Домен AD с ноутбуками в роуминге - подключайтесь или оставляйте отдельно

Question

Домен AD с ноутбуками в роуминге - подключайтесь или оставляйте отдельно

Что вы делаете, когда у вас есть пул ноутбуков, которые выдаются сотрудникам во время поездок? Я работаю в туристическом агентстве, где мы отправим одного или двух сотрудников на экскурсию с группой людей, и им необходимо продолжать подключаться к офису, отправлять электронные письма и т. Д.

Что я хочу знать, так это: нормально ли подключать эти ноутбуки к домену AD или вы бы оставили их вне домена в качестве автономных рабочих станций?

FWIW, это стандартная сеть SBS2011, насчитывающая около 25 сотрудников и 8-10 ноутбуков. Невозможно дать каждому пользователю один ноутбук.

На мой взгляд, это плюсы / минусы.

Подключите ноутбуки к домену (плюсы / минусы более или менее противоположны для "не подключения ноутбуков к домену"):

Pro: лучшая безопасность (применены объекты групповой политики, заблокированы проблемные зоны, правильно настроены правила брандмауэра и т. Д.)
Pro: сотрудники входят в систему с одной учетной записью, и им не нужна отдельная учетная запись "пользователя ноутбука", для которой им необходимо запомнить пароль
Против: WSUS не будет работать (см. Выше причину)
Против: Интегрированный AV не работает (обновления AV требуют подключения обратно к AV-серверу, который не доступен миру), поэтому он будет сканировать, но не с самыми последними определениями. Учитывая, что некоторые люди уезжают на месяц или два за один раз, это не очень хороший вид
Против: сотрудники должны помнить, что необходимо войти в домен хотя бы один раз, прежде чем они уйдут из офиса, поскольку ноутбук должен кэшировать свой вход в систему. Если они этого не делают, ноутбук кирпич, если я не дам им учетную запись локального администратора

Что-нибудь еще, о чем я не думаю?

3

laptop active-directory roaming-profiles windows-sbs

Источник

Matt 19 авг '12 в 21:19

1 ответ

Решение

Другие вопросы по тегам laptop active-directory roaming-profiles windows-sbs

Keltari 19 авг '12 в 22:37 2012-08-19 22:37 · Accepted Answer · 2012-08-19 22:37

Каждый компьютер с Windows в вашей компании всегда должен быть частью домена.

Вам не нужно так сильно беспокоиться о том, что WSUS недоступен. Обновления, очевидно, важны, но несколько обновлений настолько важны, что вы не можете ждать их несколько дней или больше, чтобы их установить. Большинство компаний устанавливают обновления на несколько компьютеров локально, чтобы определить, не вызывает ли это проблем в течение определенного периода времени. Они могут подождать неделю или больше, прежде чем распространять обновления на все свои машины. Если обновление настолько критично, что, если вы считаете, что оно ДОЛЖНО быть установлено как можно скорее, пользователи должны подключиться к VPN. MS предоставляет VPN-интерфейс, встроенный в Windows Server.

Что касается вашего AV, то что-то звучит неправильно. Все современные комплекты AV позволяют выполнять обновление через Интернет для удаленных пользователей, которые не подключены напрямую к внутренней сети или подключены к VPN. Проверьте документацию AV или обратитесь в службу поддержки, чтобы получить помощь, чтобы включить эту функцию. Если по какой-либо причине у вас есть программное обеспечение AV, которое не поддерживает эту функцию, вы должны заменить его на то, которое поддерживает. Если это невозможно, опять же, VPN является простым решением этой проблемы.

Что касается кэширования логинов, пользователям нужно всего лишь один раз войти в ноутбук, находясь в сети. Нет никаких причин, почему их ноутбуки стали бы "кирпичами". Похоже, что-то еще здесь не так. Пользователи разделяют пул ноутбуков? Возможно, они хватают ноутбуки, в которые никогда не заходили. Опять же, настройка VPN облегчает все эти проблемы.