我们公司有几位笔记本电脑用户(包括我自己),他们在笔记本电脑上登录本地域配置文件后远程登录我们的 VPN。
然而,问题在于,连接到 VPN 时不会自动调用组策略和启动脚本。
这会导致失去控制并可能增加安全风险(例如域用户无需安装病毒软件即可加入)。
这个问题有解决办法吗?我读过有关使用拨号连接进行日志记录的文章,但这样做有两个缺点:
- 它似乎在 Windows Vista / 7 计算机上不可用
- 它要求笔记本电脑用户有互联网连接。
- 它仍然保留手动连接的选项。
任何帮助,将不胜感激。
注意:我们使用的是 Windows Server 2008(不是 R2)
答案1
正如您提到的,启动脚本等只会在启动时运行,如果在启动后连接到 DC,您将错过这个机会。组策略仍将在下次启动时收集和应用。
理论上,这个问题已经通过 2008 R2 和 Win 7 解决了直接访问. 本质上,您将获得一个“自动”VPN,机器帐户在用户登录之前启动它,从而允许应用启动脚本等。
我的理解是,您不需要升级您的域名,您只需要(至少)一台 2008R2 服务器来终止直接访问。
答案2
您只能获得属于您域的计算机的组策略,但听起来您使用的是已加入域的计算机。这里的问题是,当用户使用缓存的凭据连接时,您重新加入网络时 GPO 不会更新。
一种解决方法是让用户在登录时选中“使用拨号网络登录”复选框;这将强制在登录时进行 VPN 连接和 GPO 应用程序。
另一个方法可能是缩短默认策略刷新间隔,尽管这可能会导致其他问题,除非您将笔记本电脑放入单独的 OU,以便可以对它们应用单独的策略。
看http://technet.microsoft.com/en-us/library/cc736905(WS.10).aspx。