У нас есть несколько пользователей в удаленном офисе, которые получают доступ к любому из серверов только через SonicWALL Global VPN Client. Их машины являются здесь членами домена Active Directory, поэтому они могут получать доступ к почте Exchange и общим сетевым ресурсам, пока VPN-соединение активно ... отлично работает.
Проблема заключается в изменении паролей их домена. Если я изменю его для них вручную на сервере, любой сеанс аутентификации, происходящий после изменения, должен быть нормальным (доступ к общим ресурсам, вход в электронную почту). Но как насчет их входа на локальный компьютер в домен? Будет ли им по-прежнему необходимо входить в систему с использованием своего предыдущего кэшированного пароля на машине? Поскольку соединение VPN активировано после вход в систему (в программном обеспечении), первоначальный вход в Windows никогда не может видеть сервер.
Кто-нибудь знает, что будет, если мы с этим справимся? Кто-нибудь знает обходной путь, кроме того, чтобы вернуть машины сюда?
Мои глаза кровоточат, потому что я нахожусь в очень похожей ситуации с пользователями, которые работают из дома.
Мой опыт показывает, что вы можете войти в VPN, затем использовать ctrl-alt-del, чтобы изменить pw, тогда вам нужно НЕМЕДЛЕННО заблокировать и разблокировать компьютер, это обновит кешированные учетные данные для входа.
Это сработало на большинстве клиентов, на которых мне нужно было его использовать, однако у меня это ни разу не сработало. Не знаю, что было по-другому, но будьте осторожны. Я бы сначала попробовал это на некритичной машине.
Похоже, что в вашей ситуации VPN-соединение между сайтами предотвратит большую головную боль.
Редактировать:
Из ваших комментариев я вижу, что вы не выполняете «доверительные отношения для бедняков» с локальными учетными записями, а скорее кешируете учетные данные на клиентских компьютерах перед их отправкой за пределы площадки.
Имея это в виду, вы по-прежнему действительно, действительно требуется решение VPN типа "сеть-сеть", а не запускать клиентов VPN на каждом клиентском компьютере. Это сделает вопрос, который вы задаете, спорным. Ваши клиентские компьютеры не будут «знать» о наличии VPN, и такие вещи, как вход в домен и групповая политика, а также изменение пароля, будут «просто работать».
Мои глаза почти кровоточат, даже когда я думаю о том, что мне придется иметь дело без межсайтовых VPN и кэшированных учетных данных на клиентских компьютерах в такой среде.
Не знаю, поможет ли это, но Cisco VPN позволяет устанавливать соединение до входа в Windows. SonicWALL может иметь аналогичный вариант.
В CiscoVPN вы можете перейти к нему через Параметры, Свойства входа в Windows, а затем установите флажок Включить запуск перед входом в систему.
Перезагрузите ноутбук, и перед тем, как вы войдете в Windows, вам будет предложено ввести имя пользователя и пароль в сети.
(Я понимаю, что это старый пост, но он может помочь современным технологиям)
Возможно, я чего-то упускаю, но если они меняют свой пароль после подключения к VPN, все должно работать нормально.
РЕДАКТИРОВАТЬ: Хорошо, как насчет обходного пути: единственная причина, по которой я могу придумать политику, которая не позволяет пользователям менять свои пароли, - это обеспечение того, чтобы системные администраторы всегда знали все пароли. Оставьте эту политику для всех локальных пользователей.
Для удаленных пользователей отключите эту политику и просто скажите им, что они не должны менять свои пароли, пока вы не скажете им (и не скажете, на что их изменить). Затем, когда им пора получить новый пароль, вы заставляете их войти в систему, войти в VPN и изменить пароль. Если вы хотите быть уверены, что они изменили его на то, что вы им сказали, вы также можете изменить его на сервере.
Если ваше руководство действительно хочет обеспечить соблюдение политики для удаленных пользователей, включите достаточный аудит, чтобы вы могли видеть, изменят ли они когда-нибудь ее самостоятельно.
Именно поэтому я предпочитаю аппаратное решение VPN типа "сеть-сеть". Я знаю, что это не поможет конкретно с вашим вопросом, но поможет значительно решить большинство ваших проблем с программным VPN.
Это может быть так же просто, как просто использовать пару маршрутизаторов Adtran 2050 (или даже некоторые маршрутизаторы потребительского уровня Linksys будут работать) для создания соответствующих туннелей. Вы хотите сэкономить пару сотен долларов, чтобы сэкономить часы и часы времени.
Другой вопрос: что делать для принудительного изменения групповой политики? Мы также попросили наших пользователей изменить свои пароли с помощью ctrl + alt + del, что позволило им изменить свои пароли. Однако вскоре мы попали под злое влияние SOX и вынуждены были заставлять наших удаленных пользователей менять свои пароли каждые 30 дней (ранее они были освобождены). Сначала мы запускали сценарий и отправляли пользователям по электронной почте дату их приближения, и если они не изменили ее вручную, сценарий заблокировал их учетную запись через 30+ дней. Однако это было явно далеко не идеально. Мы использовали Checkpoint, провели небольшое расследование и обнаружили, что у них есть опция под названием «Безопасный вход в домен». Обычно, когда вы впервые вошли на свою рабочую станцию, до того, как что-то еще произошло (сразу после ввода вашего имени пользователя / пароля), ваш VPN-клиент подошел. Вы вошли в VPN, а затем ваш компьютер загрузил все соответствующие групповые политики ... одна из которых была принудительной сменой пароля каждые 30 дней. Пользователь изменил свой пароль, и все готово.
Единственная возможная проблема заключалась в том, что они использовали кэшированные учетные записи домена ... им приходилось блокировать свою машину, чтобы кэшировать учетные данные.
Итак, связывая все это ... возможно, посмотрите, есть ли у Sonic возможность разрешить вашим пользователям получать GP до того, как машина войдет в систему. В противном случае Site VPN сделает все это за вас.