活动目录 – 确保从未驻留的用户定期接收AD策略

我有100%的时间在这个领域有几个用户。 我想让他们对AD进行身份validation,以便诸如密码更改的策略,甚至是组策略都可以定期应用。 我想确保这些远程,漫游,永远不会办公的访问用户的标准化保护水平。

有什么想法,我可以为这样的情况?

域计算机获取更新的组策略设置的唯一方法是在刷新其组策略设置时,它们连接到域控制器 组策略刷新:

  1. 在电脑启动(计算机设置的前台刷新 )
  2. 在用户login(用户设置的前台刷新 )
  3. 定期在后台( 后台刷新 )
  4. 手动运行GPUpdate

将更新后的设置更新到“离线”工作站可能会非常棘手,应尽可能避免这样做(例如要求用户将笔记本电脑带到最近的分支机构定期召开会议)。 但是,如果必须在通常不连接到域networking的计算机上更新组策略,请考虑以下解决scheme:

  • 在漫游计算机上安装基于软件的VPN客户端,并将其configuration为在用户login之前连接到域networking。 这将确保始终应用“用户”GP,如果计算机保持足够长的连接时间,后台刷新也会更新“计算机”GP。
  • 在离线用户的工作地点部署VPN路由器(例如,在他们的远程/家庭办公室),维护与域networking的持续连接。 这将导致远程计算机持续访问域控制器并完全参与组策略更新。
  • 部署一个DirectAcess基础设施,就像永远在线的VPN解决scheme一样。

要求他们通过VPN连接到互联网到您的域名。 使用远程访问和路由服务(RRAS)为其configurationVPN网关。