我们的员工遍布印度各地。大多数员工都在偏远地区就职,他们很少需要前往地区办事处。例如,果阿的员工很少需要前往孟买的地区办事处。
现在我们正在办公室(Azure,虚拟机托管)安装 Active Directory。将远程位置的笔记本电脑(Windows)加入此 AD 的最佳方法是什么?让他们去办公室完成这项工作似乎不是正确的方法。
—阿杰
答案1
点到站点 VPN 或 DirectAccess 是一种选择,但取决于您的 VPN 解决方案及其安全配置(用户证书、NACK 控制……),对于最终用户来说,连接可能会太困难
如果您使用的是 Windows 8 及更高版本,则应使用脱机域加入(https://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step(v=ws.10).aspx): 在离线域加入期间,计算机配置为无需联系域控制器即可加入域。这样就可以在没有连接到公司网络的位置将计算机加入域。
如果您的 Windows 工作站运行的是 Windows 10,则您可以通过一些改进或选项来加入组织信息系统:
1- 一个选项是使用 Azure Active Directory 加入(http://blogs.technet.com/b/ad/archive/2015/05/28/azure-ad-join-on-windows-10-devices.aspx)。在这种情况下,您的用户可以非常轻松地将 Windows 加入 Azure AD(他们需要知道他们的电子邮件和密码)。可以在 Azure AD 上写回在 AD 上创建的本地设备对象。
2-您可以使用配置包(https://technet.microsoft.com/en-us/library/dn986866(v=vs.85).aspx)包含所有参数以简化与本地 AD 的连接(客户端证书、MDM 注册..)
希望这有帮助。
问候
斯坦尼斯拉斯
答案2
离他们最近的办公室有多远?果阿到孟买太远了,但如果距离有一小时车程,那么让他们来那间办公室可能是最具成本效益的路线。
员工通常去办公室吗?还是在家办公?无论哪种情况,从他们的防火墙/路由器到您的防火墙的 IPSec VPN 都会产生良好的效果。但为每个单独的员工/路由器配置设置 VPN 需要很长时间。最好让他们都聚集在几栋楼或其他员工的家中进行此过程。
第三种选择是将已配置和设置好的新笔记本电脑邮寄给他们。我曾为一位客户这样做过,这是我做过的最简单的方法,但也是最昂贵的方法。不过,如果公司想要升级到新笔记本电脑,就值得调查一下。
不通过 VPN/隧道通过互联网进行此操作是不可能的。这既出于安全原因,也很可能行不通。