我们有中央总部大楼和许多通过 VPN 连接的小型分支机构,并且想要实施 AD(如果您相信的话,我们还没有)。我们希望每个人都使用域帐户登录并受到集中监管。
我们可以在一个拥有 10 台计算机的分支机构中安装 RODC。但我们的分支机构规模较小,只有两到四台 PC。其中一些分支机构通过 IPSec 站点到站点 VPN 连接到总部,一些分支机构通过远程访问(基于客户端)VPN 连接到总部。
因此,对于拥有本地 RODC 或通过 VPN 路由器连接到 HQ DC 的分支机构来说,这没有问题。但是对于小型分支机构来说怎么办?我们实际上并不想在那里设置机器,也不想投资 Windows Server 许可证或花哨的网络设备。
另外,问题是我们无法通过 VPN 访问总部 DC,因为我们尚未登录并连接到总部内部网络,因此无法访问 DC。
如果需要对这些 PC 上的策略进行集中管理,通常该怎么办?还是最好放手让他们使用本地策略和帐户?
答案1
DirectAccess 对您来说是理想的,但需要总部有一定数量的基础设施。
首先,我会设置从每个站点到总部的站点到站点 VPN 链接。没钱购买高端网络设备?没问题,因为 IPSEC 站点到站点 VPN 并不是什么高端或费力的工作,您可以使用任何您喜欢的 SOHO 路由器来实现(我们使用 Draytek)。
现在您需要测试从分支机构到总部的带宽和延迟 - 您必须在慢速登录和实施组策略之间做出权衡。仔细确定 GPO 的范围应该会有所帮助。如果延迟很严重,那么您可能不得不满足于仅对总部 DC 进行一次身份验证,然后应用策略,然后关闭站点链接并使用缓存的凭据进行登录。(如果没有可用的 DC,用户可以无限期地使用缓存的凭据登录)。
您不一定能让所有 GPO 都立即应用,因为 GP 客户端会检测到“慢速链接”并阻止应用某些 GP 设置(例如文件夹重定向、软件安装)。 慢速链接检测
另外,问题是我们无法通过 VPN 访问总部 DC,因为我们尚未登录并连接到总部内部网络,因此无法访问 DC。
我不明白你在这里说什么。如果有必要,你可以在用户的电脑上设置 VPN,这样他们就可以登录前先连接。