仅在云端部署活动目录并将工作站加入其中,无需 VPN(无本地 DC、无 RODC 等)

仅在云端部署活动目录并将工作站加入其中,无需 VPN(无本地 DC、无 RODC 等)

该公司没有任何办公室。所有用户都在远程。

但是,他们需要一个可以加入工作站并可以集中管理用户的 Active Directory。

一个建议是购买云端服务器(AWS、Azure、Rackspace 等)并在其上部署 Active Directory,然后将工作站加入到此 Active Directory。

通过此设置,如果不使用 VPN 从最终用户的工作站连接到云上的服务器实例,会有什么影响?有人在没有 VPN 的情况下这样做过吗?

答案1

您可能希望保护您的 AD DC 服务器免受互联网攻击。直接暴露它们并不是最佳做法。VPN 可以帮助防止这种情况发生。您可以使用内置的 Windows VPN 服务,虽然它不是那么好,但至少能给您带来一些比没有更好的东西。以下是 Microsoft Active Directory 最佳实践指南的链接。保护 Active Directory 的最佳实践在继续之前可能需要查看一下。第 78 页回顾了在域控制器上简单地使用 Internet Explorer 是失败的最佳实践。仅凭这一点就应该可以表明在互联网上公开 Active Directory 服务是一个坏主意。

答案2

对于您的具体问题 - 这意味着什么?默认配置中的域控制器并未针对公共网络进行强化,例如,它们默认允许明文 LDAP 绑定,这可能会将您的密码暴露给拦截者。本文介绍了禁用 LDAP 简单绑定的过程https://support.microsoft.com/en-us/kb/935834

根据您希望从机器/用户管理角度实现的目标,您应该研究以下技术

Microsoft Intune 可以使用配置管理器管理未加入域的计算机(包括 Mac/Linux)

Windows Azure Active Directory 允许您集中创建和管理用户帐户,并为包括 Office 365 在内的各种应用程序提供 ADFS 身份验证接口。

DirectAccess 通过在身份验证之前建立到云托管网络的 VPN 隧道,允许在直接连接到 Internet 时获得域加入体验。

Workplace Join 是 ADFS 的一项功能,允许您通过 ADFS 服务将设备“加入”到您的域。

Windows Azure 可以通过 Internet 提供 SMB 共享。但文件共享是一种遗留技术 - 如果可以,请使用 Sharepoint Online/OneDrive。

可以(某种程度上)使用 Windows Intune 来制定策略 - 您不会获得传统的组策略配置,但除非您想锁定您的环境,否则通常不需要它。

Windows 2012 中可以设置互联网打印https://technet.microsoft.com/en-us/library/jj134159.aspx- 但你需要在某处有一台服务器。云服务无疑是存在的。

祝你好运

谢恩

答案3

不要使用传统的 AD DS 来做到这一点。如果您必须只使用云,则应使用 Azure Active Directory SaaS 解决方案,其中 Intune 用于管理,Windows 10 用于桌面。您会失去 Kerberos、GPO 等功能,但会获得极大的灵活性,并且无需管理任何基础架构。

正如我所说,这不是 AAD 和 AD DS 之间功能的 1:1 比较,因此请进行一些研究并确保它非常适合,但这是您的问题的唯一合理解决方案,除非您完全忽略安全最佳实践并将 DC 放在公共互联网上。

相关内容