我们有不少笔记本电脑很少(甚至从未)连接到本地 LAN。由于它们无法经常联系域控制器,因此将它们加入域效果不佳 - 缓存的密码最终会过期,新用户无法登录等。
现在我们处理这个问题的方法是将它们保留为工作组计算机,并在其上设置本地帐户。
但是,这意味着失去所有组策略设置、远程控制、软件安装、AD 清单以及作为域的一部分所带来的所有其他优势。基本上,在更新软件或更新我们的清单时,我的工作比我想要的困难得多。
其他人如何处理这个问题?
- 一些笔记本电脑连接到我们办公室的 wifi,因此应该能够与 DC 通信,但在用户登录之前似乎没有连接到 wifi,所以他们仍然无法登录。
- 有些笔记本电脑会连接到其他人的 wifi。是否可以在用户登录之前让它们连接到无线和 VPN,以便与 DC 通信?
- 其他笔记本电脑使用蜂窝互联网棒,这需要软件客户端进行连接,因此在登录之前可能无法连接。但是,如果他们登录,然后连接到 VPN,Windows 是否会更新其缓存的帐户密码,以便它可以在他们登录后与 DC 通信?
- 笔记本电脑中 Windows 7 和 XP 的混合版本各占一半。
我目前的近似解决方案是让笔记本电脑加入域,并要求用户每隔几周通过以太网电缆连接到办公室网络一次。这种方法可行,但不是每个人都会记得或能够做到这一点。
答案1
根据他们必须在域内完成的工作,考虑使用终端服务器(或仅仅是公司网络内的主机)。
他们甚至可以使用自己的私有硬件(如果他们愿意的话),而您可以完全控制终端服务器。只需让他们通过 VPN 或直接通过 RDP 访问(如果您信任 Microsoft 协议 :)
OpenVPN 还具有一项服务功能,您可以在系统启动时连接到 VPN。您可以将其与证书身份验证(无法从证书存储中导出)和吊销列表配对,以不允许用户再连接。
openvpn 配置需要编辑如下内容:
ca "YOUR_CA.pem"
cryptoapicert "SUBJ:OpenVPN-Client"
需要将证书(具有匹配的主题名称)导入到用户证书存储区(启动 openvpn 服务的用户)中
答案2
处理此问题的一种常见方法是在用户登录之前启动 VPN 连接。例如,Cisco AnyConnect VPN 客户端具有此功能:
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml