我想知道在以下情况下我有哪些选项可以允许远程用户同步到我们的 AD,其中外部用户是我们的建筑物/网络之外的人,但拥有一台位于我们域内的计算机。
我们即将拥有一些外部用户。我们一直在测试这一点,我们测试过的第一位外部用户发现,当他们通过 Webmail 更改 AD 密码时,该密码不会从 AD 传播到他们的计算机。这是有道理的,因为他们没有办法连接到我们的 AD 服务器。我想知道解决这个问题的标准方法。以下是我认为可行的几种方法,我希望有人能告诉我哪些方法可行,哪些方法不可行。其他选择显然非常受欢迎。
我们最近开始使用 Office 365 云服务,并且正在使用 Azure AD Connect。有没有办法让他们访问“云”AD,让他们可以在计算机上重置密码,并将其传播到整个 AD 环境?需要说明的是,我从未使用过实际的 Azure AD 门户,我只通过 AD Connect 运行密码和用户同步。
在防火墙上打个洞以允许外部验证 AD 是否正常?这似乎是你绝对不想做的事情,但我是个菜鸟,可能错了。
我们有 VPN,但长话短说,我们的 ISP 很差劲,而且非常不可靠。我认为加入我们 VPN 的尝试中大约有 1/5 会成功。我们正在与他们合作,但他们规模很小,很难处理任何请求。
还有别的吗?我还有其他选择吗?
从谷歌搜索看来,VPN 是这里最常用的方法,但由于我们的 VPN 太糟糕了,我希望第一种方法是可行的。
答案1
Azure AD 支持名为密码写回,允许用户在互联网上更改或重置密码,然后通过 AD Connect 同步到本地 AD。
要使用密码写回,您必须确保完成以下先决条件:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
如果您有现有的 Office 365 订阅,则您已经拥有 Azure AD 租户!您可以登录Azure 门户使用您的 O365 帐户并开始使用 Azure AD。
顺便说一句,即使您使用带有 Azure AD Join 功能的 Windows 10,您仍然需要启用密码写回。
另外,您可以使用直接访问允许远程用户更改或重置密码。
以下是取自博客的部分内容。
首先是远程用户的密码重置。忘记密码或远程锁定的用户将致电帮助台,但如果用户无法看到域控制器,则在 Active Directory 中执行密码重置将无法帮助用户,除非用户进入并连接到内部网络。由于无法登录而无法启动 VPN 的用户将无法使用 VPN 进行连接。但是使用 DirectAccess,用户可以直接从 CTRL-ALT-DEL 提示符中看到域控制器,因此帮助台所做的密码重置将立即对最终用户可见。您甚至应该能够通过 DirectAccess 基础结构隧道公开 Forefront Identity Manager 自助服务密码重置门户,以便用户甚至可以在漫游互联网时重置自己的密码。
第二个是远程用户更改密码。漫游笔记本电脑用户在 OWA 中更改密码后,此密码更改会发送到 Active Directory。但这不会影响笔记本电脑上的缓存凭据。下次用户登录并尝试使用其“新密码”时,除非笔记本电脑现在直接连接到内联网,否则针对笔记本电脑缓存凭据的登录将失败。使用 DirectAccess,用户始终可以直接从 CTRL-ALT-DEL 提示符下更改密码。
此外,计算机帐户密码更改(默认每 30 天一次)在启用 DirectAccess 的笔记本电脑上可以正常进行,即使对于几乎从不启用 VPN 的用户也是如此。这可以防止合法计算机帐户被内部 IT 专业人员可能运行的任何 AD 清理活动清理。
答案2
Azure AD 自助密码重置是一种选择。您需要直接或通过其他软件包(例如 Enterprise Mobility Suite (EMS))获得 Azure AD Premium。这允许在 Azure 中重置密码并通过 Azure AD Connect 将其写回到本地 AD。