Чи можливо в Windows 7 організувати прозору роботу віддалених користувачів з центральним доменом Active Directory за допомогою VPN з'єднання так, щоб користувач працював і підключався під власною обліковим записом в домені, а на його мобільний комп'ютер діяли всі доменні політики та обмеження? Ми вже розглядали способи автоматичного запуску VPN клієнта в Windows, проте всі зазначені способи мають один суттєвий недолік - VPN з'єднання ініціюється після входу користувача в систему. Адже зазвичай при VPN підключенні користувач зазвичай спочатку входить в систему, а лише потім запускає VPN клієнт. Виходить, що до установки VPN тунелю комп'ютер просто не може бачити контролер домену, і, відповідно, не може авторизуватися на ньому під своєю доменної обліковим записом. Звичайно, користувач може увійти в систему і працювати під локальної обліковим записом, але це по-перше незручно (для доступу корпоративних ресурсів необхідно постійно вказувати пароль), а по-друге не завжди можна застосувати з точки зору корпоративної політики безпеки.
Для реалізації описаної схеми роботи необхідно скористатися стороннім VPN клієнтом, що дозволяє встановлювати vpn з'єднання до входу користувача в систему (працює як служба), створити окрему службу на базі rasphone / rasdial або ж скористатися можливостями технології SSO (Single Sign-On) в Windows 7. Нас, природно, цікавить останній варіант.
Отже, можливість встановити VPN підключення до корпоративної мережі до моменту інтерактивного входу користувача (Логон) в комп'ютер, з'явилася ще в Windows Vista. Даний функціонал заснований на технології SSO (технології єдиного входу) і працює також в наступних версіях Windows.
У цій статті ми розглянемо процедуру організації прозорої роботи віддалених користувачів з центральною мережею підприємств і доменом Active Directory за допомогою "рідного" нативного клієнта VPN в Windows 7.
Вимоги для реалізації можливості здійснення VPN підключення до входу в систему в Windows
- Для VPN підключення використовується рідний Windows VPN клієнт
- Комп'ютер користувача повинен працювати під управлінням корпоративних (старших редакцій) ОС Windows 7 (Professional, Enterprise або Ultimate редакції).
- Комп'ютер повинен бути включений в домен Active Directory
Отже, у нас є комп'ютер з Windows 7 Ultimate. На даному етапі до складу домену Windows він не включений.
Почнемо з настройки зазвичай VPN підключення. Ми не буде докладно описувати процес створення VPN підключення, тому що він гранично простий (приклад налаштування vpn з'єднання в Windows 8). Головний нюанс - в процесі настройки VPN підключення дозволити іншим користувачам використовувати дане підключення (чекбокс "Allow other people to use this connection"). Тільки при наявності даної галочки користувач зможе вибрати дане vpn підключення і запустити його прямо на екрані входу в систему (VPN SSO).
На наступному кроці необхідно вказати ім'я користувача, пароль і домен Active Directory, з яким буде встановлюватися зв'язок.
Далі необхідно встановити VPN з'єднання з доменом Windows і включити даний ПК в його склад (подібно про те, як включити ПК до складу домену описано тут). Потім комп'ютер потрібно перезавантажити.
При наступному завантаженні комп'ютера на екрані входу в систему необхідно натиснути кнопку Switch User, і знайти додаткову синю кнопку в нижньому правому куті екрану (кнопка Network Logon) .
Натиснувши цю кнопку, екран входу поміняє вигляд і відобразить назву створеного раніше VPN підключення (My VPN Connection). Тут необхідно вказати обліковий запис і пароль користувача з правами віддаленого підключення до домену. Натиснувши кнопку входу, система ініціює VPN підключення, і одночасно за допомогою цих же облікових даних авторизує користувача на локальному комп'ютері.
Після входу в систему і застосування політик безпеки домена, користувач зможе користуватися всіма корпоративними ресурсами точно також, як ніби він працює за стаціонарним комп'ютером в центральному офісі.
У цій статті ми показали яким чином мобільні користувачі Windows 7 можуть використовувати свої доменні облікові записи для ініціалізації vpn підключення (до моменту входу в Windows) і одночасного інтерактивного входу на локальний комп'ютер.