Как пользователи внешнего домена могут сбросить свой пароль и передать его на их локальный компьютер?
Мне было интересно, какие варианты у меня есть, чтобы разрешить удаленным пользователям синхронизироваться с нашим AD, учитывая следующий сценарий, когда внешний пользователь кто-то за пределами нашего здания / сети, но у него есть компьютер, который находится в нашем домене.
У нас скоро будет несколько внешних пользователей. Мы тестировали это, и первый внешний пользователь, с которым мы тестировали, обнаружил, что когда они меняют свой пароль AD через веб-почту, он не распространяется из AD на их компьютер. Это имеет смысл, поскольку у них нет средств для подключения к нашему серверу AD. Меня интересовали стандартные способы решения этой проблемы. Вот несколько из них, которые я считаю возможными, и я надеюсь, что кто-то скажет мне, какие методы возможны, а какие нет. Очевидно, что другие варианты очень приветствуются.
Недавно мы начали использовать облачные службы Office 365, и мы используем Azure AD Connect. Есть ли у них способ получить доступ к «облачной» AD, которая позволит им сбросить свой пароль на своем компьютере и распространить его на всю среду AD? Для ясности: я никогда не использовал настоящий портал Azure AD, я только запускал синхронизацию пароля и пользователей через AD Connect.
Нормально ли проделывать дыру в брандмауэре, чтобы разрешить внешнюю аутентификацию в AD? Это похоже на то, что вы определенно не хотели бы делать, но я новичок и могу ошибаться.
У нас есть VPN, но короче говоря, наш интернет-провайдер - отстой, и это невероятно ненадежно. Я бы сказал, что около 1/5 попыток присоединиться к нашему VPN были успешными. Мы работаем с ними, но они очень маленькие, и им трудно обрабатывать любые запросы.
Что-то еще? Есть ли у меня другие варианты?
Судя по поиску в Google, похоже, что VPN является наиболее распространенным методом здесь, но поскольку наша VPN настолько ужасна, я надеялся, что номер 1 будет возможен.
Azure AD поддерживает функцию под названием Обратная запись паролей , которая позволяет пользователям изменять или сбрасывать свои пароли в Интернете, а затем синхронизировать их с локальной AD с помощью AD Connect. .
Чтобы использовать обратную запись паролей, вы должны убедиться, что выполнили следующие предварительные требования:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
Если у вас есть подписка на Office 365, значит, у вас уже есть клиент Azure AD! Вы можете войти на портал Azure со своей учетной записью O365 и начать использовать Azure AD.
Кстати, даже если вы используете Windows 10 с функцией присоединения к Azure AD, вам все равно необходимо включить обратную запись паролей. .
Кроме того, вы можете использовать Прямой доступ , чтобы позволить удаленным пользователям изменять или сбрасывать пароли.
Следующие разделы взяты из блога ниже.
Первый - это сброс пароля для удаленных пользователей. Пользователи, которые забывают свои пароль или заблокироваться, пока удаленный вызовет службу поддержки, но если пользователь не видит контроллера домена, выполняющего сброс пароля в Active Directory не поможет пользователю, если он входит и подключается к внутренней сети. Пользователь, который не может вызвать VPN, потому что он не может войти в систему, не сможет использовать VPN для подключения. Но с DirectAccess у пользователя есть видимость контроллера домена прямо из командной строки CTRL-ALT-DEL, поэтому сброс пароля, сделанный службой поддержки, будет немедленно виден конечный пользователь. Вы даже должны иметь возможность выставить Forefront Identity Управляйте порталом самообслуживания для сброса пароля через DirectAccess инфраструктурный туннель, чтобы пользователи могли даже сбрасывать свои пароли при роуминге в Интернете.
Второй - изменение пароля удаленными пользователями. Пользователь портативного компьютера в роуминге который изменяет пароль в OWA, это изменение пароля будет отправлено на Active Directory. Но это не повлияет на кешированные учетные данные на их ноутбук. В следующий раз, когда пользователь войдет в систему и попытается использовать свой или ее «новый пароль», вход в систему с использованием кэшированных учетных данных ноутбука завершится ошибкой, если переносной компьютер теперь не подключен непосредственно к интрасети. С DirectAccess пользователь всегда может изменить пароль прямо из Подсказка CTRL-ALT-DEL.
Кроме того, пароль учетной записи компьютера меняется каждые 30 дней по умолчанию будет корректно работать на DirectAccess-включенном ноутбук, даже для пользователей, которые почти никогда не будут использовать свой VPN. Это может помешать очистке законных учетных записей компьютеров с помощью любые действия по очистке AD, которые могут выполняться внутренними ИТ-специалистами.
Самостоятельный сброс пароля Azure AD - это один из вариантов. Вам необходимо иметь Azure AD Premium либо напрямую, либо через другой пакет, например Enterprise Mobility Suite (EMS). Это позволяет сбросить пароль в Azure и записать его обратно в локальную AD через подключение к Azure AD.
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-passwords -getting-started # enable-users-to-reset-or-change-their-ad-passwords содержит подробную информацию.