¿Qué haces cuando tienes un conjunto de computadoras portátiles que se entregan al personal cuando viajan? Trabajo para una agencia de viajes donde enviaremos a uno o dos miembros del personal a un recorrido con un grupo de personas, y necesitan continuar conectándose con la oficina, borrar correos electrónicos, etc.
Lo que quiero saber es esto:¿Es normal conectar también estas computadoras portátiles al dominio AD o las dejaría fuera del dominio como estaciones de trabajo independientes?
FWIW, esta es una red estándar SBS2011, con alrededor de 25 empleados y entre 8 y 10 computadoras portátiles. No es factible darle a cada usuario una computadora portátil.
A mi modo de ver, estos son los pros y los contras.
Conecte las computadoras portátiles al dominio.(los pros y los contras son más o menos opuestos para "no conectar las computadoras portátiles al dominio"):
- Pro:Mejor seguridad (GPO aplicados, áreas problemáticas bloqueadas, reglas de firewall configuradas adecuadamente, etc.)
- Pro:El personal inicia sesión con una cuenta y no necesita una cuenta separada de 'Usuario de computadora portátil' para la cual deben recordar la contraseña.
- Estafa:WSUS no funcionará (consulte el motivo anterior)
- Estafa:El AV integrado no funciona (las actualizaciones de AV requieren una conexión al servidor AV al que no se puede acceder en todo el mundo), por lo que escaneará, pero no con las definiciones más actualizadas. Dado que algunas personas están ausentes durante uno o dos meses seguidos, esa no es una buena idea.
- Estafa:El personal debe recordar iniciar sesión en el dominio al menos una vez antes de salir mientras se encuentra en la oficina, ya que la computadora portátil debe almacenar en caché su inicio de sesión. Si no hacen esto, la computadora portátil es un ladrillo, a menos que les dé la cuenta de administrador local.
¿Algo más en lo que no estoy pensando?
Respuesta1
Cada máquina Windows de su empresa deberíasiempreser parte del dominio.
No necesita preocuparse tanto de que WSUS no sea accesible. Las actualizaciones son obviamente importantes, pero pocas actualizaciones son tan críticas que no puedes esperar unos días o más para instalarlas. La mayoría de las empresas instalan actualizaciones en algunas máquinas localmente para ver si causan problemas durante un período de tiempo. Es posible que esperen una semana o más antes de implementar actualizaciones en todas sus máquinas. Si una actualización es tan crítica que si la sientesTIENEPara instalarlo lo antes posible, los usuarios deben conectarse a VPN. MS proporciona un software VPN integrado en Windows Server.
En cuanto a tu AV, algo no suena bien. Todas las suites AV modernas permiten la actualización a través de Internet para usuarios remotos que no están conectados directamente a la red interna o a una VPN. Consulte la documentación AV o llame al soporte técnico para obtener ayuda para habilitar esto. Si por alguna razón tiene algún software AV que no admite esta función, debe reemplazarlo por uno que sí lo haga. Si eso no es posible, nuevamente, VPN es una solución simple a este problema.
En cuanto al almacenamiento en caché de los inicios de sesión, los usuarios sólo necesitan iniciar sesión en una computadora portátil una vez mientras están en la red. No hay ninguna razón por la que sus portátiles se conviertan en "ladrillos". Parece que algo más anda mal aquí. ¿Los usuarios comparten un grupo de computadoras portátiles? Quizás estén tomando computadoras portátiles en las que nunca antes habían iniciado sesión. Nuevamente, tener una VPN configurada alivia todos estos problemas.