外部域使用者如何重置他們的密碼,並將其傳播到他們的本地電腦?
我想知道在以下情況下我必須允許遠端使用者同步到我們的 AD 的選項,其中外部使用者是我們建築物/網路之外的人,但在我們的域中有一台電腦。
我們即將擁有一些外部使用者。我們一直在對此進行測試,我們測試過的第一個外部使用者發現,當他們通過 webmail 更改他們的 AD 密碼時,它不會從 AD 傳播到他們的電腦。這是有道理的,因為他們無法連接到我們的 AD 伺服器。我想知道解決這個問題的標準方法。這裡有一些我認為可行的方法,我希望有人能告訴我哪些方法可行,哪些不可行。其他選擇顯然是非常受歡迎的。
- 我們最近開始使用 Office 365 雲服務,並且正在使用 Azure AD Connect。有沒有辦法讓他們訪問“雲”廣告,允許他們在電腦上重置密碼,並將其傳播到整個廣告環境?需要明確的是,我從未使用過實際的 Azure AD 門戶,我只通過 AD Connect 執行密碼和使用者同步。
- 在防火牆上戳一個洞以允許對 AD 進行外部身份驗證是否正常?這似乎是您絕對不想做的事情,但我是菜鳥,可能是錯的。
- 我們有一個 VPN,但長話短說,我們的 ISP 很爛,而且非常不可靠。我想說大約 1/5 的嘗試加入我們的 VPN 成功。我們正在與他們合作,但他們非常小,很難解決任何請求。
- 還有什麼?我還有其他選擇嗎?
從Google搜尋來看,VPN 似乎是這裡最常用的方法,但由於我們的 VPN 太糟糕了,我希望第 1 號是可能的。
Azure AD 支持名為Password Writeback的功能,該功能允許使用者在 Internet 上更改或重置其密碼,然後通過 AD Connect 同步到本地 AD。
要使用密碼寫回,您必須確保完成以下先決條件:
• You have an Azure AD tenant with Azure AD Premium enabled. • Password reset has been configured and enabled in your Azure AD tenant. • You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
如果您擁有現有的 Office 365 訂閱,則您已經擁有 Azure AD 租戶!您可以使用您的 O365 帳戶登錄Azure 門戶並開始使用 Azure AD。
順便說一句,即使您使用帶有 Azure AD 加入功能的 Windows 10,您仍然需要啟用密碼寫回。
此外,您可以使用直接訪問來允許遠端使用者更改或重置密碼。
以下是來自以下部落格的部分。
**第一個是遠端使用者的密碼重置。**忘記密碼或遠端鎖定的使用者將致電幫助台,但如果使用者無法看到域控制器,則在 Active Directory 中執行密碼重置將無濟於事,除非他進入並連接到內部網路. 由於無法登錄而無法啟動 VPN 的使用者將無法使用 VPN 進行連接。但是使用 DirectAccess,使用者可以直接從 CTRL-ALT-DEL 提示符看到域控制器,因此最終使用者可以立即看到幫助台所做的密碼重置。您甚至應該能夠通過 DirectAccess 基礎結構隧道公開 Forefront Identity Manager 自助服務密碼重置門戶,以便使用者甚至可以在漫遊 Internet 時重置自己的密碼。
**第二個是遠端使用者更改密碼。**在 OWA 中更改密碼的漫遊筆記型電腦使用者將將此密碼更改發送到 Active Directory。但這不會影響他們筆記型電腦上記憶體的憑據。使用者下次登錄並嘗試使用他或她的“新密碼”時,對筆記型電腦記憶體憑據的登錄將失敗,除非筆記型電腦現在直接連接到 Intranet。使用 DirectAccess,使用者始終可以在 CTRL-ALT-DEL 提示符下更改密碼。
此外,電腦帳戶密碼更改(預設情況下每 30 天發生一次)將在啟用 DirectAccess 的筆記型電腦上正常工作,即使對於幾乎從不啟動 VPN 的使用者也是如此。這可以防止合法電腦帳戶被內部 IT 專業人員可能執行的任何 AD 清理活動清理。