Мне было интересно, какие варианты у меня есть, чтобы разрешить удаленным пользователям синхронизироваться с нашей AD, учитывая следующий сценарий, когда внешний пользователь - это кто-то за пределами нашего здания / сети, но имеет компьютер, который находится в нашем домене.
У нас скоро появятся несколько внешних пользователей. Мы тестировали это, и первый внешний пользователь, с которым мы тестировали, обнаружил, что, когда они меняют свой пароль AD через веб-почту, он не распространяется из AD на их компьютер. Это имеет смысл, поскольку у них нет средств для подключения к нашему серверу AD. Меня интересовали стандартные способы решения этой проблемы. Вот несколько из них, которые, на мой взгляд, возможны, и я надеюсь, что кто-нибудь скажет мне, какие методы возможны, а какие нет. Очевидно, что другие варианты очень приветствуются.
Недавно мы начали использовать облачные службы Office 365, и мы используем Azure AD Connect. Есть ли у них способ получить доступ к «облачной» AD, которая позволит им сбросить свой пароль на своем компьютере и распространить его на всю среду AD? Чтобы быть ясным, я никогда не использовал настоящий портал Azure AD, я только выполнял синхронизацию пароля и пользователя через AD Connect.
Это нормально - проделывать дыру в брандмауэре, чтобы разрешить внешнюю аутентификацию в AD? Это похоже на то, что вы определенно не захотите делать, но я новичок и могу ошибаться.
У нас есть VPN, но короче говоря, наш интернет-провайдер - отстой, и это невероятно ненадежно. Я бы сказал, что около 1/5 попыток присоединиться к нашему VPN были успешными. Мы работаем с ними, но они очень маленькие, и им трудно разрабатывать какие-либо запросы.
Что-то другое? Есть ли у меня другие варианты?
Судя по поиску в Google, похоже, что VPN - самый распространенный метод здесь, но, поскольку наш VPN настолько ужасен, я надеялся, что номер 1 будет возможен.
Azure AD поддерживает функцию, называемую Обратная запись пароля, который позволяет пользователям изменять или сбрасывать свои пароли в Интернете, а затем синхронизировать их с локальной AD с помощью AD Connect.
Чтобы использовать обратную запись паролей, вы должны убедиться, что выполнили следующие предварительные требования:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
Если у вас есть подписка на Office 365, значит, у вас уже есть клиент Azure AD! Вы можете войти в Портал Azure со своей учетной записью O365 и начните использовать Azure AD.
Кстати, даже если вы используете Windows 10 с функцией присоединения к Azure AD, вам все равно нужно включить обратную запись паролей.
Также вы можете использовать Прямой доступ чтобы позволить удаленным пользователям изменять или сбрасывать пароли.
Следующие разделы взяты из блога ниже.
Первый - это сброс пароля для удаленных пользователей. Пользователи, которые забыли свой пароль или были заблокированы во время удаленного доступа, будут звонить в службу поддержки, но если пользователь не видит контроллер домена, выполнение сброса пароля в Active Directory не поможет пользователю, если он не войдет и не подключится к внутренней сети. . Пользователь, который не может запустить VPN, потому что не может войти в систему, не сможет использовать VPN для подключения. Но с DirectAccess пользователь может видеть контроллер домена прямо из приглашения CTRL-ALT-DEL, поэтому сброс пароля, сделанный службой поддержки, будет мгновенно виден конечному пользователю. Вы даже должны иметь возможность открыть портал самообслуживания для сброса пароля Forefront Identity Manager через туннель инфраструктуры DirectAccess, чтобы пользователи могли даже сбрасывать свои пароли в роуминге в Интернете.
Второй - смена пароля удаленными пользователями. Пользователь переносного компьютера, который меняет пароль в OWA, получит это изменение пароля, отправленное в Active Directory. Но это не повлияет на кешированные учетные данные на их ноутбуке. В следующий раз, когда пользователь войдет в систему и попытается использовать свой «новый пароль», вход в систему с использованием кэшированных учетных данных портативного компьютера не удастся, если только портативный компьютер не будет теперь подключен непосредственно к интрасети. С DirectAccess пользователь всегда может изменить пароль прямо из командной строки CTRL-ALT-DEL.
Кроме того, изменение пароля учетной записи компьютера, которое по умолчанию происходит каждые 30 дней, будет корректно работать на ноутбуке с поддержкой DirectAccess, даже для пользователей, которые почти никогда не будут использовать свой VPN. Это может помешать очистке законных учетных записей компьютеров с помощью любых действий по очистке AD, которые могут выполняться внутренними ИТ-специалистами.
Самостоятельный сброс пароля Azure AD - это один из вариантов. Вам необходимо иметь Azure AD Premium либо напрямую, либо через другой пакет, например Enterprise Mobility Suite (EMS). Это позволяет сбросить пароль в Azure и записать его обратно в локальную службу AD через подключение к Azure AD.
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-passwords-getting-started#enable-users-to-reset-or-change-their-ad-passwords есть подробности.