我们有中央总部大楼和许多通过 VPN 连接的小型分支机构,并希望实施 AD(如果您相信我们还没有)。我们希望每个人都使用域帐户登录并受到集中监管。
我们可以在拥有大约 10 台计算机的分支机构中拥有 RODC。但是我们有这些只有两到四台 PC 的小分支机构。其中一些分支机构通过 IPSec 站点到站点 VPN 连接到总部,一些通过远程访问(基于客户端)VPN 连接。
因此,具有本地 RODC 或通过 VPN 路由器连接到总部 DC 的没有问题。但是小分支呢?我们真的不想在那里设置机器,也不想投资 Windows Server 许可证或花哨的网络设备。
此外,问题是我们无法通过 VPN 访问 HQ DC,因为我们尚未登录并连接到 HQ 内部网络,因此无法访问 DC。
如果需要对这些 PC 上的策略进行集中管理,在这种情况下通常会做什么?还是在这种情况下让他们放松并使用当地政策和账户更好?
DirectAccess 将是您的理想选择,但需要在总部拥有一定数量的基础设施。
首先,我会设置从每个站点到总部的站点到站点 VPN 链接。没钱买花哨的网络设备?这绝对没问题,因为 IPSEC 站点到站点 VPN 不是一项花哨或要求很高的工作,您可以使用任何您喜欢的 SOHO 路由器(我们使用 Draytek)来完成。
现在您需要测试从分支机构到总部的带宽和延迟 - 您必须在此处在慢速登录和实施组策略之间做出权衡。仔细确定 GPO 的范围应该会有所帮助。如果延迟很糟糕,那么您可能不得不满足于仅对 HQ DC 进行一次身份验证,然后应用策略,然后删除站点链接并使用缓存的凭据进行登录。(如果没有可用的 DC,用户可以无限期地使用缓存的凭据登录)。
您不一定会立即应用所有 GPO,因为 GP 客户端会检测到“慢速链接”并阻止应用某些 GP 设置(例如文件夹重定向、软件安装)。 慢速链路检测
我不明白你在这里说什么。如有必要,您可以在用户的 PC 上设置 VPN,他们可以在登录前连接它。