직원이 여행할 때 제공하는 수많은 노트북이 있으면 어떻게 하시나요? 저는 한두 명의 직원을 여러 사람들과 함께 투어에 파견하는 여행사에서 일하고 있으며 직원들은 계속해서 사무실로 연결되고 이메일을 정리해야 합니다.
내가 알고 싶은 것은 이것이다:이러한 랩톱을 AD 도메인에도 연결하는 것이 정상입니까, 아니면 도메인 외부에 독립형 워크스테이션으로 두시겠습니까?
FWIW, 이것은 약 25명의 직원과 8-10대의 노트북으로 구성된 SBS2011 표준 네트워크입니다. 각 사용자에게 노트북 한 대를 제공하는 것은 불가능합니다.
제가 볼땐 이게 장점/단점이에요.
노트북을 도메인에 연결('노트북을 도메인에 연결하지 않음'에 대한 장단점은 다소 반대입니다):
- 찬성:보안 강화(GPO 적용, 문제 영역 잠김, 적절한 방화벽 규칙 설정 등)
- 찬성:하나의 계정으로 직원 로그인이 가능하며 비밀번호를 기억해야 하는 별도의 '노트북 사용자' 계정이 필요하지 않습니다.
- 범죄자:WSUS가 작동하지 않습니다(위 이유 참조).
- 범죄자:통합 AV는 작동하지 않으므로(AV 업데이트를 위해서는 전 세계에서 액세스할 수 없는 AV 서버에 다시 연결해야 함) 스캔하지만 최신 정의로는 작동하지 않습니다. 어떤 사람들은 한 번에 한두 달 동안 떨어져 있는 것을 고려하면 그다지 좋은 모습은 아닙니다.
- 범죄자:직원은 사무실에 있는 동안 떠나기 전에 적어도 한 번은 도메인에 로그온해야 한다는 것을 기억해야 합니다. 노트북은 로그온을 캐시해야 하기 때문입니다. 그렇게 하지 않으면 로컬 관리자 계정을 제공하지 않는 한 노트북은 벽돌이 됩니다.
내가 생각하지 않는 다른 것이 있습니까?
답변1
회사의 모든 Windows 시스템은 다음을 수행해야 합니다.언제나도메인의 일부가 되어야 합니다.
WSUS에 액세스할 수 없는 것에 대해 너무 걱정할 필요가 없습니다. 업데이트는 분명히 중요하지만, 업데이트가 너무 중요해서 설치하는 데 며칠 이상 기다릴 수 없는 업데이트가 거의 없습니다. 대부분의 회사는 로컬로 몇 대의 컴퓨터에 업데이트를 설치하여 일정 기간 동안 문제가 발생하는지 확인합니다. 모든 컴퓨터에 업데이트를 배포하기 전에 일주일 이상 기다릴 수도 있습니다. 업데이트가 너무 중요해서 느껴질 경우가지다최대한 빨리 설치하려면 사용자는 VPN을 연결해야 합니다. MS는 Windows Server에 내장된 VPN 소프트웨어를 제공합니다.
AV의 경우 뭔가 잘못된 것 같습니다. 모든 최신 AV 제품군은 내부 네트워크에 직접 연결되지 않았거나 VPN에 연결되지 않은 원격 사용자를 위해 인터넷을 통한 업데이트를 허용합니다. AV 설명서를 확인하거나 지원팀에 문의하여 이 기능을 활성화하는 데 도움을 받으세요. 어떤 이유로 이 기능을 지원하지 않는 일부 AV 소프트웨어가 있는 경우 이를 지원하는 소프트웨어로 교체해야 합니다. 이것이 가능하지 않다면, VPN은 이 문제에 대한 간단한 해결책입니다.
캐싱 로그인의 경우 사용자는 네트워크에 있는 동안 랩톱에 한 번만 로그인하면 됩니다. 그들의 노트북이 "벽돌"이 될 이유가 없습니다. 여기에 뭔가 다른 문제가 있는 것 같습니다. 사용자가 랩톱 풀을 공유하고 있습니까? 아마도 그들은 이전에 한 번도 로그인한 적이 없는 노트북을 움켜쥐고 있을 것입니다. 다시 말하지만, VPN을 설정하면 이러한 모든 문제가 완화됩니다.