我们正在考虑将60多个子域中的35k用户迁移到父域(root)域。 我们能够使用ADMT迁移用户。 用户可以随后使用其根域凭据login,一切正常。 但是,我们有很多用户只能通过VPN连接。 我们正在使用基于用户证书的VPN。 用户必须先使用来自传统域的caching凭据login到工作站,然后才能build立到公司networking的安全连接(通过用户证书对VPN端点进行身份validation)。 我们能够将用户迁移到父域。 只要客户端没有连接到DC,用户就可以使用他的caching凭据login,甚至可以启动VPN连接。 在这一点上,他将不得不注销,然后用他的新(根)域凭据login。 但是,一旦他注销VPN隧道终止,用户无法对根域的DC进行身份validation。 如果没有第一次身份validation,就没有可存储在客户端上的根域的caching凭据,我们又回到了开始阶段。 不幸的是,VPN客户端不能以允许用户注销并保持build立VPN隧道的方式进行configuration。 我们也试图做一个“runas”或“切换用户”,但它不会工作。
有什么build议么? 我希望我清楚,如果不让我知道,我会很乐意详细说明。
我也经历过类似的情况。 我们有三个不错的解决scheme
我们结束了使用所有三个解决scheme,取决于当地的工作人员。 由于机器SID发生变化,因此在login之前不能依赖使用证书进行连接的VPN解决scheme,因为私钥在SID更改后将丢失。
我试图用本地用户账号对基于PPTP VPN的精细解决scheme进行蓝图化,但是你不能编写一些部分的脚本,而且我总体上对很多可能失败/破解的地方感到不舒服。