我们公司有几个笔记本电脑用户(包括我自己)在登录笔记本电脑上的本地域配置文件后远程登录我们的 VPN。
但是,这样做的问题是连接到 VPN 时不会自动调用组策略和启动脚本。
这会导致失去控制并可能增加安全风险(例如域用户无需安装病毒软件即可加入)。
这个问题有什么解决办法吗?我已经阅读了有关使用拨号连接进行日志记录的信息,但这有两个缺点:
- 在 Windows Vista / 7 机器上似乎不可用
- 它要求笔记本电脑用户有互联网连接。
- 它仍然使选项保持打开状态以手动连接。
任何帮助,将不胜感激。
注意:我们使用的是 Windows Server 2008(不是 R2)
正如您提到的启动脚本等只会在启动时运行,通过在启动后连接到您的 DC,您会错过这个机会之窗。下次启动时仍会收集和应用组策略。
这在理论上已经使用 2008 R2 & Win 7 使用Direct Access解决了。本质上,您获得了一个“自动”VPN,机器帐户在用户登录之前启动它,因此允许应用启动脚本等。
我的理解是您不需要升级您的域,您只需要(至少)一台 2008R2 服务器来终止直接访问。
您只能获得属于您域的机器的组策略,但听起来您正在使用加入域的机器。这里的问题是,当用户使用缓存的凭据进行连接时,当您重新加入网络时,GPO 不会更新。
一种解决方法是让用户在登录时选择“使用拨号网络登录”复选框;这将强制 VPN 连接和 GPO 应用程序在登录时发生。
另一个可能是缩短默认策略刷新间隔,尽管这可能会导致其他问题,除非您将笔记本电脑放入单独的 OU 中以便您可以对它们应用单独的策略。
请参阅http://technet.microsoft.com/en-us/library/cc736905(WS.10).aspx。