У нас есть центральное здание штаб-квартиры и множество небольших филиалов, которые подключаются через VPN, и мы хотим внедрить AD (если вы можете верить, что мы еще не сделали). Мы хотим, чтобы все входили в систему с использованием учетных записей домена и находились под централизованным контролем.
Мы согласны с наличием контроллера домена только для чтения в филиале с примерно 10 компьютерами. Но у нас есть эти небольшие филиалы с двумя-четырьмя компьютерами. Некоторые из этих филиалов подключаются к HQ через IPSec site-to-site VPN, некоторые - через VPN удаленного доступа (на основе клиента).
Таким образом, нет проблем с теми, у которых есть локальный RODC или которые подключаются к HQ DC через VPN-маршрутизатор. Но как насчет небольших веток? На самом деле мы не хотим ни устанавливать там машину, ни вкладывать средства в лицензии Windows Server или модное сетевое оборудование.
Кроме того, проблема заключается в том, что мы не можем получить доступ к DC HQ через VPN, потому что мы еще не вошли в систему и не подключены к внутренней сети HQ, поэтому DC недоступны.
Что обычно делается в этой ситуации, если требуется централизованное управление политиками на этих ПК? Или лучше дать им возможность расслабиться и использовать локальные политики и учетные записи в этой ситуации?
DirectAccess подойдет вам идеально, но для этого потребуется определенная инфраструктура в штаб-квартире.
Во-первых, я бы установил VPN-ссылки между сайтами от каждого сайта до штаб-квартиры. Нет денег на навороченное сетевое оборудование? Это абсолютно нормально, поскольку межсайтовый VPN IPSEC не является чем-то необычным или требовательным, вы можете сделать это с любыми маршрутизаторами SOHO, которые вам нравятся (мы используем Draytek).
Теперь вам нужно проверить пропускную способность и время ожидания от филиала до штаб-квартиры - здесь вам придется выбирать между медленным входом в систему и реализацией групповой политики. Тщательное определение объема объектов групповой политики должно помочь. Если задержка велика, вам, возможно, придется довольствоваться аутентификацией в HQ DC только один раз, затем применить политику, а затем отключить ссылку на сайт и использовать кэшированные учетные данные для входа. (Пользователи могут входить в систему с кэшированными учетными данными на неопределенный срок, если DC недоступен).
Необязательно, чтобы все ваши GPO применялись из коробки, поскольку клиент GP обнаруживает «медленное соединение» и предотвращает применение некоторых настроек GP (таких как перенаправление папок, установка программного обеспечения). Обнаружение медленного соединения
Кроме того, проблема заключается в том, что мы не можем получить доступ к DC HQ через VPN, потому что мы еще не вошли в систему и не подключены к внутренней сети HQ, поэтому DC недоступны.
Я не понимаю, о чем вы здесь говорите. При необходимости вы можете настроить VPN на ПК пользователя, и они смогут подключите его перед входом в систему.