У нас есть географически распределенные сотрудники по всей Индии. Большинство сотрудников работают удаленно, и им редко приходится ехать в региональные офисы. например сотрудникам в Гоа редко нужно ехать в региональный офис в Мумбаи.
Сейчас мы устанавливаем Active Directory в нашем офисе (Azure, Virtual Machine Hosted). Как лучше всего подключить удаленные ноутбуки (Windows) к этой AD? Просить их поехать в офис, чтобы сделать это, кажется неправильным.
-Аджай
Point to Site VPN или DirectAccess - это вариант, но в зависимости от вашего решения VPN и его конфигурации безопасности (сертификат пользователя, контроль NACK, ...) подключение для конечного пользователя может быть слишком сложным.
Если у вас Windows 8 и новее, вам следует использовать Offline Domain Join (https://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step(v=ws.10).aspx): Во время автономного присоединения к домену компьютер настраивается для присоединения к домену без обращения к контроллеру домена. Это позволяет присоединять компьютеры к домену в местах, где нет подключения к корпоративной сети.
Если ваша рабочая станция Windows работает под управлением Windows 10, у вас есть некоторые улучшения или варианты присоединения к информационной системе организации:
1- вариант может заключаться в использовании Azure Active Directory Join (http://blogs.technet.com/b/ad/archive/2015/05/28/azure-ad-join-on-windows-10-devices.aspx). В этом случае ваш пользователь может очень легко присоединить Windows к Azure AD (ему необходимо знать свой адрес электронной почты и пароль). Возможна обратная запись в AD на объекте устройства, созданном в Azure AD.
2- Вы можете использовать пакет подготовки (https://technet.microsoft.com/en-us/library/dn986866(v=vs.85).aspx), чтобы включить все параметры для упрощения подключения к AD в локальной среде (сертификат клиента, регистрация в MDM ..)
надеюсь, что это поможет.
С уважением
Станислав
Как далеко от них ближайший офис? От Гоа до Мумбаи было бы слишком далеко, но если они находятся в часе езды, это может быть наиболее рентабельным путем, чтобы пригласить их в этот офис.
Обычно сотрудники ходят в любой офис? Или они работают из дома? В любом случае подключение IPSec VPN от брандмауэра / маршрутизатора к вашему брандмауэру даст хорошие результаты. Но настройка VPN для каждого отдельного сотрудника / конфигурации маршрутизатора займет много времени. Было бы лучше, если бы все они собрались в нескольких зданиях или домах других сотрудников для проведения процедуры.
Третий вариант - отправить им по почте все новые ноутбуки, уже настроенные и настроенные. Я сделал это для одного клиента, и это был самый простой способ, который я когда-либо делал, но это был самый дорогой путь. Однако стоит выяснить, собирается ли компания перейти на новые ноутбуки.
То, что не вариант: делать это через Интернет без VPN / туннеля. И по соображениям безопасности, и по вероятности даже не сработает.