Je možné v systému Windows 7 organizovat transparentní provoz vzdálených uživatelů s centrální doménou Active Directory prostřednictvím připojení VPN, aby uživatel pracoval a připojoval se pod svým vlastním účtem v doméně a aby všechny jeho zásady a omezení fungovaly na jeho mobilním počítači? Již jsme uvažovali o způsobech, jak automaticky spustit klienta VPN ve Windows, nicméně všechny tyto metody mají jednu významnou nevýhodu - je zahájeno připojení VPN po přihlášení uživatele. Koneckonců, obvykle s připojením VPN, se uživatel obvykle nejprve přihlásí a teprve poté spustí klienta VPN. Ukázalo se, že před instalací tunelu VPN počítač jednoduše nevidí řadič domény, a proto se k němu nemůže přihlásit pod svým účtem domény. Uživatel se samozřejmě může přihlásit do systému a pracovat pod lokálním účtem, ale za prvé je to nepohodlné (pro přístup k podnikovým prostředkům musíte neustále zadat heslo), a za druhé to není vždy použitelné z hlediska podnikové bezpečnostní politiky.
Chcete-li implementovat popsané schéma práce, musíte použít klienta VPN třetí strany, který vám umožní navázat připojení vpn před přihlášením uživatele (funguje jako služba), vytvořit samostatnou službu založenou na rasphone / rasdial nebo použít možnosti technologie SSO (Single Sign-On) ve Windows 7. O druhou možnost se samozřejmě zajímáme.
V systému Windows Vista se tedy objevila možnost navázat připojení VPN k podnikové síti, dokud se uživatel interaktivně nepřihlásil k počítači. Tato funkce je založena na technologii SSO (Single Sign-On Technology) a funguje také v budoucích verzích Windows..
V tomto článku se budeme zabývat postupem pro organizaci transparentního provozu vzdálených uživatelů s centrální sítí podniků a doménou Active Directory pomocí „nativního“ nativního klienta VPN v systému Windows 7.
Požadavky na implementaci možnosti vytvoření připojení VPN před vstupem do systému v systému Windows
- Pro připojení VPN se používá nativní VPN klient Windows
- Počítač uživatele musí používat podnikové (starší) operační systémy Windows 7 (edice Professional, Enterprise nebo Ultimate).
- Počítač musí být součástí domény Active Directory
Máme tedy počítač s Windows 7 Ultimate. V této fázi není součástí domény Windows.
Začněme nastavením obvykle připojení VPN. Nebudeme podrobně popisovat proces vytváření připojení VPN, as je to velmi jednoduché (příklad nastavení připojení vpn v systému Windows 8). Hlavní nuance spočívá v tom, že při nastavování připojení VPN umožňují ostatním uživatelům toto připojení používat (zaškrtávací políčko „Povolit ostatním používat toto připojení“). Pouze s tímto zaškrtávacím políčkem bude uživatel moci vybrat toto připojení vpn a spustit jej přímo na přihlašovací obrazovce (VPN SSO).
V dalším kroku musíte zadat uživatelské jméno, heslo a doménu služby Active Directory, se kterou budete spojeni.
Dále je třeba navázat spojení VPN s doménou Windows a zahrnout tento počítač do jeho složení (podobně jako zde je popsáno zařazení počítače do domény). Poté se počítač musí restartovat.
Při příštím spuštění počítače stiskněte na přihlašovací obrazovce tlačítko Přepnout uživatele, a najděte další modré tlačítko v pravém dolním rohu obrazovky (tlačítko Přihlášení k síti) .
Po kliknutí na toto tlačítko se přihlašovací obrazovka změní a zobrazí název dříve vytvořeného připojení VPN (Moje připojení VPN) Zde musíte zadat uživatelský účet a heslo s právy vzdáleného připojení k doméně. Kliknutím na tlačítko přihlášení systém iniciuje připojení VPN a zároveň pomocí stejných přihlašovacích údajů autorizuje uživatele v místním počítači.
Po vstupu do systému a použití zásad zabezpečení domény bude mít uživatel možnost využívat všechny podnikové zdroje stejným způsobem, jako by pracoval na stolním počítači v ústřední kanceláři..
V tomto článku jsme ukázali, jak mobilní uživatelé systému Windows 7 mohou pomocí svých doménových účtů inicializovat připojení vpn (dokud se nepřipojí k systému Windows) a současně se přihlásit k místnímu počítači.