我们有中央总部大楼和很多通过VPN连接的小型分支机构,希望实施AD(如果您能相信我们还没有)。 我们希望每个人都使用域帐户login并集中pipe理。
我们可以在有10台电脑的分支机构里安装RODC。 但是,我们只有两到四台电脑的小型分支机构。 其中一些分支通过IPSec站点到站点VPN连接到总部,一些通过远程访问(基于客户端)VPN连接到总部。
所以对于那些有本地RODC或通过VPN路由器连接到总部DC的人来说没有问题。 但是小分支怎么样? 我们并不是真的想在那里设置一台机器,我们也不想投资Windows Server许可证或花哨的networking设备。
另外,问题是我们不能通过VPN访问总部数据中心,因为我们还没有login并连接到总部内部networking,所以数据中心不可达。
如果需要对这些PC上的策略进行集中pipe理,那么在这种情况下通常会做什么? 或者在这种情况下放松并使用本地政策和账户是否更好?
DirectAccess对你来说是理想的,但是在总部需要一定数量的基础设施。
首先,我将build立从每个站点到总部的站点到站点VPN链接。 没有钱花哨的networking设备? 这绝对没问题,因为IPSEC站点到站点的VPN不是一个很花哨的或要求苛刻的工作,你可以用SOHO路由器(我们使用Draytek)来做到这一点。
现在,您需要testing从分支机构到总部的带宽和延迟 – 您需要在慢速login和实施组策略之间进行折衷。 仔细观察您的GPO应该会有所帮助。 如果延迟不好,那么您可能只需要解决一次对HQ DC的身份validation,然后应用策略,然后取下站点链接并使用caching的凭证进行login。 (如果没有DC可用,用户可以无限期地使用caching凭证进行login)。
由于GP客户端检测到“慢速链接”并阻止应用某些GP设置(如文件夹redirect,软件安装),您不一定会将所有GPO应用于开箱即用。 慢速链接检测
另外,问题是我们不能通过VPN访问总部数据中心,因为我们还没有login并连接到总部内部networking,所以数据中心不可达。
我不明白你在说什么。 如有必要,您可以在用户的PC上设置VPN,并且可以在login之前将其连接。