Implanta o diretório ativo APENAS na nuvem e junte estações de trabalho a ele SEM VPN (sem DCs no local, sem RODCs etc.)

1

A empresa não possui escritórios. Todos os usuários são remotos.

No entanto, eles precisam de um Active Directory no qual as estações de trabalho possam ser unidas e os usuários possam ser gerenciados centralmente.

Uma sugestão é comprar um servidor na nuvem (AWS, Azure, Rackspace, etc.) e implantar o Active Directory nele e depois associar as estações de trabalho a esse Active Directory.

Com essa configuração, quais são as implicações de não usar uma VPN da estação de trabalho do usuário final para a instância do servidor na nuvem? Alguém já fez isso sem VPN?

    
por slayernoah 30.09.2015 / 00:10

3 respostas

2

Você gostaria de proteger seus servidores do AD DC da Internet. Expondo-os diretamente não é a melhor prática. A VPN está lá para ajudar a evitar isso. Você pode usar os serviços VPN do Windows que, embora não sejam tão bons, pelo menos, oferecem algo melhor do que nada. Aqui está um link para um guia de práticas recomendadas do MS para o Active Directory. Práticas recomendadas para proteger o Active Directory Talvez queira revisá-lo antes de prosseguir. Página 78 analisa um pouco sobre simplesmente usar o Internet Explorer em um Controlador de Domínio como uma falha na prática recomendada. Isso por si só deve dar uma indicação de que expor os serviços do Active Directory na Internet é uma má ideia.

    
por 30.09.2015 / 00:30
2

Para sua pergunta específica - quais são as implicações? Controladores de domínio em uma configuração padrão não são protegidos por uma rede pública, por exemplo, eles permitem ligações LDAP de texto simples por padrão, o que pode expor suas senhas à interceptação. Este artigo descreve o processo para desabilitar o vínculo simples de LDAP link

Dependendo do que você espera alcançar em uma perspectiva de gerenciamento de usuários / máquinas, você deve investigar as seguintes tecnologias

O Microsoft Intune pode fornecer gerenciamento de máquinas não associadas ao domínio, incluindo Mac / Linux usando o Gerenciador de Configurações

O Active Directory do Windows Azure permite criar e gerenciar centralmente contas de usuários e fornecer uma interface de autenticação do ADFS para vários aplicativos, incluindo o Office 365.

O DirectAccess permite uma experiência de ingresso no domínio quando conectado diretamente à Internet, criando um túnel VPN para sua rede hospedada na nuvem antes da autenticação.

Workplace Join é um recurso do ADFS que permitirá que você "una" um dispositivo ao seu domínio por meio do serviço do ADFS.

O Windows Azure pode fornecer compartilhamentos SMB pela Internet. Mas os compartilhamentos de arquivos são uma tecnologia legada - use o Sharepoint Online / OneDrive, se puder.

As políticas podem (mais ou menos) ser feitas usando o Windows Intune - você não obterá a configuração tradicional da Diretiva de Grupo, mas geralmente não precisa disso, a menos que queira bloquear seu ambiente.

A impressão na Internet pode ser configurada no link do Windows 2012 - mas você precisaria de um servidor em algum lugar para isso. Um serviço de nuvem, sem dúvida, existe.

Boa sorte

Shane

    
por 30.09.2015 / 23:24
2

Não faça isso com o AD DS tradicional. Se você precisar ir somente na nuvem, use a solução do Azure Active Directory SaaS com o Intune para gerenciamento e o Windows 10 na área de trabalho. Você perde coisas como Kerberos, GPO, etc., mas obtém grande flexibilidade e não tem infraestrutura para gerenciar.

Como eu disse, essa não é uma comparação 1: 1 de recursos entre o AAD e o AD DS, então faça algumas pesquisas e verifique se é um bom ajuste, mas essa é a única solução plausível para a sua pergunta, a menos que você ignore as práticas recomendadas de segurança e coloque um DC na Internet pública.

    
por 21.07.2016 / 15:24