我想知道,如果外部用户是我们build筑物/networking之外的某个人,但是我们的域中有一台计算机,那么我有什么select允许远程用户同步到我们的AD。
我们即将有一些外部用户。 我们一直在testing这个,我们testing过的第一个外部用户发现,当他们通过networking邮件来更改他们的AD密码时,它不会从AD传播到他们的计算机。 这是有道理的,因为他们没有办法连接到我们的AD服务器。 我想知道解决这个问题的标准方法。 这里有几个我认为是可能的,我希望有人能告诉我哪些方法是可能的,哪些不是。 其他选项显然是非常受欢迎的。
我们最近开始使用Office 365云服务,并使用Azure AD Connect。 有没有办法让他们到达“云”的广告,这将允许他们在他们的计算机上重置密码,并传播到整个广告的环境? 要清楚,我从来没有使用实际的Azure AD门户,我只通过AD Connect运行密码和用户同步。
是否正常通过防火墙戳一个洞,以允许外部身份validation到AD? 这似乎是你绝对不想做的事情,但是我是一个noob,可能是错的。
我们有一个VPN,但长话短说,我们的ISP很糟糕,而且这是非常不可靠的。 我想说大约1/5的尝试join我们的VPN成功。 我们正在与他们合作,但他们很小,很难得到任何要求。
别的东西? 我有其他的select吗?
从谷歌search它看起来像VPN是这里最常见的方法,但由于我们的VPN是如此可怕,我希望1号将是可能的。
Azure AD自助服务密码重置是一种select。 您需要直接或通过其他软件包(例如企业移动套件(EMS))获得Azure AD Premium。 这允许在Azure中重置密码,并通过Azure AD connect将其写回本地AD。
Azure AD支持“ 密码写回 ”function,该function允许用户在Internet上更改或重置其密码,然后通过AD Connect将其同步到本地AD。
要使用密码写回,您必须确保您完成以下先决条件:
• You have an Azure AD tenant with Azure AD Premium enabled. • Password reset has been configured and enabled in your Azure AD tenant. • You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled 如果您有现有的Office 365订阅,则您已经拥有Azure AD租户! 您可以使用O365帐户loginAzure门户并开始使用Azure AD。
顺便说一下,即使您使用Windows 10与Azure AD Joinfunction,您仍然需要启用密码写入function。
另外,您可以使用直接访问来允许远程用户更改或重置密码。
以下是来自以下博客的部分。
首先是远程用户的密码重置。 忘记密码或远程locking的用户将呼叫帮助台,但是如果用户不具有域控制器的可见性,则在Active Directory中执行密码重置将无助于用户,除非他进入并连接到内部networking。 因无法login而无法启动VPN的用户将无法使用VPN进行连接。 但是,通过DirectAccess,用户可以通过CTRL-ALT-DEL提示查看域控制器权限,因此,帮助台进行的密码重置对于最终用户将立即可见。 您甚至应该能够通过DirectAccess基础结构隧道公开Forefront Identity Manager自助密码重置门户,以便用户在漫游Internet时甚至可以重置自己的密码。
第二个是远程用户更改密码。 在OWA中更改密码的漫游笔记本电脑用户将此密码更改发送到Active Directory。 但是它不会影响笔记本电脑上的caching凭据。 用户下次login并尝试使用他/她的“新密码”时,除非笔记本电脑现在直接连接到Intranet,否则login笔记本电脑caching的凭据将会失败。 使用DirectAccess,用户可以随时从CTRL-ALT-DEL提示中直接更改密码。
此外,计算机帐户密码更改(默认情况下每30天发生一次)将在支持DirectAccess的笔记本电脑上正常工作,即使对于几乎不会启动VPN的用户也能正常工作。 这可以防止内部IT专业人员可能运行的任何AD清理活动清理合法的计算机帐户。