Active Directory - 确保从未在本地的用户定期收到 AD 策略

Question

我在 100% 的时间里都有几个用户在这个领域。我想让他们对 AD 进行身份验证，以便定期应用密码更改甚至组策略等策略。我想确保为这些远程、漫游、从不访问办公室的用户提供统一的标准化保护级别。

知道我可以为这种情况采取什么措施吗？

Answer 1

域计算机获取更新组策略设置的唯一方法是它们是否在刷新其组策略设置时连接到域控制器。组策略被刷新：

1. 在计算机启动时（计算机设置的前台刷新）
2. 在用户登录时（用户设置的前台刷新）
3. 定期在后台（后台刷新）
4. 通过运行GPUpdate手动

为“离网”工作站更新设置可能很棘手，应尽可能避免这样做的需要（例如，要求用户携带笔记本电脑参加最近的分支机构的定期会议）。但是，如果您必须在通常未连接到域网络的计算机上更新组策略，请考虑以下解决方案：

• 在漫游计算机上安装基于软件的 VPN 客户端，并将其配置为在用户登录之前连接到域网络。这将确保始终应用“用户”GP，并且如果计算机保持连接的时间足够长，后台刷新也会更新“计算机”GP。
• 在异地用户的工作地点（例如在他们的远程/家庭办公室）部署 VPN 路由器，以保持与域网络的持久连接。这将导致远程计算机可以持续访问域控制器并完全参与组策略更新。
• 部署一个DirectAccess基础设施，它就像一个永远在线的 VPN 解决方案。