Назад | Перейти на главную страницу

Обрабатываете подключенные к домену портативные компьютеры, которые редко бывают в локальной сети?

У нас довольно много ноутбуков, которые редко, если вообще когда-либо, подключаются к локальной сети. Поскольку они не могут очень часто связываться с контроллером домена, их присоединение к домену не работает должным образом - срок действия кешированных паролей в конечном итоге истекает, новые пользователи не могут войти в систему и т. Д.

Сейчас мы решаем это, оставляя их как компьютеры рабочей группы, на которых установлены локальные учетные записи.

Однако это означает потерю всех параметров групповой политики, удаленного управления, установки программного обеспечения, инвентаризации из AD и всех других преимуществ, которые дает принадлежность к домену. По сути, делаю мою работу намного сложнее, чем я хочу, когда дело доходит до обновления программного обеспечения или обновления нашего инвентаря.

Как с этим справляются другие?

Мое текущее почти решение состоит в том, чтобы подключить домен портативного компьютера и потребовать от пользователя подключения к офисной сети через Ethernet-кабель раз в несколько недель. Что работает, но не все запомнят или смогут это сделать.

Один из распространенных способов решения этой проблемы - запустить VPN-соединение до входа пользователя в систему. Например, клиент Cisco AnyConnect VPN имеет следующую функцию:

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml

В зависимости от работы, которую они должны выполнять внутри домена, рассмотрите возможность работы с терминальным сервером (или просто с хостом в сети вашей компании).

Они могут даже работать со своим частным оборудованием (если захотят), и вы полностью контролируете сервер терминалов. Просто дайте им доступ через VPN или напрямую через RDP (если вы доверяете протоколам Microsoft :)

OpenVPN также будет иметь служебную функцию, с помощью которой вы можете подключиться к VPN при запуске системы. Вы можете объединить это с проверкой подлинности сертификата (нельзя экспортировать из хранилища сертификатов) и списком отзыва, чтобы пользователи НЕ могли больше подключаться.

Конфигурацию openvpn нужно отредактировать примерно так:

ca "YOUR_CA.pem"
cryptoapicert "SUBJ:OpenVPN-Client"

сертификат (с соответствующим именем субъекта) необходимо импортировать в хранилище сертификатов пользователей (пользователь, который запускает службу openvpn)