我们有很多笔记本电脑很less连接到本地局域网。 由于他们无法经常与域控制器联系,因此将他们join到域中效果不佳 – caching的密码最终会过期,新用户无法login等。
现在我们把它们作为工作组计算机来处理,并在其上设置本地帐户。
但是,这意味着会失去所有组策略设置,远程控制,软件安装,AD清点以及来自域的一部分的所有其他优点。 在更新软件或更新库存时,基本上使我的工作比我想要的要困难得多。
别人怎么处理呢?
我目前几乎是解决scheme是join笔记本电脑域,并要求用户每几周通过以太网电缆连接到办公室networking。 哪些工作,但不是每个人都会记得或能够做到这一点。
根据他们在域内所做的工作,考虑使用terminal服务器(或者公司networking内的主机)。
他们甚至可以使用他们的私人硬件(如果他们想),并且完全控制terminal服务器。 只要给他们通过VPN访问,或直接通过RDP(如果你有信任的Microsoft协议:)
OpenVPN也将有一个服务function,你可以连接到一个VPN系统启动。 您可以使用证书authentication(不能从证书存储中移除)和撤销列表来禁止用户连接。
openvpnconfiguration需要编辑这样的东西:
ca "YOUR_CA.pem" cryptoapicert "SUBJ:OpenVPN-Client"
在用户证书库(启动openvpn服务的用户)内需要导入证书(带有匹配的主题名称)
处理这种情况的一种常见方法是在用户login之前启动VPN连接。 例如,Cisco AnyConnect VPN客户端具有此function:
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml