web-dev-qa-db-ja.com

まれにローカルLAN上にあるドメインに参加しているラップトップを処理しますか?

ローカルLANに接続されていることがあるとしても、めったにないラップトップがいくつかあります。ユーザーはドメインコントローラーに頻繁にアクセスできないため、ドメインに参加させることはうまくいきません-キャッシュされたパスワードは最終的に期限切れになり、新しいユーザーはログインできなくなります。

現在は、ローカルアカウントが設定されたワークグループコンピューターとして残して処理します。

ただし、これは、すべてのグループポリシー設定、リモートコントロール、ソフトウェアのインストール、ADからのインベントリ、およびドメインの一部であることから生じるその他のすべての利点を失うことを意味します。基本的に、ソフトウェアの更新や在庫の更新に関しては、私の仕事を思ったよりもずっと難しくしています。

他の人はこれをどのように処理しますか?

  • 一部のラップトップは私たちのオフィスのwifiに接続しているため、DCと通信できるはずですが、ユーザーがログインする前にwifiに接続していないようで、ログインできません。
  • 一部のラップトップは他の人のwifiに接続します。ユーザーがログインする前にワイヤレスとVPNに接続して、DCと通信できるようにすることは可能ですか?
  • 他のラップトップはセルラーインターネットスティックを使用します。接続にはソフトウェアクライアントが必要なため、ログインする前に接続できない可能性があります。ただし、WindowsがログインしてVPNに接続すると、キャッシュされたアカウントのパスワードが更新され、VPNに接続できるようになります。 DC彼らがログインした後?
  • ラップトップは、Windows 7とXPの50/50混合です。

私の現在のほぼ解決策は、ラップトップドメインを参加させることであり、ユーザーに数週間ごとにイーサネットケーブル経由でオフィスネットワークに接続するように要求します。これは機能しますが、誰もが覚えているか、それを行うことができるわけではありません。

active-directoryvpnwifi
4
Grant

ドメイン内で行う必要のある作業に応じて、ターミナルサーバー(または企業ネットワーク内のホスト)での作業を検討してください。

プライベートハードウェア(必要に応じて)で作業することもでき、ターミナルサーバーを完全に制御できます。 VPN経由で、またはRDP経由で直接アクセスできるようにします(Microsoftプロトコルに信頼がある場合)。

OpenVPNには、VPNに接続してシステムを起動できるサービス機能もあります。これを、証明書認証(証明書ストアからエクスポートできない)と失効リストを使用して、ユーザーが接続できないようにすることで対処できます。

openvpn configは次のように編集する必要があります:

ca "YOUR_CA.pem"
cryptoapicert "SUBJ:OpenVPN-Client"

証明書(サブジェクト名が一致)は、ユーザーの証明書ストア(openvpnサービスを起動するユーザー)内にインポートする必要があります。

1
Daywalker

これを処理する一般的な方法の1つは、ユーザーのログオン前にVPN接続を開始することです。たとえば、Cisco AnyConnect VPNクライアントには次の機能があります。

http://www.Cisco.com/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml

1
Ryan Ries