该公司没有任何办公室。 所有用户都是远程的。
但是,他们需要一个可以join工作站的Active Directory,并且可以集中pipe理用户。
一个build议是购买云上的服务器(AWS,Azure,Rackspace等),并在其上部署Active Directory,然后将工作站join到该Active Directory中。
使用此设置, 不使用从最终用户的工作站到云上的服务器实例的VPN的含义是什么? 有没有人做这个没有VPN?
你会想要从互联网上保护你的AD DC服务器。 直接暴露他们并不是最好的做法。 VPN有助于防止这种情况发生。 你可以使用内置的Windows VPN服务,虽然不是那么好,至less会给你一些比没有好的东西。 以下是指向Active Directory MS最佳实践指南的链接。 保护Active Directory的最佳实践在继续操作之前,可能需要对其进行检查。 有关简单地将域控制器上的Internet Explorer用作失败的最佳做法的一些评论。 仅此一点就应该给你一个迹象,说明在互联网上暴露Active Directory服务是一个坏主意。
对于你的具体问题 – 有什么影响? 缺省configuration中的域控制器对于公共networking来说不会被强化,例如,它们允许默认的明文LDAP绑定,这可能会使您的密码被拦截。 本文介绍了禁用LDAP简单绑定的过程https://support.microsoft.com/zh-cn/kb/935834
根据您希望从机器/用户pipe理angular度来实现的目标,您应该研究以下技术
Microsoft Intune可以使用Configuration Manager提供包括Mac / Linux在内的非域join的机器的pipe理
Windows Azure Active Directory允许您集中创build和pipe理用户帐户,并为各种应用程序(包括Office 365)提供ADFS身份validation界面。
DirectAccess允许在直接连接到互联网的情况下实现域联合体验,方法是在authentication之前build立到您的云托pipenetworking的VPN隧道。
工作场所join是ADFS的一项function,它允许您通过ADFS服务将设备“join”您的域。
Windows Azure可以通过Internet提供SMB共享。 但是,文件共享是一项传统技术 – 如果可以,请使用Sharepoint Online / OneDrive。
策略可以(使用Windows Intune完成) – 您不会得到传统的组策略configuration,但除非要locking环境,否则通常不需要这些configuration。
互联网打印可以在Windows 2012中设置https://technet.microsoft.com/en-us/library/jj134159.aspx – 但您需要一个服务器的地方。 云服务无疑存在。
祝你好运
巴蒂尔
不要使用传统的AD DS来做到这一点。 如果您不得不使用云,则应将Azure Active Directory SaaS解决scheme与Intune一起用于pipe理,并在桌面上使用Windows 10。 你失去了像Kerberos,GPO等东西,但你获得了大量的灵活性,没有基础设施来pipe理。
正如我所说的,这不是AAD和AD DS之间1:1比较的特征,所以做一些研究并确定它是一个很好的select,但这是唯一合理的解决scheme,除非你完全忽视安全性在公共互联网上实践和设置一个区议会。