我们有很多笔记本电脑很少(如果有的话)连接到本地 LAN。由于他们无法经常联系域控制器,因此让他们加入域效果不佳 - 缓存的密码最终会过期,新用户无法登录等。
现在我们通过将它们保留为工作组计算机来处理它,并在它们上设置本地帐户。
但是,这意味着失去所有组策略设置、远程控制、软件安装、AD 清单以及作为域一部分的所有其他优势。基本上,在更新软件或更新我们的库存时,我的工作比我希望的要困难得多。
其他人如何处理这个问题?
- 一些笔记本电脑连接到我们办公室的 wifi,因此应该能够与 DC 通信,但在用户登录之前似乎没有连接到 wifi,所以他们仍然无法登录。
- 一些笔记本电脑连接到其他人的 wifi。是否可以在用户登录之前让它们连接到无线网络和 VPN,以便与 DC 通信?
- 其他笔记本电脑使用蜂窝互联网棒,这需要软件客户端连接,因此在登录之前可能无法连接。但是如果他们登录,Windows 会更新他们缓存的帐户密码,然后连接到 VPN,这样它就可以与DC 在他们登录后?
- 笔记本电脑是 Windows 7 和 XP 的 50/50 组合。
我目前的几乎解决方案是让笔记本电脑域加入,并要求用户每隔几周通过以太网电缆连接到办公室网络一次。哪个有效,但不是每个人都会记得或能够做到这一点。
一种常见的处理方法是在用户登录之前启动 VPN 连接。例如,Cisco AnyConnect VPN 客户端具有以下功能:
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml
根据他们必须在域内完成的工作,考虑使用终端服务器(或只是公司网络内的主机)。
他们甚至可以使用他们的私有硬件(如果他们愿意的话),您可以完全控制终端服务器。只需通过 VPN 或直接通过 RDP 授予他们访问权限(如果您信任 Microsoft 协议 :)
OpenVPN 还将具有一项服务功能,您可以在其中连接到 VPN 并启动系统。您可以将其与证书身份验证(无法从证书存储区导出)和撤销列表相结合,以不再允许用户连接。
openvpn 配置需要编辑如下内容:
需要在用户证书存储区(启动 openvpn 服务的用户)中导入证书(具有匹配的主题名称)