該公司沒有任何辦事處。所有用戶都是遠端的。
但是,他們需要一個可以將工作站加入其中並且可以集中管理使用者的 Active Directory。
一個建議是購買一台雲端伺服器(AWS、Azure、Rackspace 等)並在其上部署 Active Directory,然後將工作站加入到此 Active Directory。
有了這個設置,如果不使用從最終用戶工作站到雲端伺服器實例的 VPN 會有什麼影響?有人在沒有 VPN 的情況下做到過嗎?
答案1
您可能希望保護您的 AD DC 伺服器免受網際網路的影響。直接暴露它們並不是最佳實踐。 VPN 可以幫助防止這種情況發生。您可以使用內建的 Windows VPN 服務,雖然不是那麼好,但至少會為您帶來比沒有更好的東西。以下是 Active Directory 的 MS 最佳實務指南的連結。保護 Active Directory 的最佳實踐在進一步進行之前可能需要對其進行審查。第 78 頁回顧了在網域控制站上簡單使用 Internet Explorer 作為失敗最佳實務的一些內容。僅憑這一點就可以告訴您,在網路上公開 Active Directory 服務是一個壞主意。
答案2
對於你的具體問題──這有什麼影響?預設配置中的網域控制站未針對公共網路進行強化,例如,它們預設允許明文 LDAP 綁定,這可能會使您的密碼遭到攔截。本文介紹禁用 LDAP 簡單綁定的過程https://support.microsoft.com/en-us/kb/935834
根據您希望從機器/使用者管理角度實現的目標,您應該研究以下技術
Microsoft Intune 可以使用設定管理員提供未加入網域的電腦(包括 Mac/Linux)的管理
Windows Azure Active Directory 可讓您集中建立和管理使用者帳戶,並為包括 Office 365 在內的各種應用程式提供 ADFS 驗證介面。
DirectAccess 透過在驗證之前建立通往雲端託管網路的 VPN 隧道,在直接連接到 Internet 的同時提供網域加入體驗。
Workplace Join 是 ADFS 的功能,可讓您透過 ADFS 服務將裝置「加入」到您的網域。
Windows Azure 可以透過 Internet 提供 SMB 共用。但檔案共用是一項傳統技術 - 如果可以的話,請使用 Sharepoint Online/OneDrive。
策略可以(在某種程度上)使用 Windows Intune 來完成 - 您不會獲得傳統的群組原則配置,但通常不需要它,除非您想鎖定您的環境。
可以在 Windows 2012 中設定 Internet 列印https://technet.microsoft.com/en-us/library/jj134159.aspx- 但你需要在某個地方有一個伺服器。雲端服務無疑是存在的。
祝你好運
謝恩
答案3
不要對傳統 AD DS 執行此操作。如果必須僅使用雲,則應將 Azure Active Directory SaaS 解決方案與 Intune 一起使用進行管理,並在桌面上使用 Windows 10。您失去了 Kerberos、GPO 等內容,但獲得了很大的靈活性並且無需管理基礎架構。
正如我所說,這不是AAD 和AD DS 之間功能的1:1 比較,因此請進行一些研究並確保它非常適合,但這是解決您的問題的唯一合理的解決方案,除非您完全忽略安全性實踐並將 DC 放置在公共互聯網上。