Implante o diretório ativo SOMENTE na nuvem e conecte estações de trabalho a ele SEM VPN (sem DCs no local, sem RODCs, etc.)

Implante o diretório ativo SOMENTE na nuvem e conecte estações de trabalho a ele SEM VPN (sem DCs no local, sem RODCs, etc.)

A empresa não possui escritórios. Todos os usuários são remotos.

No entanto, eles precisam de um Active Directory ao qual as estações de trabalho possam ser associadas e os usuários possam ser gerenciados centralmente.

Uma sugestão é adquirir um servidor na nuvem (AWS, Azure, Rackspace etc.) e implantar o Active Directory nele e depois juntar as estações de trabalho a este Active Directory.

Com esta configuração,quais são as implicações de não usar uma VPN da estação de trabalho do usuário final para a instância do servidor na nuvem? Alguém fez isso sem VPN?

Responder1

Você gostaria de proteger seus servidores AD DC da Internet. Expor-los diretamente não é uma prática recomendada. A VPN existe para ajudar a evitar isso. Você pode usar os serviços VPN integrados do Windows que, embora não sejam tão bons, pelo menos lhe dariam algo melhor do que nada. Aqui está um link para um guia de práticas recomendadas da MS para o Active Directory.Melhores práticas para proteger o Active DirectoryTalvez você queira revisá-lo antes de prosseguir. A página 78 analisa um pouco sobre simplesmente usar o Internet Explorer em um controlador de domínio como uma prática recomendada que falha. Isso por si só já deve dar uma indicação de que expor os serviços do Active Directory na Internet é uma má ideia.

Responder2

Para sua pergunta específica - quais são as implicações? Os controladores de domínio em uma configuração padrão não são protegidos para uma rede pública; por exemplo, eles permitem ligações LDAP de texto não criptografado por padrão, o que pode expor suas senhas à interceptação. Este artigo descreve o processo para desabilitar ligações simples LDAPhttps://support.microsoft.com/en-us/kb/935834

Dependendo do que você espera alcançar a partir de uma perspectiva de gerenciamento de máquina/usuário, você deve investigar as seguintes tecnologias

O Microsoft Intune pode fornecer gerenciamento de máquinas não associadas ao domínio, incluindo Mac/Linux, usando o Configuration Manager

O Windows Azure Active Directory permite criar e gerenciar centralmente contas de usuário e fornecer uma interface de autenticação ADFS para vários aplicativos, incluindo o Office 365.

O DirectAccess permite uma experiência de ingresso no domínio enquanto estiver conectado diretamente à Internet, criando um túnel VPN para sua rede hospedada na nuvem antes da autenticação.

Workplace Join é um recurso do ADFS que permitirá que você “ingresse” um dispositivo ao seu domínio por meio do serviço ADFS.

O Windows Azure pode fornecer compartilhamentos para pequenas e médias empresas pela Internet. Mas os compartilhamentos de arquivos são uma tecnologia legada – use o Sharepoint Online/OneDrive, se puder.

As políticas podem (mais ou menos) ser feitas usando o Windows Intune - você não obterá a configuração tradicional da Política de Grupo, mas geralmente não precisa disso, a menos que queira bloquear seu ambiente.

A impressão pela Internet pode ser configurada no Windows 2012https://technet.microsoft.com/en-us/library/jj134159.aspx- mas você precisaria de um servidor em algum lugar para isso. Sem dúvida existe um serviço em nuvem.

Boa sorte

Shane

Responder3

Não faça isso com o AD DS tradicional. Se você precisar usar apenas a nuvem, deverá usar a solução Azure Active Directory SaaS com o Intune para gerenciamento e o Windows 10 na área de trabalho. Você perde coisas como Kerberos, GPO, etc, mas ganha muita flexibilidade e não tem infraestrutura para gerenciar.

Como eu disse, esta não é uma comparação 1:1 de recursos entre AAD e AD DS, então faça algumas pesquisas e certifique-se de que é uma boa opção, mas esta é a única solução plausível para sua pergunta, a menos que você ignore completamente a segurança. práticas e colocar um DC na Internet pública.

informação relacionada