我需要一些帮助来找到解决这个问题的好办法。我很了解 AD,但坦白地说,我不是专家。而且我知道我不想把它暴露在互联网上……
我在新公司接手了一批经常远程办公的员工(约 100 名员工,全部使用 Mac)。每台笔记本电脑都通过 Active Directory 进行身份验证。效果很好。但是,当用户远程办公时,他们有时需要将笔记本电脑留给没有笔记本电脑的其他员工(出于某些原因)。问题是员工 2 无法登录员工 1 的笔记本电脑,因为该计算机无法联系 AD。员工 2 没有缓存凭据,因为这是他第一次登录这台特定的机器。
通常 VPN 是解决方案,但如果无法先登录计算机,则无法登录 VPN。是否有任何不涉及持久 VPN 的解决方案可以帮助解决这个问题?我不想将 AD 或 LDAP 暴露给更广泛的互联网,但最重要的是我需要能够在没有 VPN 的情况下从那里进行身份验证。
此外,只是为了在此基础上增加一层复杂性...我继承的域是“domain.local”这不是什么大问题(我可以解决一些正常的 mac 问题),但是我发现这在尝试从互联网联系 dc.domain.local 时引起了问题。
有没有比我聪明的人能为我指出解决问题的正确方向(而无需讲授不良做法等)?
答案1
由于缺乏声誉,我将其作为答案发布,但这更像是一个深思熟虑的回应。Apple Configurator 和 Profile Manager 有一个“始终在线的 VPN”选项。但是,它只适用于“受监管”的设备。我不知道笔记本电脑是否可以被监管。此外,您需要一个支持 IKE 的 VPN 服务器v2
