Возможно ли в Windows 7 организовать прозрачную работу удалённых пользователей с центральным доменом Active Directory посредством VPN соединения так, чтобы пользователь работал и подключался под собственной учетной записью в домене, а на его мобильный компьютер действовали все доменные политики и ограничения? Мы уже рассматривали способы автоматического запуска VPN клиента в Windows, однако все указанные способы имеют один существенный недостаток – VPN соединение инициируется после входа пользователя в систему. Ведь обычно при VPN подключении пользователь обычно сначала входит в систему, а лишь потом запускает VPN клиент. Получается, что до установки VPN туннеля компьютер просто не может видеть контроллер домена, и, соответственно, не может авторизоваться на нем под своей доменной учетной записью. Конечно, пользователь может войти в систему и работать под локальной учетной записью, но это во-первых неудобно (для доступа корпоративным ресурсам необходимо постоянно указывать пароль), а во-вторых не всегда применимо с точки зрения корпоративной политики безопасности.
Для реализации описанной схемы работы необходимо воспользоваться сторонним VPN клиентом, позволяющим устанавливать vpn соединение до входа пользователя в систему (работает как служба), создать отдельную службу на базе rasphone/rasdial или же воспользоваться возможностями технологии SSO (Single Sign-On) в Windows 7. Нас, естественно, интересует последний вариант.
Итак, возможность установить VPN подключения к корпоративной сети до момента интерактивного входа пользователя (логона) в компьютер, появилась еще в Windows Vista. Данный функционал основан на технологии SSO (технологии единого входа) и работает также в последующих версиях Windows.
В этой статье мы рассмотрим процедуру организации прозрачной работы удаленных пользователей с центральной сетью предприятий и доменом Active Directory посредством «родного» нативного клиента VPN в Windows 7.
Требования для реализации возможности осуществления VPN подключения до входа в систему в Windows
- Для VPN подключения используется родной Windows VPN клиент
- Компьютер пользователя должен работать под управлением корпоративных (старших редакций) ОС Windows 7 (Professional, Enterprise или Ultimate редакции).
- Компьютер должен быть включен в домен Active Directory
Итак, у нас имеется компьютер с Windows 7 Ultimate. На данном этапе в состав домена Windows он не включен.
Начнем с настройки обычно VPN подключения. Мы не будет подробно описывать процесс создания VPN подключения, т.к. он предельно прост (пример настройки vpn соединения в Windows 8). Главный нюанс – в процессе настройки VPN подключения разрешить другим пользователям использовать данное подключение (чекбокс «Allow other people to use this connection»). Только при наличии данной галочки пользователь сможет выбрать данное vpn подключение и запустить его прямо на экране входа в систему (VPN SSO).
На следующем шаге необходимо указать имя пользователя, пароль и домена Active Directory, с которым будет устанавливаться связь.
Далее необходимо установить VPN соединение с доменом Windows и включить данный ПК в его состав (подобно о том, как включить ПК в состав домена описано тут). Затем компьютер нужно перезагрузить.
При следующей загрузке компьютера на экране входа в систему необходимо нажать кнопку Switch User, и найти дополнительную синюю кнопку в нижнем правом углу экрана (кнопка Network Logon) .
Нажав данную кнопку, экран входа поменяет вид и отобразит название созданного ранее VPN подключения (My VPN Connection). Здесь необходимо указать учетную запись и пароль пользователя с правами удаленного подключения к домену. Нажав кнопку входа, система инициирует VPN подключение, и одновременно с помощью этих же учетных данных авторизует пользователя на локальном компьютере.
После входа в систему и применения политик безопасности домена, пользователь сможет пользоваться всеми корпоративными ресурсами точно также, как будто он работает за стационарным компьютером в центральном офисе.
В этой статье мы показали каким образом мобильные пользователи Windows 7 могут использовать свои доменные учетные записи для инициализации vpn подключения (до момента входа в Windows) и одновременного интерактивного входа на локальный компьютер.
круто! давно искал в инете данную тему! спасибо за инфу!!!
вот если бы ещё можно было научить ноутбуки wi-fi запускать перед логоном пользователя, вообще бы цены не было!!!
согласен. WiFi после входа пользователя вообще огромная проблема, а решения нет нигде.
Решение есть. Штатными средствами винды. Использовал его еще лет 12 назад на Windows XP+Server 2003
А если ПК с Вин7 уже в домене то его нужно выводить ? не совсем понятен этот момент 🙁
С доменным ПК на Вин8.1 такой сценарий работает?
В тестируемом примере ПК с Win 7 находился в домене (на недоменном ПК менюшка не должна показываться).
В Win 8.1 такую схему не пробовал, но думаю на доменном ПК должно работать, если только разработчики не отказались от такого входа в пользу DirectAccess
А с Windows 10 не прокатил такой сабж 🙁
Спасибо вам за статью, очень помогло, в некоторых вопросах. Но у нас немного иная ситуация.
Вы писали следующее
———————————————————————————————-
Здесь необходимо указать учетную запись и пароль пользователя с правами удаленного подключения к домену. Нажав кнопку входа, система инициирует VPN подключение, и одновременно с помощью этих же учетных данных авторизует пользователя на локальном компьютере.
———————————————————————————————-
А возможно ли сделать так, чтобы система инициировала VPN подключение, но одно временно не использовала эти же учетные данные для авторизации пользователя. Есть два разных домена. Домен Д1, к которому подключен VPN-сервер и домен Д2, у которого нет VPN-сервера, но есть локальное подключение к домену Д1.
Как нам быть, может быть у вас будет совет?
Нам необходимо войти в систему под учетной записью домена Д2.
Вам видимо лучше испольовать другую схему. VPN подключение под Д1 осуществляется службой до входа пользователя в систему (https://winitpro.ru/index.php/2012/11/26/avtozapusk-vpn-v-windows/), а затем вы авторизуетесь в домене под другой учеткой Д2. Главное, чтобы после установки VPN подключения был доступен контроллер домена 2.
Но недостаток — пароль Д1 — хранится в открытом виде.
а как быть если vpn сервер не является доменом контролером а существует на роутере со своими учетными записями? такой способ как то можно к этому способу приделать?
Да — если используете встроенный в Windows VPN клиент. Если нет — нужно разбираться с VPN — софтом: умеет ли он работать в виде службы.
Вот только не пойму, зачем вам устанавливать vpn до входа пользователя в систему. В вашем случае нужно просто настроить автозапуск VPN клиента при входе пользователя.Хотя бы здесь посмотрите: https://winitpro.ru/index.php/2016/01/27/autoredial-dlya-vpn-soedinenij-windows-82008102012/
подскажите, пожалуйста, а если нужно наоборот — скрыть кнопку «Network Logon» с логон скрина?
это можно сделать изменив значение ключа в реестре (какой ключ за это отвечает)?
заранее спасибо