Компания не имеет офисов. Все пользователи работают удаленно.
Однако им необходим Active Directory, к которому можно подключать рабочие станции и централизованно управлять пользователями.
Одним из предложений является приобретение сервера в облаке (AWS, Azure, Rackspace и т. д.) и развертывание на нем Active Directory, а затем присоединение рабочих станций к этому Active Directory.
При такой настройкеКаковы последствия неиспользования VPN от рабочей станции конечного пользователя до экземпляра сервера в облаке? Кто-нибудь делал это без VPN?
решение1
Вам нужно защитить свои серверы AD DC от Интернета. Прямое их раскрытие — не лучшая практика. VPN поможет предотвратить это. Вы можете использовать встроенные службы Windows VPN, которые, хотя и не так уж хороши, по крайней мере дадут вам что-то лучше, чем ничего. Вот ссылка на руководство MS по лучшим практикам для Active Directory.Лучшие практики по защите Active DirectoryВозможно, стоит просмотреть его, прежде чем двигаться дальше. Страница 78 немного рассматривает простое использование Internet Explorer на контроллере домена как неудачную передовую практику. Это само по себе должно дать вам указание на то, что раскрытие служб Active Directory в Интернете — плохая идея.
решение2
На ваш конкретный вопрос - каковы последствия? Контроллеры домена в конфигурации по умолчанию не защищены для публичной сети, например, они разрешают по умолчанию открытые текстовые привязки LDAP, которые могут подвергнуть ваши пароли перехвату. В этой статье описывается процесс отключения простых привязок LDAPhttps://support.microsoft.com/en-us/kb/935834
В зависимости от того, чего вы надеетесь достичь с точки зрения управления машинами/пользователями, вам следует изучить следующие технологии:
Microsoft Intune может обеспечить управление не присоединенными к домену машинами, включая Mac/Linux, с помощью Configuration Manager.
Windows Azure Active Directory позволяет централизованно создавать и управлять учетными записями пользователей, а также предоставляет интерфейс аутентификации ADFS для различных приложений, включая Office 365.
DirectAccess позволяет реализовать функцию присоединения к домену при прямом подключении к Интернету путем создания VPN-туннеля к вашей облачной сети перед аутентификацией.
Workplace Join — это возможность ADFS, которая позволяет вам «присоединить» устройство к вашему домену через службу ADFS.
Windows Azure может предоставлять общие ресурсы SMB через Интернет. Но общие файлы — это устаревшая технология — используйте Sharepoint Online/OneDrive, если можете.
Политики можно (в какой-то степени) реализовать с помощью Windows Intune — вы не получите традиционной конфигурации групповой политики, но она вам, как правило, и не нужна, если только вы не хотите заблокировать свою среду.
Интернет-печать можно настроить в Windows 2012https://technet.microsoft.com/en-us/library/jj134159.aspx- но вам понадобится сервер где-то для этого. Облачный сервис, несомненно, существует.
Удачи
Шейн
решение3
Не делайте этого с традиционными AD DS. Если вам нужно перейти только на облако, вам следует использовать решение Azure Active Directory SaaS с Intune для управления и Windows 10 на рабочем столе. Вы теряете такие вещи, как Kerberos, GPO и т. д., но получаете большую гибкость и не имеете инфраструктуры для управления.
Как я уже сказал, это не сравнение функций AAD и AD DS один к одному, поэтому проведите небольшое исследование и убедитесь, что они хорошо подходят друг другу. Но это единственное правдоподобное решение вашего вопроса, если только вы полностью не проигнорируете лучшие практики безопасности и не разместите DC в общедоступном Интернете.