É possível invocar automaticamente políticas de grupo quando se conecta manualmente a uma VPN no Windows?

Navegue suas respostas
1

Nossa empresa tem vários usuários de laptops (inclusive eu) que fazem logon em nossa VPN remotamente, depois de fazer login em um perfil de domínio local no laptop.

O problema com isso, no entanto, é que as políticas de grupo e os scripts de inicialização não são invocados automaticamente ao se conectar à VPN.

Isso resulta em perda de controle e um possível risco de segurança adicional (como usuários de domínio que podem ingressar sem software de vírus instalado).

Existe alguma solução para este problema? Eu li sobre o log usando uma conexão dial-up, mas há duas desvantagens para isso:

  1. Parece não estar disponível nas máquinas com o Windows Vista / 7
  2. Requer que o usuário do laptop tenha uma conexão com a Internet.
  3. Ainda deixa a opção aberta para se conectar manualmente.

Qualquer ajuda seria apreciada.

Observação: estamos usando o Windows Server 2008 (não o R2)

    
por Aron Rotteveel 09.02.2010 / 10:00

2 respostas

1

Como você mencionou os scripts de inicialização, etc, só será executado na inicialização, conectando-se ao seu DC após a inicialização, você perderá essa janela de oportunidade. A política de grupo ainda será coletada e aplicada na próxima inicialização.

Isso, em teoria, foi resolvido usando 2008 R2 & Ganhe 7 usando o Acesso direto . Essencialmente, você obtém uma VPN 'automática' que a conta da máquina inicia antes do logon do usuário, permitindo, assim, que scripts de inicialização sejam aplicados.

Meu entendimento é que você não precisa atualizar seu domínio, você só precisa (pelo menos) um servidor 2008R2 para finalizar o Acesso Direto.

    
por 09.02.2010 / 10:14
0

Você só recebe a política de grupo para computadores que fazem parte do seu domínio, mas parece que você está usando uma máquina associada ao domínio. O problema aqui é que, quando os usuários se conectam com credenciais armazenadas em cache, os GPOs não são atualizados quando você reingressa na rede.

Uma alternativa é fazer com que os usuários selecionem a caixa de seleção "Fazer logon usando rede dial-up" quando fizerem login; isso forçará a conexão VPN e o aplicativo de GPO a acontecer no logon.

Outra pode ser reduzir o intervalo de atualização de política padrão, embora isso possa causar outros problemas, a menos que você coloque os laptops em uma unidade organizacional separada para poder aplicar políticas separadas a eles.

Veja o link .

    
por 10.02.2010 / 01:27

Tags

Você pode evitar grandes atualizações, mas ainda aplica a correção de segurança necessária? Spamassassin em 1 e 1 servidor dedicado