Remove From My Forums

Login su Domain Controller da un PC in standby

Domanda
0

Registrati per votare

Ciao a tutti,

mi è stato chiesto se è possibile effettuare una login, quindi con autenticazione in AD e quant'altro, da un PC che si accende dallo standby.

Ho provato a spiegare che "dal mio punto di vista" la cosa non è possibile per una serie di motivi ( da li la mia spiegazione piu o meno tecnica ) e che in un DOMINIO per forza di cose, se ci si vuole autenticare con i DC / Fortigate / applicazione delle policy più varie ed eventuali, la macchina deve essere accesa normalmente.

Quindi la mia domanda è la seguente : è possibile farlo ? e se si o no, c'è della documentazione tecnica reperibile per girarla direttamente alla persona che ha posto la domanda ?

Grazie anticipatamente a tutti per le risposte.

mercoledì 21 marzo 2012 13:51

Risposta

|

Citazione

Risposte

0

Registrati per votare
Andiamo con ordine.

Con "suspend" di sicuro un Wakeup on LAN riattiva la postazione.

Con "hibernate" immagino di si (si tratta in sostanza di una macchina spenta, l'unica differenza è che lo stato della RAM viene salvato sul disco locale e ricaricato all'accensione).

Questo per la parte hardware del discorso.

Poi passiamo a parlare delle GPO.

Le group policy vengono aggiornate comunque ogni 90 minuti, per cui la tua postazione accesa o spenta prenderà ogni X minuti le policy aggiornate.

Infine i logon script.

Questi, invece, non girano a meno che tu non faccia un restart, visto che entrambi i casi citati (suspend e hibernate) ripristinano uno stato esistente in cui la postazione di lavoro aveva già effettuato quei passaggi.

Ricapitolando : puoi far tornare in linea macchine che supportino WOL probabilmente da entrambi gli stati con una chiamata di rete ed essere sicuro che le GPO verranno applicate con l'esclusione del logon script.

Se ti serve di forzare (anche) i logon script, devi associare al WOL un riavvio di macchina, anch'esso fattibile con die righe due di script.

Fabrizio Volpe
MVP Directory Services
MCSE (NT4)(2000)(2003) - MCSA (2003)
MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
VMware Certified Professional on vSphere 4
Fortinet Certified Network Security Professional (FCNSP)
Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
- Modificato Fabrizio Volpe giovedì 22 marzo 2012 08:17
- Proposto come risposta Edoardo BenussiMVP, Moderator giovedì 22 marzo 2012 09:12
- Contrassegnato come risposta Anca Popa martedì 8 maggio 2012 11:45
giovedì 22 marzo 2012 08:16

Risposta

|

Citazione

Tutte le risposte

0

Registrati per votare
cosa intendi per "standby" ?

intendi l'ibernazione?

se la risposta è si, io iberno sempre il mio client altrimenti ci metto 6 mesi a farlo partire ma quando esce dall'ibernazione mi chiede sempre l'autenticazione al dominio.

se intendi altro spiega meglio.
Edoardo Benussi
Microsoft MVP - Management Infrastructure
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 21 marzo 2012 14:06
- Proposta come risposta annullata Edoardo BenussiMVP, Moderator giovedì 22 marzo 2012 09:12
mercoledì 21 marzo 2012 14:06

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Puoi lanciare un "wake up on lan" e accendere un pc spento e (ritengo) anche una macchina in standby.

A quel punto puoi utilizzare delle GPO legate alla macchina (non all'utente), compresi script di logon / logoff.

Potresti anche lanciare un comando di shutdown a chiusura delle attività.

Per quanto riguarda il client Fortigate, potresti sfruttare regole legate a IP.

Detto tutto questo, se poi valga la pena di mettere in piedi tutto questo circo lo devi valutare tu :-D
Fabrizio Volpe
MVP Directory Services
MCSE (NT4)(2000)(2003) - MCSA (2003)
MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
VMware Certified Professional on vSphere 4
Fortinet Certified Network Security Professional (FCNSP)
Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

mercoledì 21 marzo 2012 14:24

Risposta

|

Citazione
0

Registrati per votare

Il discorso è che vuole essere operativo da subito partendo da un PC Ibernato, trattandosi di portatile.

Ma scusa, ti autentichi con le tue credenziali di DOMINIO e ci siamo, ma come fa la macchina a prendere dalle policy a tutto il resto se di fatto mi dovrebbe skippare gli script di login legati all'avvio della macchina ?

Con Fortigate non posso bloccarla all'IP, e autentica gli utenti, se devo farli autenticare o sbloccare per IP non mi passa più, sono 600 persone con il portatile.

Qualcosa mi sfugge !

mercoledì 21 marzo 2012 14:45

Risposta

|

Citazione
0

Registrati per votare
Ma scusa, ti autentichi con le tue credenziali di DOMINIO e ci siamo, ma come fa la macchina a prendere dalle policy a tutto il resto se di fatto mi dovrebbe skippare gli script di login legati all'avvio della macchina ?

Sono due fasi diverse. Se il client si accende e trova un domain controller si autentica (e riceve le sue GPO).

A quel punto arriva l'autenticazione a livello utente.

Mi pare di capire che tu però parli di un altro scenario, ovvero utente fuori rete che vorrebbe essere in VPN appena acceso il PC.

