Мне было интересно, какие варианты есть у меня, чтобы разрешить удаленным пользователям синхронизироваться с нашим AD, учитывая следующий сценарий, когда внешний пользователь — это кто-то за пределами нашего здания/сети, но имеющий компьютер, который находится в нашем домене.
У нас скоро будет несколько внешних пользователей. Мы тестировали это, и первый внешний пользователь, с которым мы тестировали, обнаружил, что когда он меняет свой пароль AD через веб-почту, он не распространяется из AD на его компьютер. Это имеет смысл, так как у них нет возможности подключиться к нашему серверу AD. Мне было интересно узнать о стандартных способах решения этой проблемы. Вот несколько, которые, по моему мнению, возможны, и я надеюсь, что кто-нибудь сможет сказать мне, какие методы возможны, а какие нет. Другие варианты, очевидно, очень приветствуются.
Недавно мы начали использовать облачные сервисы Office 365 и используем Azure AD Connect. Есть ли у них способ получить доступ к «облачному» AD, который позволит им сбросить пароль на своем компьютере и распространить его на всю среду AD? Для ясности, я никогда не пользовался самим порталом Azure AD, я только запускал синхронизацию паролей и пользователей через AD Connect.
Нормально ли проделывать дыру в вашем брандмауэре, чтобы разрешить внешнюю аутентификацию в AD? Кажется, это то, чего вы определенно не хотели бы делать, но я новичок и могу ошибаться.
У нас есть VPN, но, если говорить коротко, наш провайдер отстой, и он невероятно ненадежен. Я бы сказал, что около 1/5 попыток присоединиться к нашему VPN оказываются успешными. Мы работаем с ними, но они очень маленькие и испытывают трудности с обработкой любых запросов.
Что-то еще? Есть ли у меня другие варианты?
Судя по результатам поиска в Google, наиболее распространенным методом здесь является VPN, но поскольку наш VPN настолько ужасен, я надеялся, что вариант 1 окажется возможным.
решение1
Azure AD поддерживает функцию, называемуюОбратная запись пароля, который позволяет пользователям изменять или сбрасывать свои пароли в Интернете, а затем синхронизировать их с локальной службой AD с помощью AD Connect.
Чтобы использовать функцию обратной записи пароля, необходимо убедиться, что выполнены следующие предварительные условия:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
Если у вас есть существующая подписка на Office 365, у вас уже есть клиент Azure AD! Вы можете войти вЛазурный порталс вашей учетной записью O365 и начните использовать Azure AD.
Кстати, даже если вы используете Windows 10 с функцией присоединения к Azure AD, вам все равно необходимо включить обратную запись паролей.
Также вы можете использоватьПрямой доступчтобы разрешить удаленным пользователям изменять или сбрасывать пароли.
Ниже приведены разделы, взятые из блога ниже.
Первая — сброс пароля для удаленных пользователей.Пользователи, которые забыли свой пароль или были заблокированы во время удаленного доступа, позвонят в службу поддержки, но если у пользователя нет видимости контроллера домена, выполнение сброса пароля в Active Directory не поможет пользователю, если он не войдет и не подключится к внутренней сети. Пользователь, который не может вызвать VPN, потому что он не может войти в систему, не сможет использовать VPN для подключения. Но с DirectAccess пользователь имеет видимость контроллера домена прямо из приглашения CTRL-ALT-DEL, поэтому сброс пароля, выполненный службой поддержки, будет мгновенно виден конечному пользователю. Вы даже должны иметь возможность открывать портал самостоятельного сброса пароля Forefront Identity Manager через туннель инфраструктуры DirectAccess, чтобы пользователи могли даже сбрасывать свои собственные пароли во время роуминга в Интернете.
Второй — смена паролей удаленными пользователями.Пользователь роумингового ноутбука, который меняет пароль в OWA, получит это изменение пароля, отправленное в Active Directory. Но это не повлияет на кэшированные учетные данные на его ноутбуке. В следующий раз, когда пользователь войдет в систему и попытается использовать свой «новый пароль», вход с кэшированными учетными данными ноутбука не удастся, если только ноутбук теперь не подключен напрямую к интрасети. С помощью DirectAccess пользователь всегда может изменить пароль прямо из приглашения CTRL-ALT-DEL.
Кроме того, смена пароля учетной записи компьютера, которая по умолчанию происходит каждые 30 дней, будет работать правильно на ноутбуке с поддержкой DirectAccess, даже для пользователей, которые почти никогда не используют свой VPN. Это может предотвратить очистку легитимных учетных записей компьютера любыми действиями по очистке AD, которые могут выполнять внутренние ИТ-специалисты.
решение2
Один из вариантов — самостоятельный сброс пароля Azure AD. Вам необходимо иметь Azure AD Premium либо напрямую, либо через другой пакет, например Enterprise Mobility Suite (EMS). Это позволяет сбросить пароль в Azure и записать его обратно в локальную AD через Azure AD Connect.