我们在远程办公室有几个用户,他们只能通过 SonicWALL Global VPN Client 访问任何服务器。他们的机器是此处 Active Directory 域的成员,因此他们可以在 VPN 连接处于活动状态时访问 Exchange 邮件和网络共享... 效果很好。
问题是更改他们的域密码。如果我在服务器上手动为他们更改,则更改后进行的任何身份验证会话都应该没问题(访问共享、登录电子邮件)。但是他们的本地计算机登录域怎么办?他们是否仍需要使用计算机上的先前缓存密码登录?由于 VPN 连接已激活后登录(在软件中),初始 Windows 登录永远无法看到服务器。
有人知道如果我们这样做会发生什么吗?除了将机器带回现场外,还有人知道其他解决方法吗?
答案1
编辑:
我从您的评论中看到,您并没有与本地帐户建立“穷人的信任关系”,而是在将凭据运送到场外之前在客户端计算机上预先缓存凭据。
考虑到这一点,你仍然真的吗,真的想要一个站点到站点的 VPN 解决方案,而不是在每台客户端计算机上运行 VPN 客户端。这样一来,您提出的问题就毫无意义了。您的客户端计算机不会“知道”存在 VPN,域登录和组策略以及密码更改等功能将“正常工作”。
一想到在这样的环境中必须处理没有站点到站点 VPN 和客户端计算机上缓存凭据的问题,我的眼睛就快要流血了。
答案2
我的眼睛在流血,因为我的情况与在家工作的用户非常相似。
我的经验是,您可以登录 VPN,然后使用 ctrl-alt-del 更改密码,然后您需要立即锁定和解锁电脑,这将更新缓存的登录凭据。
这对大多数我需要使用它的客户都有效,但是,我也遇到过一次失败的情况。不知道有什么不同,但要小心。我会先在一台不重要的机器上尝试一下。
听起来,在您的情况下,站点到站点的 VPN 可以避免很多麻烦。
答案3
也许我遗漏了什么,但如果他们在连接到 VPN 后更改密码,它应该可以正常工作。
编辑:好的,那么这个解决方法怎么样:我能想到的制定阻止用户更改密码的策略的唯一原因是为了确保系统管理员始终知道所有密码。将该策略保留给任何本地用户。
对于远程用户,请禁用该策略,并简单地告诉他们,除非您告诉他们更改密码(并告诉他们要将密码更改为什么),否则他们不应该更改自己的密码。然后,当他们需要新密码时,您可以让他们登录,登录 VPN,然后更改密码。如果您想确保他们将密码更改为您告诉他们的密码,您也可以在服务器上更改密码。
如果您的管理层确实希望对远程用户强制执行该策略,请启用足够的审核,以便您可以查看他们是否会自行更改该策略。
答案4
这正是我更喜欢硬件站点到站点 VPN 解决方案的原因。我知道它不能特别解决您的问题,但它可以极大地帮助您解决软件 VPN 带来的大多数问题。
这可能很简单,只需使用几个 Adtran 2050 路由器(或者一些消费级 Linksys 路由器也可以)即可构建适当的隧道。您只需花费几百美元即可节省大量时间。