我们在远程办公室有一些用户只能通过 SonicWALL Global VPN Client 访问任何服务器。他们的机器是此处的 Active Directory 域的成员,因此他们可以在 VPN 连接处于活动状态时访问 Exchange 邮件和网络共享……效果很好。
问题是更改他们的域密码。如果我在服务器上为他们手动更改它,那么更改后发生的任何身份验证会话都应该没问题(访问共享、登录电子邮件)。但是他们的本地机器登录域呢?他们还需要在机器上使用以前缓存的密码登录吗?由于 VPN 连接在登录后激活(在软件中),初始 Windows 登录永远无法看到服务器。
有谁知道如果我们这样做会发生什么?除了将机器带回现场之外,还有人知道解决方法吗?
我的眼睛在流血,因为我与在家工作的用户的情况非常相似。
我的经验是你可以登录VPN,然后使用ctrl-alt-del更改密码,然后你需要立即锁定和解锁电脑,这将更新缓存的登录凭据。
这对我需要使用它的大多数客户端都有效,但是,我曾经让它不起作用。不知道有什么不同,但要小心。我会先在非关键机器上尝试。
听起来在您的情况下,站点到站点 VPN 可以避免很多麻烦。
编辑:
我从您的评论中看到,您没有与本地帐户建立“穷人的信任关系”,而是在将它们运送到异地之前在客户端计算机上预先缓存凭据。
考虑到这一点,您仍然非常非常想要一个站点到站点的 VPN 解决方案,而不是在每台客户端计算机上运行 VPN 客户端。这将使您提出的问题成为一个有争议的问题。您的客户端计算机不会“知道”存在 VPN,并且域登录和组策略以及密码更改等内容将“正常工作”。
即使考虑在这样的环境中必须处理没有站点到站点的 VPN 和客户端计算机上的缓存凭据,我的眼睛也几乎要流血了。
也许我遗漏了一些东西,但如果他们在连接到 VPN 后更改密码,它应该可以正常工作。
编辑:好的,这个解决方法怎么样:我能想到的唯一原因是有一个防止用户更改密码的策略是确保系统管理员总是知道所有密码。为任何本地用户保留该策略。
对于远程用户,禁用该策略,并简单地告诉他们不应该更改自己的密码,直到您告诉他们(并告诉他们将其更改为什么)。然后,当他们需要新密码时,您让他们登录,登录 VPN,然后更改密码。如果您想确保他们将其更改为您告诉他们的内容,您也可以在服务器上进行更改。
如果您的管理层真的想为远程用户强制执行该策略,请打开足够的审核以查看他们是否自行更改。
我不知道这是否有帮助,但 Cisco VPN 允许在 Windows 登录之前进行连接。SonicWALL 可能有类似的选项。
在 CiscoVPN 上,您可以通过“选项”、“Windows 登录”属性访问它,然后选中“登录前启用启动”复选框。
重新启动笔记本电脑,在您登录 Windows 之前,VPN 会提示您输入网络用户名和密码。
(我意识到这是一篇旧帖子,但它可能对当今的技术人员有所帮助)
这正是我更喜欢硬件站点到站点 VPN 解决方案的原因。我知道这对您的问题没有特别的帮助,但它将极大地帮助您解决软件 VPN 的大多数问题。
只需使用几个 Adtran 2050 路由器(甚至一些消费级的 Linksys 路由器也可以)来构建适当的隧道,就很容易了。您正在寻找几百美元来节省数小时和数小时的时间。
这里的另一个问题是组策略强制更改该怎么办?我们也让我们的用户使用 ctrl+alt+del 更改他们的密码,并让他们更改他们的密码。然而,我们很快就受到了 SOX 的邪恶影响,不得不强迫我们的远程用户每 30 天更改一次密码(以前他们是豁免的)。起初,我们运行了一个脚本,并通过电子邮件向用户发送了他们即将到来的日期,如果他们没有手动更改它,该脚本会在 30 多天后锁定他们的帐户。然而,这显然不太理想。我们使用了 Checkpoint,做了一些调查,发现他们有一个名为“安全域登录”的选项。基本上,当您第一次登录工作站时,在其他任何事情发生之前(直接在输入您的用户名/密码之后)您的 VPN 客户端就出现了。你登录了VPN,然后你的机器下载了所有适当的组策略……其中之一是每 30 天强制更改一次密码。用户更改了密码,一切顺利。
唯一可能的问题是他们是否使用缓存的域帐户......他们必须锁定他们的机器以缓存凭据。
所以把这一切都捆绑起来......也许看看 Sonic 是否可以选择让您的用户在机器登录之前获得他们的 GP。否则,Site VPN 也会为您完成所有这些。