Lidar com laptops unidos ao domínio que raramente estão na LAN local?

4

Temos alguns laptops que raramente estão conectados à LAN local. Como eles não poderão entrar em contato com um controlador de domínio com muita frequência, tê-los ingressados no domínio não funciona bem - senhas armazenadas em cache eventualmente expiram, novos usuários não podem fazer login, etc.

Neste momento, lidamos com isso deixando-os como computadores de grupos de trabalho, com contas locais configuradas neles.

No entanto, isso significa perder todas as configurações de diretiva de grupo, controle remoto, instalação de software, inventário do AD e todas as outras vantagens decorrentes de fazer parte do domínio. Basicamente, tornando o meu trabalho muito mais difícil do que eu quero que seja quando se trata de atualizar o software ou atualizar o nosso inventário.

Como os outros lidam com isso?

  • Alguns dos laptops se conectam ao nosso escritório wifi, então devem poder falar com um controlador de domínio, mas não parecem se conectar ao Wi-Fi antes que um usuário faça login, então eles ainda não conseguem fazer o login.
  • Alguns laptops se conectam ao Wi-Fi de outras pessoas. É possível conectá-los à rede sem fio e a uma VPN antes que o usuário faça o login para poder falar com o DC?
  • Outros laptops usam um pendrive de celular, que requer que um cliente de software se conecte, provavelmente não pode se conectar antes de fazer login. Mas o Windows atualizará suas senhas de conta armazenadas em cache se fizerem login e se conectar a uma VPN? fale com o DC APÓS eles terem logado?
  • Os laptops são uma combinação de 50/50 do Windows 7 e XP.

Minha quase-solução atual é incluir o domínio do laptop e exigir que o usuário se conecte à rede do escritório por meio de um cabo Ethernet uma vez a cada poucas semanas. O que funciona, mas nem todo mundo vai lembrar ou ser capaz de fazer isso.

    
por Grant 19.08.2013 / 15:45

2 respostas

1

Dependendo do trabalho que eles têm que fazer dentro do domínio, considere trabalhar com um servidor de terminal (ou apenas um host dentro da rede da sua empresa).

Eles podem até trabalhar com seu Hardware privado (se quiserem) e você tem controle total do Terminal Server. Basta dar acesso a eles via VPN ou diretamente via RDP (se você tiver confiança nos protocolos da Microsoft):

O OpenVPN também teria um recurso de serviço no qual você poderia conectar a uma VPN uma inicialização do sistema. Você poderia reduzir isso com a Autenticação de Certificado (não exportável do armazenamento de certificados) e uma lista de revogação para NÃO permitir que os usuários se conectem mais.

o openvpn config precisa editar algo assim:

ca "YOUR_CA.pem"
cryptoapicert "SUBJ:OpenVPN-Client"

o certificado (com um nome de entidade correspondente) precisa ser importado, dentro do armazenamento de certificados de usuários (o usuário que inicia o serviço openvpn)

    
por 19.08.2013 / 15:58
1

Uma maneira comum de lidar com isso é iniciar a conexão VPN antes do logon do usuário. Por exemplo, o cliente Cisco AnyConnect VPN tem esse recurso:

link

    
por 19.08.2013 / 15:51