因主管在公司是使用筆電辦公,會將筆電帶回家使用,登入使用時需要認證,AD本身可以做離線驗證,意指不是在公司內部網路也可以登入做身分驗證,但使用期間無法做變更使用者密碼、同步時間以及更新群組管理原則(GPO),如果要讓在公司外部網路做上述行為,必須讓筆電網路與DC保持聯繫,因此需建立一台可供對外網路連線的DC。
目前DNS解析地到,也都ping得到DC,使用nltest /dsgetdc:XXX.XXX都是失敗,
請問可以達成在公司內跟只對內的DC驗證,在公司外與對外的DC做驗證嗎(如圖片)
已邀請的邦友 {{ invite_list.length }}/5
沒錢作法請用VPN,讓筆電自己透過VPN跟DC做聯繫更新
有錢作法請用MDM,這是雲端控管設備的服務,找一個你們公司可以接受的方案
通常用微軟的MDM相容性最高,Microsoft Intune(MDM)請自己去看
你圖表的內容通常是辦不到的,一個設計用來對內的架構你要強制讓他對外可是大工程
沒記錯的話,在NB本機新增網域使用者帳號就行了~
在家裡登入時就不用跟主機驗證,網路不通時也能登入桌面.
控制台->使用者帳戶->變更帳戶類型
不是在公司內部網路也可以登入做身分驗證
但使用期間無法做變更使用者密碼、同步時間以及更新群組管理原則(GPO),
如果要在非網域內變更使用者密碼,而且有Azure AD的話,可以參考Azure AD self-service password reset
https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-sspr-howitworks
不建議這樣做(風險不小),如果非將DC暴露在外網,建議防火牆限制那些地區可存取,並僅開放必要的埠(網路查得到),並將對外的改成RODC。
iThome鐵人賽
看影片追技術