AD-Domäne mit Roaming-Laptops - verbinden oder getrennt lassen

AD-Domäne mit Roaming-Laptops - verbinden oder getrennt lassen

Was tun Sie, wenn Sie einen Pool von Laptops haben, die Ihren Mitarbeitern auf Reisen zur Verfügung gestellt werden? Ich arbeite für ein Reisebüro, wo wir ein oder zwei Mitarbeiter mit einer Gruppe auf eine Reise schicken und sie müssen weiterhin mit dem Büro verbunden bleiben, E-Mails löschen usw.

Was ich wissen möchte ist Folgendes:Ist es normal, diese Laptops auch mit der AD-Domäne zu verbinden, oder würden Sie sie als eigenständige Arbeitsstationen außerhalb der Domäne lassen?

Dies ist ein SBS2011-Standardnetzwerk mit etwa 25 Mitarbeitern und 8-10 Laptops. Es ist nicht machbar, jedem Benutzer einen Laptop zu geben.

Das sind aus meiner Sicht die Vor- und Nachteile.

Verbinden Sie die Laptops mit der Domäne(die Vor-/Nachteile von „die Laptops nicht mit der Domäne verbinden“ sind mehr oder weniger gegensätzlich):

  • Profi:Bessere Sicherheit (GPOs angewendet, Problembereiche gesperrt, Firewall-Regeln entsprechend eingerichtet usw.)
  • Profi:Mitarbeiter melden sich mit einem Konto an und benötigen kein separates „Laptop-Benutzer“-Konto, für das sie sich das Passwort merken müssen.
  • Nachteil:WSUS funktioniert nicht (siehe Grund oben)
  • Nachteil:Integrierter Antivirus funktioniert nicht (Antivirus-Updates erfordern eine Verbindung zurück zum Antivirus-Server, der nicht für die ganze Welt zugänglich ist), daher wird gescannt, aber nicht mit den aktuellsten Definitionen. Wenn man bedenkt, dass manche Leute jeweils ein oder zwei Monate weg sind, ist das kein gutes Bild
  • Nachteil:Mitarbeiter müssen daran denken, sich mindestens einmal vor ihrem Weggang aus dem Büro bei der Domäne anzumelden, da der Laptop ihre Anmeldung zwischenspeichern muss. Wenn sie das nicht tun, ist der Laptop ein Ziegelstein, es sei denn, ich gebe ihnen das lokale Administratorkonto.

Gibt es sonst noch etwas, woran ich nicht denke?

Antwort1

Jeder Windows-Rechner in Ihrem Unternehmen solltestetsTeil der Domäne sein.

Sie müssen sich keine Sorgen darüber machen, dass WSUS nicht erreichbar ist. Updates sind natürlich wichtig, aber nur wenige Updates sind so kritisch, dass Sie nicht ein paar Tage oder länger warten können, um sie zu installieren. Die meisten Unternehmen installieren Updates lokal auf einigen Maschinen, um zu sehen, ob es im Laufe der Zeit zu Problemen kommt. Sie warten möglicherweise eine Woche oder länger, bevor sie Updates auf allen ihren Maschinen bereitstellen. Wenn ein Update so kritisch ist, dass Sie es für kritisch halten,HATmuss so schnell wie möglich installiert werden, Benutzer sollten sich über VPN anmelden. MS stellt in Windows Server integrierte VPN-Software bereit.

Was Ihren AV betrifft, stimmt da etwas nicht. Alle modernen AV-Suiten ermöglichen die Aktualisierung über das Internet für Remote-Benutzer, die nicht direkt mit dem internen Netzwerk verbunden oder per VPN verbunden sind. Lesen Sie in Ihrer AV-Dokumentation nach oder wenden Sie sich an den Support, um Hilfe bei der Aktivierung zu erhalten. Wenn Sie aus irgendeinem Grund eine AV-Software haben, die diese Funktion nicht unterstützt, sollten Sie sie durch eine ersetzen, die dies tut. Wenn dies nicht möglich ist, ist VPN wiederum eine einfache Lösung für dieses Problem.

Was das Zwischenspeichern von Anmeldungen betrifft, müssen sich Benutzer nur einmal bei einem Laptop anmelden, während sie im Netzwerk sind. Es gibt keinen Grund, warum ihre Laptops zu „Bausteinen“ werden sollten. Es klingt, als ob hier etwas anderes nicht stimmt. Teilen sich die Benutzer einen Pool von Laptops? Vielleicht schnappen sie sich Laptops, bei denen sie sich noch nie angemeldet haben. Auch hier lindert die Einrichtung eines VPN alle diese Probleme.

verwandte Informationen