Implemente el directorio activo SÓLO en la nube y una estaciones de trabajo SIN VPN (sin DC en las instalaciones, sin RODC, etc.)

Implemente el directorio activo SÓLO en la nube y una estaciones de trabajo SIN VPN (sin DC en las instalaciones, sin RODC, etc.)

La empresa no tiene oficinas. Todos los usuarios son remotos.

Sin embargo, necesitan un Directorio Activo al que puedan unirse las estaciones de trabajo y administrar a los usuarios de forma centralizada.

Una sugerencia es comprar un servidor en la nube (AWS, Azure, Rackspace, etc.) e implementar Active Directory en él y luego unir las estaciones de trabajo a este Active Directory.

Con esta configuración,¿Cuáles son las implicaciones de no utilizar una VPN desde la estación de trabajo del usuario final hasta la instancia del servidor en la nube? ¿Alguien ha hecho esto sin VPN?

Respuesta1

Querrá proteger sus servidores AD DC de Internet. Exponerlos directamente no es una buena práctica. La VPN está ahí para ayudar a evitarlo. Puede utilizar los servicios VPN integrados de Windows que, si bien no son tan buenos, al menos le brindarán algo mejor que nada. Aquí hay un enlace a una guía de mejores prácticas de MS para Active Directory.Mejores prácticas para proteger Active DirectoryEs posible que desee revisarlo antes de continuar. La página 78 analiza un poco el uso simple de Internet Explorer en un controlador de dominio como mejor práctica fallida. Eso por sí solo debería darle una indicación de que exponer los servicios de Active Directory en Internet es una mala idea.

Respuesta2

A su pregunta específica: ¿cuáles son las implicaciones? Los controladores de dominio en una configuración predeterminada no están reforzados para una red pública; por ejemplo, permiten enlaces LDAP de texto sin cifrar de forma predeterminada, lo que podría exponer sus contraseñas a la interceptación. Este artículo describe el proceso para deshabilitar los enlaces simples LDAP.https://support.microsoft.com/en-us/kb/935834

Dependiendo de lo que espera lograr desde la perspectiva de administración de máquinas/usuarios, debe investigar las siguientes tecnologías

Microsoft Intune puede proporcionar administración de máquinas que no están unidas a un dominio, incluidas Mac/Linux, mediante Configuration Manager.

Windows Azure Active Directory le permite crear y administrar cuentas de usuario de forma centralizada y proporcionar una interfaz de autenticación ADFS para varias aplicaciones, incluido Office 365.

DirectAccess permite una experiencia de dominio unido mientras está conectado directamente a Internet mediante la creación de un túnel VPN a su red alojada en la nube antes de la autenticación.

Workplace Join es una capacidad de ADFS que le permitirá "unir" un dispositivo a su dominio a través del servicio ADFS.

Windows Azure puede proporcionar recursos compartidos para PYMES a través de Internet. Pero los archivos compartidos son una tecnología heredada: utilice Sharepoint Online/OneDrive si puede.

Las políticas se pueden (más o menos) hacer usando Windows Intune; no obtendrá la configuración de Política de grupo tradicional, pero generalmente no la necesita a menos que desee bloquear su entorno.

La impresión por Internet se puede configurar en Windows 2012https://technet.microsoft.com/en-us/library/jj134159.aspx- pero necesitarías un servidor en algún lugar para ello. Sin duda existe un servicio en la nube.

Buena suerte

shane

Respuesta3

No hagas esto con AD DS tradicional. Si tiene que ir únicamente a la nube, debe usar la solución SaaS de Azure Active Directory con Intune para la administración y Windows 10 en el escritorio. Se pierden cosas como Kerberos, GPO, etc., pero se gana una gran flexibilidad y no hay infraestructura que administrar.

Como dije, esta no es una comparación 1:1 de características entre AAD y AD DS, así que investigue un poco y asegúrese de que coincida, pero esta es la única solución plausible a su pregunta, a menos que ignore por completo la seguridad. prácticas y colocar un DC en la Internet pública.

información relacionada