Възможно ли е в Windows 7 да се организира прозрачната работа на отдалечени потребители с централен домейн на Active Directory чрез VPN връзка, така че потребителят да работи и да се свързва под своя акаунт в домейна, а всички политики и ограничения на домейна да действат на мобилния му компютър? Вече разгледахме начини за автоматично стартиране на VPN клиент в Windows, но всички тези методи имат един съществен недостатък - VPN връзка се инициира след потребителски вход. В крайна сметка, обикновено с VPN връзка, потребителят обикновено първо влиза, и едва след това стартира VPN клиента. Оказва се, че преди да инсталира VPN тунела, компютърът просто не може да вижда контролера на домейна и съответно не може да влезе в него под своя домейн акаунт. Разбира се, потребителят може да влезе в системата и да работи под локален акаунт, но първо е неудобно (за достъп до корпоративни ресурси непрекъснато трябва да посочвате парола) и второ, че не винаги е приложимо от гледна точка на политиката за корпоративна сигурност..
За да реализирате описаната схема на работа, трябва да използвате VPN клиент на трети страни, който ви позволява да установите vpn връзка, преди потребителят да влезе (работи като услуга), да създадете отделна услуга, базирана на rasphone / rasdial, или да използвате възможностите на технологията SSO (Единична регистрация) в Windows 7. Естествено се интересуваме от последната опция.
Така че, възможността да се установи VPN връзка с корпоративната мрежа, докато потребителят интерактивно влезе в компютъра, се появи в Windows Vista. Тази функционалност се основава на технологията SSO (Single Sign-On Technology) и също така работи в бъдещи версии на Windows..
В тази статия ще разгледаме процедурата за организиране на прозрачната работа на отдалечени потребители с централна мрежа от предприятия и домейн на Active Directory чрез „родния“ местен VPN клиент в Windows 7.
Изисквания за прилагане на възможността за осъществяване на VPN връзка преди влизане в системата в Windows
- За VPN връзка се използва родния Windows VPN клиент
- Компютърът на потребителя трябва да работи с корпоративни (по-стари) операционни системи Windows 7 (издания Professional, Enterprise или Ultimate).
- Компютърът трябва да бъде включен в домейн на Active Directory
И така, имаме компютър с Windows 7 Ultimate. На този етап той не е включен в домейна на Windows.
Нека започнем с настройка на обикновено VPN връзка. Няма да описваме подробно процеса на създаване на VPN връзка, като тя е изключително проста (пример за настройка на vpn връзка в Windows 8). Основният нюанс е, че в процеса на настройване на VPN връзка разрешете на други потребители да използват тази връзка (квадратчето „Разрешаване на други хора да използват тази връзка“). Само с тази отметка потребителят ще може да избере тази vpn връзка и да я стартира директно на екрана за вход (VPN SSO).
В следващата стъпка трябва да посочите потребителското име, паролата и домейна на Active Directory, с който ще бъдете свързани.
След това трябва да установите VPN връзка с домейна на Windows и да включите този компютър в неговия състав (подобно на това как да включите компютъра в домейна е описано тук). Тогава компютърът трябва да се рестартира.
Следващия път, когато компютърът се стартира, на екрана за вход натиснете бутона Превключване на потребителя, и намерете допълнителния син бутон в долния десен ъгъл на екрана (бутон) Вход в мрежа) .
С натискането на този бутон екранът за вход ще промени изгледа и ще покаже името на създадената преди това VPN връзка (Моята VPN връзка). Тук трябва да посочите потребителския акаунт и парола с правата на отдалечена връзка с домейна. Щраквайки върху бутона за вход, системата инициира VPN връзка и в същото време, използвайки същите идентификационни данни, упълномощава потребителя на локалния компютър.
След като влезе в системата и прилага политики за сигурност на домейна, потребителят ще може да използва всички корпоративни ресурси по същия начин, както ако работи на настолен компютър в централния офис.
В тази статия показахме как мобилните потребители на Windows 7 могат да използват своите акаунти в домейна, за да инициализират vpn връзка (докато не влязат в Windows) и едновременно да влязат в локалния компютър.