Почему рабочая станция не дает войти в отсутствие связи с DC?
Добрый день всем! Столкнулся вот с проблемой - у нас много народу на удаленке, еще пару лет назад настроили максимальное значение входов, пока нет связи с контроллером домена (50) - параметр в групповой политике Interactive logon: Number of previous logons to cache (in case domain controller is not available). И вот постепенно проапгрейдились до Windows 11 Pro с десятки - стал замечать, что даже если ноут человек забирает из офиса домой (для подключения к офисной сети там предусмотрен VPN с OTP), то не может войти под собой на этом ноуте. Пишет, что "домен недоступен". Выкрутиться можно только войдя под локальным админом и запустив там VPN, а потом переключиться в доменную учетку. Но это дикий костыль - почему так может происходить? Спасибо за помощь.
Number of previous logons to cache - это не лимит входов без связи с доменом, а количество учёток, которые кэшируются локально и не требуют связи с доменом для входа. 50 - значит компьютер запомнит данные пятидесяти последних доменных пользователей, логинившихся на этом компьютере.
Rsa97, Погодите, правильно ли понимаю, что если взять такую рабочую станцию, спрятать на месяц, условно говоря, на склад и затем достать-включить в чужой сети (без доступа к контроллеру домена)-она все еще пустит в профиль? Вроде бы есть какое-то ограничение именно по времени?
shupike, Пустит, если срок действия пароля не истечёт. Обратно в домен может и не войдёт, потеряв доверительные отношения из-за истечения срока действия токена компьютера, а пользователя пустит, если он закэширован.
Rsa97, может быть, имеет тогда смысл увеличить срок действия токена? И все-таки что можно придумать с Windows 11? Пока вот так через костыль входить после каждой перезагрузки/выключения?
Alexey Dmitriev, а причем тут происхождение впна, корпоративный он или нет? Речь то о нативном стоковом впн в винде, а не о стороннем софте типа кериовпн клиент или сиско эниконект.
Keffer, кхе, чем принципиально проприетарный протокол anyconnect отличается от проприетарного протокола sstp?
Тут резоннее говорить о том, что демонстрация logon screen и вообще любое взаимодействие с рабочим столом или сессией пользователя в ос никакого отношения к vpn не имеет, это дополнительные функции всяких там комбайнов
Ziptar, тем что первый не встроен в ос нативно, а второй - встроен. И поднять впн по sstp находясь на LOGON экране невозможно с первым, но возможно со вторым.
Ziptar, можно, если это 1 впн. скрипт автозапуска ему и готово, до логона юзверя. А если нужно разные для разных людей? Тут только стоковые отработают норм, а сторонние в LOGON встраиваться не умеют в win 10/11
(50) - параметр в групповой политике Interactive logon: Number of previous logons to cache (in case domain controller is not available).
Проверьте, применилась ли эта политика на Win11. Вы говорите о том, что этот параметр задан политикой на сервере. А дошла ли эта политика до ноутбуков - неизвестно.
Вы знаете, смогу проверить только в понедельник - отпишусь тогда. Но на моем рабочем ноуте точно политика применена, правда, он почти всегда находится в офисной сети и связь с DC не теряет... С другой стороны, политика уже 3 года существует и вряд ли бы не применилась на новой рабочей станции.
В итоге проверил - этот сотрудник с пятницы не жаловался больше, политика применена (скрин с проблемного ноута). Видимо, какой-то странный глюк периодически происходит.
Я у себя сделал по другому. Ноуты всегда при наличии интернета подключаются по впн от имени системы.
При этом пользователи сами не могут отключить или посмотреть пароль от впн если не администраторы.
Использую планировщик
1. передаем в rasdial32 хост логин и пароль. Он при запуске поднимет профиль виндовс впн который прописан в системе у всех
2. Простой скрипт на PS. Который пингует полное имя сервера AD с доменом, если условно пинг есть то ничего не делает, если пинга нет то запускает первую задачу. В настройках запуск при старте системы и раз в 5 минут все время.
Простой
Средний