In quel caso l'unica strada con Fortigate è mettere un certificato sulle macchine e utilizzare le opzioni di dialin per fare in modo che il client si connetta prima del logon utente.

I certificati puoi crearli tranquillamente con un CA aziendale Microsoft.

Poi, detto questo, se dobbiamo infilarci in una discussione su prodotti non Microsoft, mi sa che siamo un po' OT :-P

Fabrizio Volpe
MVP Directory Services
MCSE (NT4)(2000)(2003) - MCSA (2003)
MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
VMware Certified Professional on vSphere 4
Fortinet Certified Network Security Professional (FCNSP)
Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
- Modificato Fabrizio Volpe mercoledì 21 marzo 2012 14:50
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 21 marzo 2012 14:53
- Proposta come risposta annullata Edoardo BenussiMVP, Moderator giovedì 22 marzo 2012 09:12
mercoledì 21 marzo 2012 14:50

Risposta

|

Citazione
0

Registrati per votare

Ti ringrazio per risposta Fabrizio,

mi riferivo alla login in un dominio da un PC in rete locale ma con la funziona "suspend" e non "iberante", ma se te mi dic che con Ibernate questo dovrebbe funzionare, domani stesso inizierò i primi test.

Quindi se il PC è in rete e "trova" un domain controller, questo mi prende le policy come se venirre acceso da zero, ovvero anche le policy di login legate alla macchina e non all'utente, corretto ??

Grazie

Umberto

mercoledì 21 marzo 2012 20:27

Risposta

|

Citazione
0

Registrati per votare

OT ;-) Ma se ci mettete un disco Ssd a 600mbit al secondo di transfer come ho su io sul notebook che fa system loading da spento a loggato in 12 sec non avete risolto tutto??? (anche con sistemi server!!) ;)

A.

mercoledì 21 marzo 2012 21:09

Risposta

|

Citazione

Moderatore
0

Registrati per votare
Andiamo con ordine.

Con "suspend" di sicuro un Wakeup on LAN riattiva la postazione.

Con "hibernate" immagino di si (si tratta in sostanza di una macchina spenta, l'unica differenza è che lo stato della RAM viene salvato sul disco locale e ricaricato all'accensione).

Questo per la parte hardware del discorso.

Poi passiamo a parlare delle GPO.

Le group policy vengono aggiornate comunque ogni 90 minuti, per cui la tua postazione accesa o spenta prenderà ogni X minuti le policy aggiornate.

Infine i logon script.

Questi, invece, non girano a meno che tu non faccia un restart, visto che entrambi i casi citati (suspend e hibernate) ripristinano uno stato esistente in cui la postazione di lavoro aveva già effettuato quei passaggi.

Ricapitolando : puoi far tornare in linea macchine che supportino WOL probabilmente da entrambi gli stati con una chiamata di rete ed essere sicuro che le GPO verranno applicate con l'esclusione del logon script.

Se ti serve di forzare (anche) i logon script, devi associare al WOL un riavvio di macchina, anch'esso fattibile con die righe due di script.

Fabrizio Volpe
MVP Directory Services
MCSE (NT4)(2000)(2003) - MCSA (2003)
MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
VMware Certified Professional on vSphere 4
Fortinet Certified Network Security Professional (FCNSP)
Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
- Modificato Fabrizio Volpe giovedì 22 marzo 2012 08:17
- Proposto come risposta Edoardo BenussiMVP, Moderator giovedì 22 marzo 2012 09:12
- Contrassegnato come risposta Anca Popa martedì 8 maggio 2012 11:45
giovedì 22 marzo 2012 08:16

Risposta

|

Citazione
0

Registrati per votare

Mannaggia, mi ero illuso per un attimo, allora era come pensavo, il mio problema di base sono i logon script e l'autenticazione kerberos della macchina per il fortigate che autentica l'utente al suo IP preso perdipiù dal DHCP.

Mi sa che l'unica è farla riavviare o farla accendere da zero, o mi sono perso qalcosa ?

giovedì 22 marzo 2012 13:30

Risposta

|

Citazione
1

Registrati per votare

A grandi linee no.

Ribadisco quanto detto prima : autentica la macchina con un certificato piuttosto che con IP o Kerberos.

A quel punto qualsiasi sia lo stato della macchina, il firewall dovrebbe riconoscere la postazione.

http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-authentication-40-mr3.pdf

Se vedi pagina 19 "Certificate-based authentication" e consideri che puoi usare il server di rete come CA e che puoi distribuire i certificati alle macchine tramite Active Directory, capisci cosa intendo.
Fabrizio Volpe
MVP Directory Services
MCSE (NT4)(2000)(2003) - MCSA (2003)
MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
VMware Certified Professional on vSphere 4
Fortinet Certified Network Security Professional (FCNSP)
Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

giovedì 22 marzo 2012 13:35

Risposta

|

Citazione
0

Registrati per votare

Ciao UnclePear,

Evidenzio i consigli di Fabrizio come risposta, in attesa di eventuali aggiornamenti da tua parte (speriamo positivi).

Grazie a tutti della partecipazione nel forum,
Anca Popa

La Conferenza Italiana sulla Virtualizzazione

Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

martedì 8 maggio 2012 11:48

Risposta

|

Citazione

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

Login su Domain Controller da un PC in standby

Domanda

Risposte

Tutte le risposte