ローミングラップトップを備えたADドメイン - 接続するか、別々にしておくか

ローミングラップトップを備えたADドメイン - 接続するか、別々にしておくか

出張するスタッフに配布されるラップトップがたくさんある場合、どうしますか? 私は旅行代理店で働いていますが、そこではスタッフ 1 人か 2 人をグループと一緒にツアーに送り出すことがありますが、スタッフはオフィスに戻ってから接続したり、メールを整理したりする必要があります。

私が知りたいのはこれです:これらのラップトップを AD ドメインにも接続するのが普通でしょうか、それともスタンドアロンのワークステーションとしてドメインから外したままにしておくのでしょうか?

ちなみに、これは SBS2011 標準ネットワークで、約 25 人のスタッフと 8 ~ 10 台のラップトップがあります。各ユーザーに 1 台のラップトップを提供することは現実的ではありません。

私の見解では、これらが長所/短所です。

ラップトップをドメインに接続する(「ラップトップをドメインに接続しない」場合の長所と短所はほぼ逆です):

  • プロ:セキュリティの向上 (GPO の適用、問題領域のロックダウン、ファイアウォール ルールの適切な設定など)
  • プロ:スタッフは1つのアカウントでログインし、パスワードを覚えておく必要のある別の「ラップトップユーザー」アカウントは必要ありません。
  • 欠点:WSUS が動作しません (上記の理由を参照)
  • 欠点:統合型 AV は機能しません (AV の更新には、世界からアクセスできない AV サーバーへの接続が必要です)。スキャンは行われますが、最新の定義ではありません。一度に 1 か月か 2 か月離れている人がいることを考えると、これはあまり良いことではありません。
  • 欠点:スタッフはオフィスにいる間、退社する前に少なくとも一度はドメインにログオンすることを忘れないようにしなければなりません。ラップトップはログオン情報をキャッシュする必要があるからです。これを行わないと、ローカル管理者アカウントを与えない限り、ラップトップは使えなくなります。

他に私が考えていないことはありますか?

答え1

社内のすべてのWindowsマシンはいつもドメインの一部になります。

WSUSにアクセスできないことをそれほど心配する必要はありません。更新プログラムは明らかに重要ですが、非常に重要な更新プログラムは、インストールに数日以上待つことができません。ほとんどの企業は、一定期間にわたって問題が発生するかどうかを確認するために、ローカルでいくつかのマシンに更新プログラムをインストールします。すべてのマシンに更新プログラムを展開するまでに1週間以上待つ場合があります。更新プログラムが非常に重要で、インストールが完了するまでに数日かかると感じた場合は、もっているできるだけ早くインストールするには、ユーザーは VPN を使用する必要があります。MS は、Windows Server に組み込まれた VPN ソフトウェアを提供しています。

AV に関しては、何かがおかしいようです。すべての最新の AV スイートでは、内部ネットワークに直接接続されていない、または VPN で接続されていないリモート ユーザーがインターネット経由で更新できます。AV のドキュメントを確認するか、サポートに連絡して、この機能を有効にするよう依頼してください。何らかの理由でこの機能をサポートしていない AV ソフトウェアを使用している場合は、サポートしているソフトウェアに置き換える必要があります。それが不可能な場合は、VPN がこの問題の簡単な解決策です。

ログインのキャッシュに関しては、ユーザーはネットワークに接続している間、ラップトップに一度だけログインする必要があります。ラップトップが「レンガ」になる理由はありません。ここでは何か他の問題があるようです。ユーザーはラップトップのプールを共有していますか? おそらく、これまでログインしたことのないラップトップをつかんでいるのでしょう。繰り返しますが、VPN を設定すると、これらすべての問題が軽減されます。

関連情報