Удаленные пользователи AD

Добрый день, коллеги. Есть один простой вопрос, просто хочу убедиться что все верно мыслю.
Картина след.: MS WS 2016, AD. Офис, есть сотрудники которые постоянно находятся в офисе, есть которые разъезжают. Все они используют аутентификацию по AD.
Соответственно удаленным сотрудникам, настраиваю VPN до контроллера домена и пр. сервисов.
Включение VPN происходит обычно после того, как юзер залогинился и нажал в сетевых параметрах подключение к VPN.
Вопрос в том, как настроить удаленные ПК, чтобы всегда был доступ к DC и чтобы юзер мог сам настраивать сеть (wifi, lan).

0

Не особо понятно, какой еще wifi должен настраивать юзер и тем более lan.

Не доменный комп не сможет использовать короткие имена, только FQDN для доступа к ресурсу, или IP адрес.

1

Вопрос скорее звучит так: как правильно настроить аутентификацию в домене удаленным сотрудникам?
2 варианта:
1) VPN на маршрутизаторе до аутентификации. (тут встает вопрос, сначала надо включить ПК, подключить к интернету. А ВПН включается уже при запуске ПК, т.е. как он запустится без настроеного доступа в мир)
2) Вариант с сохранением кеша пароля локально (CashedLogonsCount). Прошел аутентификацию (локально), выбрал VPN, подключился к доменной сети.
Мне нравится 2 вариант, чем он плох ?

0

John1216, все эти способы имеют как плюсы так и минусы.

Сообщение от John1216 1) VPN на маршрутизаторе до аутентификации. (тут встает вопрос, сначала надо включить ПК, подключить к интернету. А ВПН включается уже при запуске ПК, т.е. как он запустится без настроеного доступа в мир)

=устанавливаете VPN с сохраненными параметрами подключения как службу
=основной ДНС в настройках сетевой карты указываете ваш ДНС сервер
+ службы стартует с системой и при наличии интернета проходит доменная аутентификация и авторизация
+ возможность использовать шифрование с привязкой к вашему серверу
- требуется наличие интернета, срок жизни хеша (и всяких доменных плюшек) без интернета достаточно короток и потом потребуется наличие интернета для входа в систему.

Сообщение от John1216 2) Вариант с сохранением кеша пароля локально (CashedLogonsCount). Прошел аутентификацию (локально), выбрал VPN, подключился к доменной сети. Мне нравится 2 вариант, чем он плох ?

- возможность аутентификации и авторизации без связи с сервером
- бессмысленность использования шифрования информации с привязкой к серверу
+ независимость от интернета
+ простота настройки, поддержки и управления
+ отсекание подключения краденного ноута = запрет входа по VPN

Добавлено через 10 минут
Чуть запутался в предыдущем посте...

у меня как то так

VPN стартует в месте с системой и подключается к сети предприятия
все сервисы предприятия находятся во внутренней сети
в случае утечки ноута блокируется доступ во внутреннюю сеть.
авторизация происходит в момент входа в систему с доменным пользователем
есть возможность запуска с локальной учеткой

из того что вы привели выбирайте тот, который проще для вас. Всё зависит от задач этого ноута и человека работающего за ним.

1

Сообщение от John1216 чтобы всегда был доступ к DC

это непременно нужно? У меня сотрудники выезжают к клиенту на недели. Успешно авторизируются доменным юзером (пароль закеширован)

Сообщение от John1216 юзер мог сам настраивать сеть (wifi, lan)

сам и настраивает, либо это делает админ клиента. Если уж все "плохо", их админ звонит мне и я ему сообщаю пароль локального админа

А впн в офис делается лишь для того, что работать в терминале, и то, не всем это нужно

1

Просто для справки:

- Изменять параметры сетевого адаптера можно и без прав локального администратора. Для этого есть локальная группа "Network Configuration Operators".
- VPN соединение с корпоративной сетью можно установить и до входа пользователя в Windows, например вот.

2

Коллеги, благодарю за помощь!

0