我想知道在以下情況下,我必須使用哪些選項來允許遠端使用者同步到我們的 AD,其中外部使用者是我們建築物/網路之外的人員,但擁有一台位於我們網域中的電腦。
我們即將擁有一些外部用戶。我們一直在測試這一點,我們測試的第一個外部用戶發現,當他們透過網路郵件更改 AD 密碼時,密碼不會從 AD 傳播到他們的電腦。這是有道理的,因為他們無法連接到我們的 AD 伺服器。我想知道解決這個問題的標準方法。這裡有一些我認為可能的方法,我希望有人能告訴我哪些方法可行,哪些方法不可行。其他選擇顯然非常受歡迎。
我們最近開始使用 Office 365 雲端服務,並且正在使用 Azure AD Connect。有沒有辦法讓他們到達「雲端」AD,允許他們在電腦上重設密碼,並將其傳播到整個 AD 環境?需要明確的是,我從未使用過實際的 Azure AD 門戶,我僅透過 AD Connect 執行密碼和使用者同步。
在防火牆上打一個洞以允許對 AD 進行外部身份驗證是正常的嗎?這似乎是你絕對不想做的事情,但我是個菜鳥,可能是錯的。
我們有 VPN,但長話短說,我們的 ISP 很糟糕,而且非常不可靠。我想說大約 1/5 的嘗試加入我們的 VPN 會成功。我們正在與他們合作,但他們規模很小,很難滿足任何請求。
還有別的事嗎?我還有其他選擇嗎?
從Google搜尋看來,VPN 是這裡最常見的方法,但由於我們的 VPN 太糟糕了,我希望第 1 種方法是可能的。
答案1
Azure AD 支援名稱的功能密碼寫回,它允許使用者在 Internet 上變更或重設密碼,然後透過 AD Connect 同步到本機 AD。
要使用密碼寫回,您必須確保滿足以下先決條件:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
如果您已有 Office 365 訂閱,則您已經擁有 Azure AD 租用戶!您可以登入Azure 入口網站使用您的 O365 帳戶並開始使用 Azure AD。
順便說一句,即使您使用具有 Azure AD 加入功能的 Windows 10,您仍然需要啟用密碼寫回。
另外,您可以使用直接訪問允許遠端使用者更改或重置密碼。
以下是來自以下部落格的部分。
第一個是遠端使用者的密碼重置。忘記密碼或在遠端時被鎖定的使用者將致電幫助台,但如果使用者看不到網域控制器,則在 Active Directory 中執行密碼重設不會對使用者有幫助,除非他進入並連接到內部網路。由於無法登入而無法啟動 VPN 的使用者將無法使用 VPN 進行連線。但使用 DirectAccess,使用者可以透過 CTRL-ALT-DEL 提示直接查看網域控制器,因此最終使用者可以立即看到幫助台所做的密碼重設。您甚至應該能夠透過 DirectAccess 基礎架構隧道公開 Forefront Identity Manager 自助服務密碼重設門戶,以便使用者甚至可以在 Internet 漫遊時重設自己的密碼。
第二個是遠端使用者更改密碼。在 OWA 中更改密碼的漫遊筆記型電腦使用者將將此密碼變更傳送至 Active Directory。但這不會影響筆記型電腦上快取的憑證。下次使用者登入並嘗試使用他或她的「新密碼」時,根據筆記型電腦快取的憑證登入將失敗,除非筆記型電腦現在直接連接到 Intranet。借助 DirectAccess,使用者始終可以透過 CTRL-ALT-DEL 提示字元直接變更密碼。
此外,預設每 30 天進行一次的電腦帳戶密碼變更可以在啟用 DirectAccess 的筆記型電腦上正常執行,即使對於幾乎從不開啟 VPN 的使用者也是如此。這可以防止內部 IT 專業人員可能執行的任何 AD 清理活動清理合法的電腦帳戶。
答案2
Azure AD 自助服務密碼重設是一種選擇。您需要直接或透過其他軟體套件(例如企業行動套件(EMS))取得Azure AD Premium。這允許在 Azure 中重設密碼並透過 Azure AD 連線將其寫入本機 AD。