Как выпустить сертификаты машины устройствам на базе Android, пытающимся соединяться с L2TP VPN (L2TP/IPsec с Сертификатом)?
Я не вижу ничто плохого с тем, что Вы сделали для установки домена. Кажется, что Вам просто нужна довольно основная установка, и именно это у Вас есть выполнение прямо сейчас.
Сначала Ваша проблема с разработчиками:
Поведением того, что они имели очень ограниченный доступ является AD, работающий, как разработано. По умолчанию при присоединении к домену, следующее происходит с группами локального компьютера:
- AD группы admin Domain & Enterprise добавляются к локальной администраторской группе
- AD Пользователи домена добавляются к группе локальных пользователей
Таким образом, все Ваши пользователи находятся (правильно) в группе Пользователей домена и только имеют доступ уровня обычного пользователя к рабочим станциям.
До решения. Это становится немного жестким, особенно при контакте с низкоуровневым доступом в системе окон и могло зависеть от того, когда у них есть проблемы. Это, когда они пробуют к тестовому прогону программу? Это, когда они пытаются получить доступ к определенным файлам на диске при разработке?
Несколько возможных решений я могу думать:
- Сделайте их частью группы "Продвинутых пользователей" на их локальных машинах. Это позволило бы им иметь более высокий уровень доступа, не будучи полными администраторами
- Используйте Проводник Процесса для выяснения, какими файлами/каталогами они становятся одержимыми и дают им полномочия просто тем объектам
- Установите рабочую станцию VMware и дайте им базовое изображение, из которого они могут сделать копию, затем избавляются от копии после того, как они сделанный, таким образом, они всегда отделываются от того же базового изображения (неловкий и вероятно не слишком выполнимый, но я не могу помнить, позволяет ли рабочая станция VMware Вам сделать создание снимков),
Теперь по Вашим вопросам. Я возьму их немного не в порядке, главным образом потому что ответ на 3 или 4 из них должен учиться использовать и любить групповую политику. По моему скромному мнению, Групповая политика является приложением-приманкой в сети окон. Я не собираюсь пахать слишком глубоко в том, как настроить эти вещи в групповой политике, как это немного к далеко идущему для этого вопроса - но ищите вокруг этого сайта и задайте вопросы существует много умных людей и хорошей информации о групповой политике здесь.
Насколько WSUS идет да, он позволит Вам настраивать примерно каждый аспект как, как WSUS поставляет обновления машин. Фактические полномочия для патчей сделаны через интерфейс WSUS.
Для отображений диска мое персональное предпочтение не состоит в том, чтобы использовать установку в их AD пользовательском объекте. Поскольку Вы уже узнали, что это очень негибко. Можно сделать одну из двух вещей, обоих с групповой политикой:
- Установите пакетный файл, который подключает все пользовательские диски, что Вы хотите отобразить и вставить его
\\и назначьте его сценарием входа в систему в групповой политике.\NETLOGON\ - Используйте управляемые предпочтения (я приношу извинения, что забываю точное имя первое, что пришло на ум), пользовательские политики в GPO для установки сетевых дисков
С Вашими образами системы я шел бы вперед и использовал бы rsync, если Вы довольны им, DeltaCopy является портом окон, который является немного большим количеством дружественных окон. Я избегал бы синхронизирующей игрушки, поскольку я нашел, что это довольно медленно в больших копиях. Если Вы хотите другую опцию, Вы могли бы использовать robocopy или richcopy и написать сценарий запланированной задачи для копирования файлов за каждую ночь.
Похож на реализацию Android автора сертификата L2TP, может не быть совместимо с большей частью VPN L2TP/IPSec: http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-access/35861-asg-doesnt-work-android-l2tp-ipsec-certificates-remote-vpn.html
Вам, вероятно, придется обратиться к PSK, ech. Сообщите нам, делаете ли Вы прогресс!
Отправленный тот же вопрос на Microsoft Technet и полученный предложение при попытке зарегистрировать устройство на базе Android с помощью Сервиса Приема Сетевого устройства 2008 Windows. К сожалению, я не знаю о любом программном обеспечении администрирования устройства на Android, который позволит мне создавать пару "открытый/закрытый ключ" RSA и отправлять их для запроса приема к моему Приблизительно. Какие-либо предложения, или действительно ли это - тупик? Я тестирую, это - HTC EVO 4G, Android 2.2.
К моему знанию нет никакой поддержки андроида SCEP или приема NDES... у нас должен быть способ открыться, регистрируют эти устройства через приложение, но ни один не существует до настоящего времени. К моему знанию андроид только поддерживает сертификаты, которые будут установлены от SD-карты. Это нечетно мне, что iPhone поддерживает NDES, но андроид не делает.
Мне удалось получить сертификаты на Android под управлением FroYo, отправив сертификат по электронной почте на адрес, доступный для телефона. Открытие прикрепленного сертификата из почтового клиента привело к установке.
К сожалению, Android FroYo не поддерживает Cisco VPN должным образом, поэтому я не прошел успешный тест, но сертификаты определенно присутствовали.
Google опубликовал эту ссылку о том, как установить сертификаты. На нексусе с jellybean я использовал инструкции по ссылке ниже, чтобы сгенерировать сертификаты и установить их с помощью adb. Эти инструкции хорошо работали для мне, чтобы установить сертификаты и протестировать VPN-соединение с сервером Linux под управлением strongswan 5.0.
http://support.google.com/android/bin/answer.py?hl=ru&answer=1649774