我有几个用户 100% 的时间都在现场。我希望让他们通过 AD 进行身份验证,以便定期应用密码更改等策略,甚至可能是组策略。我希望确保对这些远程、漫游、从不访问办公室的用户提供统一的标准化保护级别。
知道我可以针对这种情况采取什么措施吗?
答案1
域计算机获取更新的组策略设置的唯一方法是它们连接到域控制器当他们刷新组策略设置时。组策略已刷新:
将更新的设置发送到“离网”工作站可能很棘手,应尽可能避免这样做(例如,要求用户将笔记本电脑带到最近的分支机构定期开会)。但是,如果您必须在通常不连接到域网络的计算机上更新组策略,请考虑以下解决方案:
- 在漫游计算机上安装基于软件的 VPN 客户端,并将其配置为在用户登录前连接到域网络。这将确保“用户”GP 始终适用,并且如果计算机保持连接时间足够长,后台刷新也会更新“计算机”GP。
- 在异地用户的工作地点(例如远程/家庭办公室)部署 VPN 路由器,以保持与域网络的持久连接。这将导致远程计算机能够持续访问域控制器并全面参与组策略更新。
- 部署直接访问基础设施的作用类似于始终在线的 VPN 解决方案。
答案2
让他们通过 VPN 连接到您的域中的互联网。使用远程访问和路由服务 (RRAS) 为他们配置 VPN 网关。