ActiveDirectory-オンプレミスにいないユーザーが定期的にADポリシーを受信するようにします
私は100%の時間、この分野に数人のユーザーがいます。パスワードの変更やグループポリシーなどのポリシーが定期的に適用されるように、ADに対して認証してもらいたいと思います。私は、これらのリモートでローミングし、オフィスを訪れることのないユーザーに対して均一なレベルの標準化された保護を確保したいと考えています。
そのようなシナリオのために私が何を配置できるかについて何か考えはありますか?
ドメインコンピューターが更新されたグループポリシー設定を取得する唯一の方法は、グループポリシー設定を更新するときに、ドメインコントローラーに接続できるかどうかです。グループポリシーが更新されました:
- コンピューターの起動時( フォアグラウンドリフレッシュ コンピューター設定の)
- ユーザーログオン時( フォアグラウンドリフレッシュ ユーザー設定の)
- 定期的にバックグラウンドで( バックグラウンドリフレッシュ )
- GPUpdate を実行して手動で
「オフネットワーク」ワークステーションに更新された設定を取得するのは難しい場合があり、そうする必要がないように可能な限り実行する必要があります(たとえば、ユーザーが最寄りの支社で定期的に会議にラップトップを持参する必要があります)。ただし、通常はドメインネットワークに接続されていないマシンでグループポリシーを更新する必要がある場合は、次の解決策を検討してください。
- ローミングコンピューターにソフトウェアベースのVPNクライアントをインストールし、ユーザーがログオンする前にドメインネットワークに接続するように構成します。これにより、「ユーザー」GPが常に適用され、コンピューターが十分に長く接続されたままの場合、バックグラウンド更新によって「コンピューター」GPも更新されます。
- ドメインネットワークへの永続的な接続を維持するVPNルーターをオフサイトユーザーの職場(リモート/ホームオフィスなど)に展開します。これにより、リモートコンピューターはドメインコントローラーに常時アクセスでき、グループポリシーの更新に完全に参加できます。
- 常時接続のVPNソリューションのように機能する DirectAcess インフラストラクチャを展開します。
VPNを介してドメインにインターネットに接続するように依頼します。リモートアクセスとルーティングサービス(RRAS)を使用して、それらのVPNゲートウェイを構成します。