我计划使用 Samba 创建一个 Active Directory 域。暂定为位于私有 LAN 内。
我几乎没有管理 AD 域的经验,因此我想知道它们在网络之外的表现如何,因为成员笔记本电脑将被允许带出场所。
- 数据是否默认加密,还是我必须对其进行 GPO 才能加密?
- 每次用户需要登录时,是否都需要访问 DC?DC 是否必须通过公共 IP 进行访问?
请提及与当前主题相关的任何有趣的事情。
答案1
抱歉,这条评论太长了……
感谢您提供更多信息。
您的 Microsoft 加密选项是 BitLocker,因此有两件事;
首先,您需要能够从 BitLocker 中恢复,因此请不要打开它,直到您有办法恢复密钥并在紧急情况下解密 HD,我发现最好的方法是在 AD 中启用 BitLocker 密钥,以便它们绑定到 AD 对象以允许轻松恢复。
其次,您可以使用 GPO 进行大规模部署,但必须使用 Microsoft VBS 脚本并将其推送到计算机策略中。您可以从 Microsoft 下载 VBS 脚本。
就 DC 身份验证而言,这仅在首次登录时需要*,如果 Windows 桌面看不到 DC,它将缓存凭据并使用它们。
*请记住,密码过期等信息将被缓存,当密码过期时,机器将再次需要 DC 身份验证才能启用登录,因此不要认为您可以永远将机器从网络上断开!