Czy w systemie Windows 7 można zorganizować przejrzystą pracę zdalnych użytkowników z centralną domeną Active Directory za pośrednictwem połączenia VPN, tak aby użytkownik pracował i łączył się ze swoim własnym kontem w domenie, a wszystkie zasady domeny i ograniczenia działały na jego komputerze mobilnym? Rozważaliśmy już sposoby automatycznego uruchamiania klienta VPN w systemie Windows, jednak wszystkie te metody mają jedną istotną wadę - inicjowane jest połączenie VPN po login użytkownika. W końcu, zwykle przy połączeniu VPN, użytkownik zwykle najpierw loguje się, a dopiero potem uruchamia klienta VPN. Okazuje się, że przed zainstalowaniem tunelu VPN komputer po prostu nie widzi kontrolera domeny, a zatem nie może zalogować się do niego na swoim koncie domeny. Oczywiście użytkownik może zalogować się do systemu i pracować na koncie lokalnym, ale po pierwsze jest to niewygodne (w celu uzyskania dostępu do zasobów korporacyjnych należy stale określać hasło), a po drugie nie zawsze ma to zastosowanie z punktu widzenia korporacyjnej polityki bezpieczeństwa.
Aby wdrożyć opisany schemat pracy, musisz użyć klienta VPN innej firmy, który umożliwia nawiązanie połączenia VPN przed zalogowaniem się użytkownika (działa jako usługa), utworzenie oddzielnej usługi opartej na rasphone / rasdial lub wykorzystanie możliwości technologii SSO (logowanie jednokrotne) w Windows 7. Jesteśmy naturalnie zainteresowani tą drugą opcją.
Tak więc możliwość nawiązania połączenia VPN z siecią korporacyjną, dopóki użytkownik interaktywnie zaloguje się na komputerze, nie pojawił się w systemie Windows Vista. Ta funkcjonalność oparta jest na technologii SSO (Single Sign-On Technology) i działa również w przyszłych wersjach systemu Windows..
W tym artykule rozważymy procedurę organizacji przezroczystej obsługi zdalnych użytkowników za pomocą centralnej sieci przedsiębiorstw i domeny Active Directory za pośrednictwem „rodzimego” natywnego klienta VPN w systemie Windows 7.
Wymagania dotyczące wdrożenia możliwości nawiązania połączenia VPN przed wejściem do systemu w systemie Windows
- W przypadku połączenia VPN używany jest natywny klient VPN systemu Windows
- Na komputerze użytkownika musi być zainstalowany system operacyjny Windows 7 w wersji Enterprise (starsze) (wersje Professional, Enterprise lub Ultimate).
- Komputer musi należeć do domeny Active Directory
Mamy więc komputer z systemem Windows 7 Ultimate. Na tym etapie nie znajduje się w domenie Windows.
Zacznijmy od skonfigurowania połączenia VPN. Nie będziemy szczegółowo opisywać procesu tworzenia połączenia VPN, as jest to bardzo proste (przykład konfiguracji połączenia VPN w Windows 8). Główny niuans polega na tym, że podczas konfigurowania połączenia VPN zezwól innym użytkownikom na korzystanie z tego połączenia (pole wyboru „Zezwalaj innym osobom na korzystanie z tego połączenia”). Tylko z tym polem wyboru użytkownik będzie mógł wybrać to połączenie VPN i uruchomić je bezpośrednio na ekranie logowania (SSO VPN).
W następnym kroku musisz podać nazwę użytkownika, hasło i domenę Active Directory, z którą będziesz się łączyć.
Następnie musisz ustanowić połączenie VPN z domeną Windows i włączyć ten komputer w jego skład (tutaj opisano sposób włączenia komputera w domenie). Następnie komputer musi zostać uruchomiony ponownie.
Następnym razem, gdy komputer uruchomi się, na ekranie logowania naciśnij przycisk Zmień użytkownika, i znajdź dodatkowy niebieski przycisk w prawym dolnym rogu ekranu (przycisk Logowanie do sieci) .
Po kliknięciu tego przycisku ekran logowania zmieni widok i wyświetli nazwę wcześniej utworzonego połączenia VPN (Moje połączenie VPN) W tym miejscu musisz podać konto użytkownika i hasło z uprawnieniami do zdalnego połączenia z domeną. Klikając przycisk logowania, system inicjuje połączenie VPN, a jednocześnie użycie tych samych danych uwierzytelniających autoryzuje użytkownika na komputerze lokalnym.
Po wejściu do systemu i zastosowaniu zasad bezpieczeństwa domeny użytkownik będzie mógł korzystać ze wszystkich zasobów korporacyjnych w taki sam sposób, jak gdyby pracował na komputerze stacjonarnym w biurze centralnym.
W tym artykule pokazaliśmy, jak mobilni użytkownicy systemu Windows 7 mogą korzystać ze swoich kont domeny w celu zainicjowania połączenia VPN (dopóki nie zalogują się do systemu Windows) i jednocześnie logują się na komputerze lokalnym.