Je možné v systéme Windows 7 zorganizovať transparentnú prevádzku vzdialených používateľov s centrálnou doménou Active Directory prostredníctvom pripojenia VPN, aby používateľ pracoval a pripojil sa pod vlastným účtom v doméne a aby všetky jeho doménové politiky a obmedzenia pôsobili na jeho mobilný počítač? Už sme uvažovali o spôsoboch automatického spustenia klienta VPN v systéme Windows, všetky tieto metódy však majú jednu významnú nevýhodu - pripojenie VPN sa iniciuje po prihlasovacie meno používateľa. Koniec koncov, zvyčajne s pripojením VPN, sa užívateľ zvyčajne najprv prihlási a až potom spustí klienta VPN. Ukazuje sa, že pred inštaláciou tunela VPN počítač jednoducho nevidí radič domény a podľa toho sa nemôže prihlásiť do svojho doménového účtu. Užívateľ sa samozrejme môže prihlásiť do systému a pracovať pod lokálnym účtom, ale v prvom rade je to nepohodlné (pre prístup k podnikovým zdrojom musíte neustále zadávať heslo), a za druhé, nie vždy sa uplatňuje z hľadiska firemnej bezpečnostnej politiky..
Ak chcete implementovať opísanú schému práce, musíte použiť VPN klienta tretej strany, ktorý vám umožní nadviazať spojenie vpn pred prihlásením používateľa (funguje ako služba), vytvoriť samostatnú službu založenú na rasphone / rasdial alebo využiť možnosti technológie SSO (Single Sign-On) vo Windows 7. Samozrejme nás zaujíma druhá možnosť.
V systéme Windows Vista sa teda objavila možnosť nadviazať pripojenie VPN k podnikovej sieti, kým sa používateľ interaktívne neprihlásil k počítaču. Táto funkcia je založená na technológii SSO (Single Sign-On Technology) a funguje aj v budúcich verziách systému Windows..
V tomto článku sa budeme zaoberať postupom na organizovanie transparentnej práce vzdialených používateľov s centrálnou sieťou podnikov a doménou Active Directory prostredníctvom „natívneho“ natívneho klienta VPN v systéme Windows 7..
Požiadavky na implementáciu možnosti vytvorenia pripojenia VPN pred vstupom do systému v systéme Windows
- Na pripojenie VPN sa používa natívny klient VPN systému Windows
- Na počítači používateľa musia byť spustené podnikové (staršie) operačné systémy Windows 7 (vydania Professional, Enterprise alebo Ultimate)..
- Počítač musí byť súčasťou domény Active Directory
Máme počítač so systémom Windows 7 Ultimate. V tejto fáze nie je súčasťou domény Windows.
Začnime nastavením zvyčajne pripojenia VPN. Nebudeme podrobne popisovať proces vytvárania pripojenia VPN, as je to veľmi jednoduché (príklad nastavenia pripojenia vpn v systéme Windows 8). Hlavnou nuanciou je to, že v procese nastavenia pripojenia VPN umožňujú ostatným používateľom používať toto pripojenie (začiarkavacie políčko „Povoliť ostatným používať toto pripojenie“). Iba pomocou tohto začiarkavacieho políčka bude môcť užívateľ vybrať toto pripojenie vpn a spustiť ho priamo na prihlasovacej obrazovke (VPN SSO)..
V ďalšom kroku musíte zadať používateľské meno, heslo a doménu služby Active Directory, s ktorou budete pripojení.
Ďalej je potrebné nadviazať spojenie VPN s doménou Windows a zahrnúť tento počítač do jeho zloženia (podobne ako tu je opísané, ako zahrnúť počítač do domény). Potom sa počítač musí reštartovať.
Pri ďalšom štarte počítača na prihlasovacej obrazovke stlačte tlačidlo Prepnúť používateľa, a nájdite ďalšie modré tlačidlo v pravom dolnom rohu obrazovky (tlačidlo Prihlásenie do siete) .
Kliknutím na toto tlačidlo sa zmení prihlasovacia obrazovka a zobrazí sa názov predtým vytvoreného pripojenia VPN (Moje pripojenie VPN). Tu musíte zadať užívateľský účet a heslo s právami na vzdialené pripojenie k doméne. Kliknutím na tlačidlo prihlásenia systém iniciuje pripojenie VPN a zároveň pomocou rovnakých oprávnení oprávňuje používateľa na lokálnom počítači..
Po vstupe do systému a uplatňovaní zásad zabezpečenia domény bude môcť užívateľ využívať všetky podnikové zdroje rovnakým spôsobom, ako keby pracoval na stolnom počítači v centrálnej kancelárii..
V tomto článku sme ukázali, ako môžu mobilní používatelia systému Windows 7 používať svoje doménové účty na inicializáciu pripojenia vpn (kým sa neprihlásia do systému Windows) a súčasne sa neprihlásia k miestnemu počítaču.