Ich habe mich gefragt, welche Möglichkeiten ich habe, Remote-Benutzern die Synchronisierung mit unserem AD im folgenden Szenario zu gestatten, in dem ein externer Benutzer sich außerhalb unseres Gebäudes/Netzwerks befindet, aber über einen Computer verfügt, der sich in unserer Domäne befindet.
Wir werden bald einige externe Benutzer haben. Wir haben dies getestet und der erste externe Benutzer, mit dem wir getestet haben, hat festgestellt, dass sein AD-Passwort, wenn er es über Webmail ändert, nicht von AD auf seinen Computer übertragen wird. Das ist sinnvoll, da er keine Möglichkeit hat, sich mit unserem AD-Server zu verbinden. Ich habe mich gefragt, welche Standardmethoden es gibt, um dieses Problem zu beheben. Hier sind einige, die meiner Meinung nach möglich sind, und ich hoffe, dass mir jemand sagen kann, welche Methoden möglich sind und welche nicht. Andere Optionen sind natürlich sehr willkommen.
Wir haben vor Kurzem begonnen, Office 365-Clouddienste zu verwenden, und wir verwenden Azure AD Connect. Gibt es für sie eine Möglichkeit, ein „Cloud“-AD zu erreichen, mit dem sie ihr Kennwort auf ihrem Computer zurücksetzen und es auf die gesamte AD-Umgebung übertragen können? Um es klarzustellen: Ich habe das eigentliche Azure AD-Portal nie verwendet, ich habe nur die Kennwort- und Benutzersynchronisierung über AD Connect ausgeführt.
Ist es normal, ein Loch in Ihre Firewall zu bohren, um eine externe Authentifizierung bei AD zu ermöglichen? Das scheint etwas zu sein, was Sie definitiv nicht tun möchten, aber ich bin ein Neuling und könnte mich irren.
Wir haben ein VPN, aber um es kurz zu machen: Unser ISP ist mies und unglaublich unzuverlässig. Ich würde sagen, etwa 1/5 der Versuche, sich mit unserem VPN zu verbinden, sind erfolgreich. Wir arbeiten mit ihnen zusammen, aber sie sind sehr klein und haben große Schwierigkeiten, Anfragen zu bearbeiten.
Etwas anderes? Habe ich noch andere Möglichkeiten?
Beim Googeln scheint es, als wäre VPN hier die gängigste Methode, aber da unser VPN so schrecklich ist, hatte ich gehofft, dass Nummer 1 möglich wäre.
Antwort1
Azure AD unterstützt die Funktion namensKennwortrückschreiben, das es Benutzern ermöglicht, ihre Passwörter im Internet zu ändern oder zurückzusetzen und sie dann über AD Connect mit dem lokalen AD zu synchronisieren.
Um die Kennwortrückschreibung verwenden zu können, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
Wenn Sie ein bestehendes Office 365-Abonnement haben, verfügen Sie bereits über einen Azure AD-Mandanten! Sie können sich beiAzure-Portalmit Ihrem O365-Konto und beginnen Sie mit der Verwendung von Azure AD.
Übrigens: Auch wenn Sie Windows 10 mit der Azure AD-Join-Funktion verwenden, muss die Kennwortrückschreibung aktiviert sein.
Sie können auchDirekter Zugangum Remotebenutzern das Ändern oder Zurücksetzen von Passwörtern zu ermöglichen.
Nachfolgend sind die Abschnitte aufgeführt, die aus dem unten stehenden Blog stammen.
Die erste besteht in der Zurücksetzung von Passwörtern für Remote-Benutzer.Benutzer, die ihr Kennwort vergessen oder aus der Ferne ausgesperrt werden, rufen den Helpdesk an. Wenn der Benutzer jedoch keinen Domänencontroller sehen kann, hilft ihm eine Kennwortzurücksetzung in Active Directory nicht weiter, es sei denn, er meldet sich an und stellt eine Verbindung zum internen Netzwerk her. Ein Benutzer, der kein VPN starten kann, weil er sich nicht anmelden kann, kann das VPN nicht verwenden, um eine Verbindung herzustellen. Mit DirectAccess kann der Benutzer jedoch direkt von der Eingabeaufforderung STRG-ALT-ENTF aus einen Domänencontroller sehen, sodass eine vom Helpdesk vorgenommene Kennwortzurücksetzung für den Endbenutzer sofort sichtbar ist. Sie sollten sogar in der Lage sein, das Self-Service-Portal zur Kennwortzurücksetzung von Forefront Identity Manager über den DirectAccess-Infrastrukturtunnel verfügbar zu machen, sodass Benutzer sogar ihre eigenen Kennwörter zurücksetzen können, während sie im Internet surfen.
Das zweite Problem sind Kennwortänderungen durch Remotebenutzer.Wenn ein Roaming-Laptop-Benutzer ein Kennwort in OWA ändert, wird diese Kennwortänderung an Active Directory gesendet. Die zwischengespeicherten Anmeldeinformationen auf seinem Laptop werden davon jedoch nicht beeinflusst. Wenn sich der Benutzer das nächste Mal anmeldet und versucht, sein „neues Kennwort“ zu verwenden, schlägt die Anmeldung mit den zwischengespeicherten Anmeldeinformationen des Laptops fehl, es sei denn, der Laptop ist jetzt direkt mit dem Intranet verbunden. Mit DirectAccess kann ein Benutzer ein Kennwort immer direkt über die Eingabeaufforderung STRG-ALT-ENTF ändern.
Darüber hinaus funktionieren Kennwortänderungen für Computerkonten, die standardmäßig alle 30 Tage erfolgen, auf einem DirectAccess-fähigen Laptop ordnungsgemäß, selbst für Benutzer, die ihr VPN fast nie nutzen. Dies kann verhindern, dass legitime Computerkonten durch AD-Bereinigungsaktivitäten bereinigt werden, die interne IT-Experten möglicherweise ausführen.
Antwort2
Eine Möglichkeit ist die Selbstzurücksetzung des Azure AD-Passworts. Sie benötigen Azure AD Premium entweder direkt oder über ein anderes Paket wie Enterprise Mobility Suite (EMS). Dadurch können Sie das Passwort in Azure zurücksetzen und es über Azure AD Connect in das lokale AD zurückschreiben lassen.
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-passwords-getting-started#enable-users-to-reset-or-change-their-ad-passwordshat Einzelheiten.