none
Сеанс Logon через PPTP VPN подключение RRS feed

  • Вопрос

  • Добрый день.

    Есть удаленный пользователь (доменная учетная запись и ноутбук в домене) с настроенным PPTP VPN подключением.
    Обычно пользователь запускает VPN соединение (текущий доменый логин и пароль) и удачно соединяется.
    В качестве VPN сервера используется ISA 2004.

    Все бы хороше, только вот если я пользователя добавлю в какю-нибудь группу (локальная в домене) на файловом ресурсе (папка на сетевом диске), то пользователь этих прав не получит и в итоге получит сообщение access denied.
    Понятно что при соединении не происходит Logon в домен и учетная запись не получает новых привилегий, не знает что ее добавили в группу.

    Первое - Как мне через VPN получить возможность получать необходимые привелегии при подключении?

    gpupdate /force - помогает.

    Второе - как быть если компьютер удаленного клиента не член домена (домашний комп), а для подключения просто использует доменную учетную запись?
    Третье - замечал на своем рабочем доменном компьютере, что если добавить себя в группу то не обязательно перезагружаться (LogOff LogOn) что бы получить новые привилегии. Проходит примерно сутки и все ОК, доступ есть при этом на компьютере не осуществлялся LogOff & LogOn. Период обновления груповой политики - 30 мин. Как это обьяснить?

    Спасибо.
    Zender
    24 февраля 2010 г. 15:24

Ответы

  • // Ошибся - "gpupdate /force - НЕ помогает!"

    Так и должно быть.

    В момент, когда клиент подключается к RRAS, то в действие вступает механизм SSO (Single Sign-On), поэтому клиенту необходимо переподключиться, чтобы RRAS софрмировал новый маркер доступа и отразил в нем членство в группах. Время жизни маркера на сервере связано со сроком действия TGT (см. политики Kerberos), который по умолчанию составляет 10 часов.

    Если так необходимо изменять разрешения на доступ к ресурсам, формируя членство пользователя в группах при доступе "из VPN-сесии", то придется пользователю переподключаться.


    • Предложено в качестве ответа AndricoRusEditor 26 февраля 2010 г. 17:42
    • Помечено в качестве ответа Zelko Alexander 26 мая 2011 г. 14:41
    24 февраля 2010 г. 20:23
    Отвечающий

Все ответы

  • Добрый день.

    Есть удаленный пользователь (доменная учетная запись и ноутбук в домене) с настроенным PPTP VPN подключением.
    Обычно пользователь запускает VPN соединение (текущий доменый логин и пароль) и удачно соединяется.
    В качестве VPN сервера используется ISA 2004.

    Все бы хороше, только вот если я пользователя добавлю в какю-нибудь группу (локальная в домене) на файловом ресурсе (папка на сетевом диске), то пользователь этих прав не получит и в итоге получит сообщение access denied.
    Понятно что при соединении не происходит Logon в домен и учетная запись не получает новых привилегий, не знает что ее добавили в группу.

    Первое - Как мне через VPN получить возможность получать необходимые привелегии при подключении?

    gpupdate /force - помогает.

    Второе - как быть если компьютер удаленного клиента не член домена (домашний комп), а для подключения просто использует доменную учетную запись?
    Третье - замечал на своем рабочем доменном компьютере, что если добавить себя в группу то не обязательно перезагружаться (LogOff LogOn) что бы получить новые привилегии. Проходит примерно сутки и все ОК, доступ есть при этом на компьютере не осуществлялся LogOff & LogOn. Период обновления груповой политики - 30 мин. Как это обьяснить?

    Спасибо.
    Zender

    Ошибся - "gpupdate /force - НЕ помогает!"

    Zender
    24 февраля 2010 г. 15:25
  • // Ошибся - "gpupdate /force - НЕ помогает!"

    Так и должно быть.

    В момент, когда клиент подключается к RRAS, то в действие вступает механизм SSO (Single Sign-On), поэтому клиенту необходимо переподключиться, чтобы RRAS софрмировал новый маркер доступа и отразил в нем членство в группах. Время жизни маркера на сервере связано со сроком действия TGT (см. политики Kerberos), который по умолчанию составляет 10 часов.

    Если так необходимо изменять разрешения на доступ к ресурсам, формируя членство пользователя в группах при доступе "из VPN-сесии", то придется пользователю переподключаться.


    • Предложено в качестве ответа AndricoRusEditor 26 февраля 2010 г. 17:42
    • Помечено в качестве ответа Zelko Alexander 26 мая 2011 г. 14:41
    24 февраля 2010 г. 20:23
    Отвечающий
  • Спасибо.
    Была мысль про kerberos но почемуто я ее отбросил и не проверил.
    Обязательно проверю и отпишусь.


    Zender
    26 февраля 2010 г. 8:56