locked
come si può fare il login ad un dominio da un pc non-domain joined tramite vpn con windows 7 RRS feed

  • Domanda

  • una saluto a tutti,
    ho già impostato da tempo la vpn aziendale e dai pc remoti riesco a collegarmi con la rete aziendale senza problemi (la vpn è gestita da Isa server che è preceduto da un firewall hardware utilizzando un IP fisso sulla rete internet).
    I pc che al momento usano la vpn sono un paio di windows 7 e un paio di windows XP.
    Questi pc esterni alla organizzazione, una volta collegati alla rete aziendale tramite VPN usano RDP per collegarsi alla loro postazione in azienda.

    Ora per esigenze diverse e sempre tramite la connessione VPN vorrei poter far si che utenti del gruppo venditori si loggino alla rete di dominio con il loro pc personale (ovviamente i pc non sono in join con il dominio). Mi chiedo se è possibile far in modo che quando si loggano al pc dal loro ufficio o da casa, possano scegliere di loggare sul dominio aziendale e far avviare la VPN di conseguenza. Ma non capisco come si possa fare questa cosa sia sui pc windows 7 che su quelli xp (per xp mi sembra di ricordare che fosse possibile selezionare una opzione di dial-up domain logon). Sto cercando di far accedere tramite autenticazione al dominio  perchè diventa più semplice gestire condivisioni, applicazioni etc. già utilizzate all'interno dell'azienda, ma ripeto non so come fare per fargli fare il login al dominio.
    Grazie

    mercoledì 25 aprile 2012 15:08

Tutte le risposte

  • Ciao, ammesso che siano tutti sistemi Professional e non Home sui client esterni la soluzione che preferisco e creare comunque un utente di dominio sui client con le credenziali corrette di quell'utente e poi quando sono fuori sede entrare con quello con la connessione remota per il login. In questo modo gestisci gli utenti come se fossero in AD. Se invece la tua idea è di fargli gestire i loro account privati ma che poi si logghino con di mirror account al dominio diventa una cosa un po barbara perchè l'accesso alle risorse da sempre problemi. Puoi fare join del client e poi si logga col profilo locale quando vuole lavorare sui suoi files e su quello aziendale quando vuole lavorare sull'azienda. Molto professionale :-)

    A.

    giovedì 26 aprile 2012 08:15
    Moderatore
  • Ok tutti pc con s.o. Pro. Ok certo anche per il discorso dell'utente come dici tu. Mi resta ancora da capire come fanno a loggarsi nel dominio dato che non c'è modo di inserire il dominio in fase di logon (manca la box di inserimento dominio...). Stiamo parlando di utenti locali al pc (anche il nuovo utente con credenziali uguali a quelle usate nel dominio è pur sempre un utente locale inserito nel databse locale del pc). Come ci si logga in un dominio quando il pc non è registrato nel dominio e quindi non presenta la box di immissione dominio in fase di logon? Grazie
    giovedì 26 aprile 2012 20:20
  • Devi loggare prima il client al dominio localmente, poi quando esce dall'azienda a quel punto hai sia l'opzione di loggarlo su "questo pc" con il suo utente sia quello di loggarlo a dominio con l'opzione "usa accesso remoto" naturalmente avrai configurato un server o il tuo server in un RRAS server. e tutto fila perfettamente. gli utenti saranno diversi naturalmente, uno sotto dominio avrà solo le cose aziendali, l'altro privato accederà al pc fará parte del gruppo degli admin locali. ci sei?

    A. 

    giovedì 26 aprile 2012 20:30
    Moderatore
  • Ok, ma affinche l'utente si possa loggare al dominio bisogna che il pc dell'utente venga registrato nel dominio.
    Per fare questo, il pc,  deve fisicamente (almeno una volta) collegarsi alla rete aziendale.
    Alcuni venditori sono stranieri e quindi dovrebbero almeno una volta lasciare che il loro pc sia connesso alla rete aziendale.
    Quindi non esiste modo di loggarsi al dominio senza prima aver messo in join al dominio il proprio pc ( questo poi era il senso della domanda iniziale)...

