我目前正在寻找是否有办法通过使用 ActiveDirectory 组和用户来管理针对非域客户端的身份验证。
场景:我有一个独立的 LAN,从技术上来说,可以从另一个 ActiveDirectory 网络访问该 LAN。该 LAN 中的客户端 (Windows 10) 未加入 ActiveDirectory 域,必须通过 RDP 从 ActiveDirectory 网络进行访问。
目前,这是通过在非域客户端上本地创建用户 + 密码来实现的。然后,这些凭据将共享给需要连接到这些计算机的用户。这些用户从他们的域客户端连接到非域客户端。由于共享用户 + 密码缺乏安全性,我正在寻找另一种解决方案。
问题:我现在的问题是,是否有可能以某种方式告诉非域客户端哪个域用户/域计算机/域组被允许通过 RDP 进行连接,而无需将非域计算机加入域。
我非常感谢您的每一个想法。
答案1
未加入域的计算机无法通过 Active Directory 进行管理,但可以在一定程度上远程管理这些计算机。
即使这些计算机未加入域,如果您创建一个本地用户,该用户具有与 Active Directory 中存储的用户名和密码相同的用户名和密码,则用户可以轻松登录到该计算机,因为它将首先尝试使用用于登录计算机的用户名/密码进行身份验证。系统足够智能,不会提交域,因此只要 Active Directory 域中的用户名和密码也存在于该计算机上的本地用户中,该用户就可以无缝登录,无需共享额外的用户名/密码组合。
当 AD 凭据发生变化时,情况会变得更加棘手,例如用户更改了密码。然后,它不再匹配,用户将收到输入密码的提示。然后,用户可以输入旧密码进行连接,直到该电脑上的密码更改。
如果您想要获得无缝体验,则必须将目标计算机加入域。当然,您可以在林中拥有多个域控制器,并让它们同步整个林中的用户,这样您就可以拥有 2 个不同的域控制器,每个位置一个。或者,您也可以在一个区域中只使用一个域控制器,并使用企业级路由器在位置之间创建隧道,以便所有计算机都可以加入域。这是一种常见且安全的方法。用户更改密码没关系,他们仍然可以毫无问题地通过 RDP 进入新位置。
显然,鉴于本地用户和组不会同步到未加入域的 PC 上的活动目录,因此如果不编写一些奇怪的脚本来远程管理这些未加入域的 PC,就无法控制访问。如果 PC 已加入域,那么只需将权限分配给用户并通过组管理访问即可。