我们在远程办公室有几个用户只能通过SonicWALL全球VPN客户端访问任何服务器。 他们的机器是Active Directory域的成员,因此他们可以在VPN连接处于活动状态时访问Exchange邮件和networking共享。
这个问题正在改变他们的域名密码。 如果我在服务器上手动更改它,那么在更改后发生的任何validation会话都应该正常(访问共享,login到电子邮件)。 但是他们的本地机器login到域呢? 他们是否仍然需要使用之前在机器上caching的密码进行login? 由于VPN连接在login后 (在软件中)被激活,初始的Windowslogin无法看到服务器。
有没有人知道如果我们通过这个会发生什么? 有没有人知道一个解决办法,除了把机器带回现场吗?
编辑:
我从您的意见中看到,您不是在与本地帐户进行“穷人的信任关系”,而是在客户端计算机上进行异地传送之前在客户端计算机上进行预先caching。
考虑到这一点,您确实需要一个站点到站点VPN解决scheme,而不是在每台客户端计算机上运行VPN客户端。 这将使你所问的问题成为一个有争议的问题。 您的客户端计算机将不会“知道”存在VPN,而且域login和组策略以及密码更改等function“正常工作”。
即使考虑在这样的环境下,不得不在客户端计算机上处理站点到站点的VPN和caching凭据,我的眼睛几乎要stream血了。
我的眼睛stream血,因为我和在家工作的用户非常相似。
我的经验是,你可以login到VPN,然后使用CTRL-ALT-DEL来改变PW,然后你需要立即locking和解锁PC,这将更新caching的login凭据。
这对我需要使用它的大多数客户端来说是有效的,但是我一直没有工作。 不知道有什么不同,但要小心。 我会先在非关键的机器上尝试它。
这听起来像在你的情况下,一个站点到站点VPN将防止很多头痛。
也许我错过了一些东西,但如果他们连接到VPN后更改密码,它应该工作正常。
编辑:好吧,如何解决这个问题:我可以想到有一个政策,防止用户更改其密码的唯一原因是确保系统pipe理员总是知道所有的密码。 为任何本地用户保留该策略。
对于远程用户,禁用该策略,并告诉他们不要更改自己的密码,直到告诉他们(并告诉他们要更改它为止)。 然后当他们有一个新的密码的时候,你让他们login,login到VPN,并更改密码。 如果你想确定他们改变了你告诉他们,你也可以在服务器上改变它。
如果您的pipe理层真的想强制执行远程用户的策略,请开启足够的审计,以确定是否自行更改。
我不知道这是否会有所帮助,但Cisco VPN允许在Windowslogin之前进行连接。 SonicWALL可能有类似的选项。
在CiscoVPN上,您可以通过选项,Windowslogin属性,然后在login前勾选启动启动框。
重新启动笔记本电脑,您应该由VPN提示您的networking用户名和密码login到Windows之前。
(我意识到这是一个旧的post,但它可能有助于当今的技术)
这正是我更喜欢硬件站点到站点VPN解决scheme的原因。 我知道这并不能帮助你明确地解决你的问题,但是对于软件VPN的大部分问题,这将有很大的帮助。
这可能就像使用一对Adtran 2050路由器(甚至一些消费级Linksys路由器可以工作)一样简单,以build立适当的隧道。 你正在看几百块钱来节省几个小时的时间。
这里的另一个问题是如何处理组策略强制更改? 我们也让我们的用户用ctrl + alt + del改变他们的密码,并让他们改变他们的密码。 但是,我们很快就受到了SOX的恶意影响,不得不强迫我们的远程用户每30天更换一次密码(以前他们是免除的)。 起初,我们有一个脚本运行并通过电子邮件发送给用户他们即将到来的date,如果他们没有手动更改,该脚本locking了他们的帐户在30天以上。 但是,这显然不够理想。 我们使用了Checkpoint,做了一些调查,发现他们有一个叫“Secure Domain Logon”的选项。 基本上,当你第一次login你的工作站,在发生任何事情之前(直接input你的用户名/密码后)你的VPN客户端出现了。 您login到VPN,然后您的机器下载了所有适当的组策略…其中之一,被迫每30天更换一次密码。 用户改变了他们的密码,很好去。
唯一可能的问题是,如果他们正在使用caching域帐户…他们必须locking他们的机器caching凭据。
所以,把所有的东西都捆绑起来……或许看看Sonic是否有一个select,允许用户在机器login之前得到他们的GP。否则,Site VPN也会为你做这些。