问题:用户可以使用域凭据登录到不在域中的计算机吗?需要设置什么信任关系才能允许这样做?
当前的设置是远程工作人员以本地工作组用户身份登录到他们的个人家用机器。然后他们运行客户端以建立 VPN 隧道。此时他们可以浏览服务器并使用域凭据进行身份验证。此设置有其缺点,例如不断提供备用凭据。但这似乎是我所知道的最好的方法,不需要他们的个人机器加入域。
我们正在考虑的另一个场景是在他们的家用机器上托管一个虚拟机。该虚拟机将成为域的成员。我认为 citrix 提供了一款使用这种设计的产品。我担心 GPU 的使用可能会有一些开销或限制。
所以我不确定我问的问题是否正确。基本上,我希望远程工作人员拥有一个单独的用户配置文件,用于使用域用户帐户连接到工作(并获取 gpo 等)。它必须与我们的 vpn 配合使用。
有任何想法吗?
答案1
您提议的解决方案似乎相当笨拙。用户如何在连接到公司 VPN 时从家用计算机运行 LOB 应用程序?您是否将 LOB 应用程序安装在他们的家用计算机上?
我的建议是使用 TS/RDS 或 VDI。用户可以通过 VPN 连接,登录 TS/RDS 服务器或登录虚拟桌面并运行 LOB 应用程序。
答案2
如果这些家用机器是他们提供的,那么你的分界点就是VPN软件。我认为你不应该担心他们如何登录。
答案3
你们都考虑过使用 Logmein 远程连接吗?对于工作中的主管,我已在他们的工作站上安装了 Logmein Pro。当他们在家(或在路上通过平板电脑)时,他们登录 logmein.com,找到他们的工作站并访问他们的工作站。我们无需让他们的个人计算机加入我们的域,也无需让他们在家中的计算机上安装 VPN 客户端。
如果您无法执行上述操作,我过去曾使用 Windows XP 家庭版执行过以下操作。XP 家庭版无法加入域,对吗?因此,我将家用电脑的用户名和密码设置为与工作凭据相同。在我的网络位置,我可以查看和访问所有可用的共享。我仍然通过 VPN 软件“连接”到工作域,但我不是域的一部分。我不知道这是否适用于 Windows 7 家庭版,但我认为这是可行的。