我们有一些工作站将在偏远的地方生活,我们不一定会有很好的人身安全。 我们需要确保我们能够完全访问这些机器(通过远程桌面,组策略,IPMI /远程KVM等),因此我们将在每个位置使用硬件VPN。 因为我们使用硬件VPN,这意味着有人可以插入VPN端口,但他们需要知道我们的networking基础设施,用户名/密码等,我们也将阻止所有入站stream量到我们的办公室在防火墙除了活动目录stream量。
那么,提出这个问题,使用什么样的域控制器? 起初,我build立了一个只读域控制器,它是我们主域的成员,但即使这也让我们感到不舒服。 另外,它有它自己的痛苦,所以现在我正在考虑其他的select,然后才真正开始使用系统(它还在开发中)。
我想我要么build立一个子域名,要么走一个完全独立的域名的路线。 但是,我仍然需要在域之间build立信任关系,因为我希望我的办公室用户能够轻松地pipe理现场的远程计算机,但是纯粹是为了pipe理目的,并且可以在任何时候中断连接仍然使现场计算机完全运行。 是的,我根本没有信任,但如果可能的话,我想pipe理大部分用户资源。 这里的关键是我们有能力远程pipe理和访问这些计算机,而不会影响我们的办公networking的安全。
有一个更好的方法吗? 别人在这样的情况下做了什么? 谢谢!
这一切都将归结为安全性的权衡,以便能够使用主域中的一组pipe理凭据。 我的build议是不要build立一个新的领域和信任,因为这只会给你一个错误的安全感。 甚至不要将域控制器部署到该位置。 不要过度devise它。 您将最终获得更多的工作,而不需要太多的安全措施。 使用VPN来允许客户端对办公室DC进行身份validation。 locking他们在防火墙的networking访问权限,仅限于他们所需的IP,端口和协议。 启用客户端上的凭证caching,以便用户在networking丢失时仍可以login。 在客户端上启用BitLocker驱动器encryption以减轻脱机磁盘访问。 使用Microsoft LAPS解决scheme确保本地pipe理员密码是唯一的,并备份到Active Directory。 最重要的是,绝对不要使用具有pipe理访问权限的域帐户login到您的networking上的任何其他计算机。 应用组策略来拒绝您的域pipe理员帐户networking和交互式login到这些系统,以确保它永远不会发生。 更好的是,使用LAPS帐户进行所有远程pipe理。 这样一来,如果一个人被攻陷,他们只能被限制在那个系统和任何仍在记忆中的账户。 如果您对这些build议有任何问题或疑虑,请告知我们。 便利性/可用性和安全性总是与彼此不一致。 关键是find一个安全和可用的甜蜜点,但不是很方便,不幸的是。