нашей компании есть несколько пользователей ноутбуков (включая меня), которые удаленно входят в нашу VPN после входа в профиль локального домена на ноутбуке.
Однако проблема заключается в том, что групповые политики и сценарии запуска не запускаются автоматически при подключении к VPN.
Это приводит к потере контроля и возможному дополнительному риску безопасности (например, пользователи домена могут присоединиться без установленного вирусного программного обеспечения).
Есть ли решение этой проблемы? Я читал о ведении журнала с использованием коммутируемого соединения, но у этого есть два недостатка:
Любая помощь будет оценена.
Примечание: мы используем Windows Server 2008 (не R2)
Как вы упомянули, сценарии запуска и т. Д. Будут запускаться только при запуске, подключившись к вашему DC после запуска, вы упустите это окно возможностей. Групповая политика все равно будет собрана и применена при следующем запуске.
Теоретически это было решено с использованием 2008 R2 и Win 7 с использованием Прямой доступ. По сути, вы получаете «автоматический» VPN, который учетная запись компьютера инициирует до входа в систему, что позволяет применять сценарии запуска и т. Д.
Насколько я понимаю, вам не нужно обновлять свой домен, вам просто нужен (по крайней мере) один сервер 2008R2 для прекращения прямого доступа.
Вы получаете групповую политику только для машин, которые являются частью вашего домена, но похоже, что вы используете машину, присоединенную к домену. Проблема здесь в том, что когда пользователи подключаются с кэшированными учетными данными, объекты групповой политики не обновляются при повторном подключении к сети.
Один из способов обхода этой проблемы заключается в том, чтобы пользователи при входе в систему устанавливали флажок «Вход в систему с использованием удаленного доступа»; это приведет к тому, что VPN-соединение и приложение GPO будут выполняться при входе в систему.
Другой может быть сокращение интервала обновления политики по умолчанию, хотя это может вызвать другие проблемы, если вы не поместите ноутбуки в отдельное подразделение, чтобы вы могли применять к ним отдельные политики.
Видеть http://technet.microsoft.com/en-us/library/cc736905(WS.10).aspx.