我是一个迅速成长,即将达到100名员工的公司的“IT人物”。 虽然我的主要工作是为我们的网站和服务进行后端开发, 我也负责为用户设置和维护PC。
目前,我只是在机器上创build本地帐户,进入他们的Outlook设置,并为用户预安装一些应用程序,但pipe理这个失控。 而且我几乎无法跟上扩张的速度,更不用说指责和解雇的背景了。
“简单”解决scheme是build立一个Windows服务器,并开始使用活动目录来pipe理帐户,问题是我们的员工分散在12个地点。 现在,我正在使用logmein来远程pipe理机器。
我想转向某种基于域的login,类似于传统的活动目录设置,我在中心位置创build和configurationWindows用户帐户,然后最终用户只需login到任何带有DOMAIN /用户名的机器。
我一直在玩Windows InTune,这对于pipe理机器和部署策略来说非常棒,但这并不是我所需要的。
我一直在看Azure身份,但这意味着我仍然需要一个本地AD控制器的每个位置。 理想情况下,我希望这些服务在云中存在。 我不知道在每个地方都有一台服务器,我感觉很舒服,因为这些地方都是农村地区,我想避免发送专门的,昂贵的设备由当地的承包商安装。
一个像云主机一样的“活动目录/类似”服务看起来好像是一件容易的事情,而在阅读了诸如InTune,Azure Identity和Office365之类的产品之后,似乎可以完成…有没有人设法成功地部署这样一个系统,或知道某人的案例研究/验尸?
如果这是我的环境,我会考虑做下面的事情:
获取一些便宜的设备,可以在远程办公室(Ubiquiti EdgeRouter Lite盒)或一些可以运行OpenWRT Linux的小型盒子中执行VPNterminal。
终止我中心位置的所有远程站点的VPN。
安装两个Windows Server实例,最好运行在不同的物理硬件上,最好位于不同的物理位置,以实现冗余。 如果可以的话,把一个放在中央的位置,把另一个放在人员最多的远程位置,放在锁和钥匙下。
如果将域控制器放置在辅助“集线器”位置,请将所有VPNterminal设备configuration为直接终止第二个位置的第二个VPN隧道(以便远程站点到辅助“集线器”的stream量不需要通过主枢纽站点旅行)。
在其中一个Windows Server实例上创build一个Active Directory林和域,一路上安装DNS。
将其他Windows Server实例升级到新创build的域中的域控制器(DC),并在升级期间使用第一个DC作为其DNS服务器。 在第二个DC上安装DNSangular色,并将两个DCconfiguration为主DNS服务器,另一个DC作为其辅助DNS服务器。
将第二个DCconfiguration为全局编录服务器。
configuration远程办公室的PC使用两个DC作为他们的DNS服务器。
如果您担心在VPN失败时丢失DNS,则将每个办公室中的VPNterminal设备configuration为DNS服务器。 将该DNS服务器configuration为有条件地将对Active Directory域的请求转发给DC承载的DNS服务器,同时将所有其他DNS请求直接发送到Internet。 configuration远程办公室的所有客户端使用VPNterminal设备作为他们的DNS服务器。 如果VPN失败,远程客户端计算机仍然具有DNS。 (在此configuration中,您可能会遇到来自客户端的dynamicDNS更新问题。
假设远程办公室的互联网连接并不糟糕,当您开始将远程办公室的PC连接到域时,您应该看到合理的login时间。 不要为了组策略而疯狂,否则你会放慢速度。 像漫游用户configuration文件和文件夹redirect这样的好东西在这种configuration中可能不存在。 您可能需要修改组策略慢速链接检测阈值,甚至使组策略正确应用(取决于远程站点Internet连接的恶劣程度)。
用这个解决scheme你可以获得很多的可pipe理性,同时也不会把你的数据中心直接暴露给互联网。