仅在办公室 LAN 之外时才连接 VPN

我正在尝试找出一种方法，让域客户端仅在与所述 LAN 物理断开连接时才使用 VPN 连接到办公室 LAN。

我发现这和这详细的官方指南。据我了解，它只会让域成员连接到指定的 VPN；即使域成员已经在 VPN 要连接的 LAN 内，本质上也是多余的。

• 我如何确保它在连接到 VPN 之前位于 LAN 之外？PC 如何识别特定网络（即它可以使用什么来识别网络以便我可以做好准备）？
• 登录脚本是否必须始终从 DC 获取？创建 GPO 时是否可以使副本永久复制到所有成员？

附言熟悉使用上述 GPO 的任何人都可以提供一个示例 L2TP/IPSec XML 吗？