    Grazie

    venerdì 27 aprile 2012 06:17
  • Guarda per loggarsi ad un dominio devi stare sulla stessa subnet. Che poi tu abbia una vpn point to point o tu vada direttamente nell'azienda un volta a farlo è la stessa cosa. Con una vpn on demand non sei capace di farlo. A questo punto però se i tuoi client non tornano mai in azienda ha poco senso un logon sotto dominio per i portatili, tanto vale creare un server RRAS ed implementare utenti esterni con username e password che poi lanceranno una connessione a richiesta ed accederanno alle risorse interne. A quel punto mantengono il loro utente e si connettono quando hanno bisogno. Non saranno soggetti alle policy di dominio ma quando sono semplici users sulla tua rete e li limiti allora fanno il loro lavoro lo stesso.

    Se mi dici come sei messo parte server di mando il link come implementare il RRAS.

    A.

    venerdì 27 aprile 2012 08:30
    Moderatore
  • Ok allora dividiamo la questione in 2 parti dato che sono interessaro ad entrambe
    1) come faccio a loggarmi al dominio quando sono connesso con la VPN?
    2) come fare il RRAS?

    Per il primo punto diciamo che da casa ho il mio pc personale e potrei fare delle prove per loggarmi al dominio aziendale. Dispongo di una connessione VPN.
    Quando sono connesso in VPN acquisisco un indirizzo della rete aziendale. A questo punto c'è una procedura particolare per loggarsi al dominio? (io so che bisogna prima fare un join del pc al dominio prima di loggare l'utente....)

    Per il secondo punto non vorrei dare pubblicamente troppe info. Diciamo che ho un server 2003 sbs che fa da pdc + isa + un secondo DC di backup con win2003 server. Il server sbs con isa ha 2 lan di cui quella esterna è collegata ad un firewall/router che poi è collegato alla rete internet. La vpn è gestita da ISA server.


    • Modificato Bob245 venerdì 27 aprile 2012 12:08
    venerdì 27 aprile 2012 12:06
  • 1) a casa tua hai una vpn point to point alla sede aziendale? Quindi una connessione vpn always on configurata tra i router\firewall di casa tua e la sede? Sicuro? se è così metti come dns il DC GC e ti agganci semplicemente come un client interno.

    2)Qui devi smanettare un po.

    http://www.techrepublic.com/article/managing-routing-and-remote-access-in-windows-server-2003/5089192 

    http://technet.microsoft.com/it-it/library/cc677202.aspx

    A.

    venerdì 27 aprile 2012 13:07
    Moderatore
  • 1) la mia VPN è con il server isa aziendale (il firewall permette i protocolli come pass through) la connessione vpn la attivo alla bisogna, non sono sempre connesso. Per autenticarmi metto utente e password e dominio nel pannellino dell'accesso della VPN; inoltre ho inserito come suffisso dns il suffisso sbs "nomeazienda.sbs" sempre nella configurazione della vpn. In questo modo posso posso vedere per esempio le condivisioni di rete come \\nomeserver\nomeshare. Fino a qui è yutto ok. Mi chiedevo solo se potevo loggarmi in qualche modo al dominio, come farei in azienda, in modo tale per esempio da avere automaticamente le share di rete impostate con il batch connect fatto su sysvol oppure le policy aziendali etc.. tutto qui

    2) credevo che una volta ottenuta la connessione VPN quello fosse di fatto il sistema RRAS. Ho capito che debbo studiare un po' di più questo aspetto.

    P.S. cosa significa "GC"?

    Grazie

    venerdì 27 aprile 2012 13:33
  • Per avere le group policy a mio parere devi eseguire il join del pc al dominio, non ci sono molte alternative....nessuno ti impedisce di farlo attraverso una VPN (sempre se non c'è qualche limitazione di porte, come ad esempio una VPN in routing dietro un NAT).

    Per DC GC immagino che Alessandro si riferiva ad un controller di dominio catalogo globale.






    venerdì 27 aprile 2012 13:41
    Moderatore
  • GC = global catalog 

    grazie Fabri. :-) 

    venerdì 27 aprile 2012 18:11
    Moderatore