@algordon

Active Directory: как авторизовать пользователя вне локальной сети?

Имеется локальная сеть 10.x.x.x и контроллер домена на windows server 2019 в ней
КД находится на NAT, имеется внешний статический IP адрес.
У компании есть сотрудники, которые работают из дома или выезжают на проекты, в свою очередь они работают на ноутбуках, то есть возят его в собой в том числе для работы в офисе.

Каким образом пользователи могут входить в домен, находясь не в локальной сети офиса с КД?
Читал вариант реализации с терминальным сервером, но нет ресурсов в настоящий момент для его реализации.

Возможно ли настроить установку VPN соединения до ввода пароля пользователя Win? Читал про SSO, но вроде как работает только на Win7, а на ноутах сотрудников Win10.
  • Вопрос задан
  • 1919 просмотров
Пригласить эксперта
Ответы на вопрос 5
Если человек возит ноут с собой, и вам нужна только авторизация на нем под УЗ домена - то вообще не парьтесь. Винда кэширует креды последних (точно не помню, вроде 10-ти) пользователей, залогинившихся в системе. Т.е. юзеру нужно хотя бы 1 раз залогинится на бук, подключенный к сети, имеющей доступ к КД, и дальше он будет спокойно под тем же юзером работать офлайн (относительно домена). Есть нюанс - срок действия пароля. Если затем сотрудник/бук долго не будут авторизовываться в сети с доступом к КД (2 срока пароля в домене), то бук вылетит из домена - нужно будет переввести в домен, а сотруднику нужно будет ресетить пароль (должно при логине сразу предложить юзеру, по дефолту) при подключении к сети с доступом к КД.
*ВПН нужен уже для доступа к ресурсам сети.
**Про SSO вы не дочитали, но вряд ли вам это нужно на текущем этапе.
Ответ написан
Zoominger
@Zoominger Куратор тега Системное администрирование
System Integrator
Читал вариант реализации с терминальным сервером

Это идеальный вариант.
Ищите ресурсы.
Ответ написан
Комментировать
Комментировать
@nApoBo3
1.vpn до логина. Но там много весьма не очевидных вещей.
2. directaccess
3. azure, там можно поднять интеграцию с локальным ad.
4. кэширование учётных данных. По умолчанию оно есть, т.е. на объекте войти в систему сможет тот кто уже в нее входил, без доступа к контроллеру. А уже потом из сессии поднимается vpn, если нужен доступ к данным.
Ответ написан
Комментировать
@maniac_by
И не лень же людям в 2029 поднимать LDAP на майкроском убожестве...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы