O que você faz quando tem um conjunto de laptops que são dados aos funcionários quando eles viajam? Eu trabalho para uma agência de viagens onde enviaremos um ou dois membros da equipe em um passeio com um grupo de pessoas, e eles precisam continuar se conectando ao escritório, limpar e-mails, etc.
O que eu quero saber é o seguinte:É normal conectar esses laptops também ao domínio AD ou você os deixaria fora do domínio como estações de trabalho independentes?
FWIW, esta é uma rede SBS2011 Standard, com cerca de 25 funcionários e 8 a 10 laptops. Não é viável dar a cada usuário um laptop.
A meu ver, esses são os prós/contras.
Conecte os laptops ao domínio(os prós/contras são mais ou menos opostos para 'não conectar os laptops ao domínio'):
- Pró:Melhor segurança (GPOs aplicados, áreas problemáticas bloqueadas, regras de firewall configuradas adequadamente, etc.)
- Pró:A equipe faz login com uma conta e não precisa de uma conta separada de 'Usuário de laptop' para a qual eles precisam lembrar a senha
- Vigarista:O WSUS não funcionará (veja o motivo acima)
- Vigarista:O AV integrado não funciona (as atualizações do AV exigem uma conexão com o servidor AV que não é acessível ao mundo), portanto ele fará a varredura, mas não com as definições mais atualizadas. Dado que algumas pessoas ficam ausentes por um ou dois meses seguidos, isso não é uma boa aparência
- Vigarista:Os funcionários devem se lembrar de fazer logon no domínio pelo menos uma vez antes de sair do escritório, pois o laptop precisa armazenar seu logon em cache. Se eles não fizerem isso, o laptop será um tijolo, a menos que eu forneça a conta de administrador local
Mais alguma coisa em que não estou pensando?
Responder1
Cada máquina Windows da sua empresa devesemprefazer parte do domínio.
Você não precisa se preocupar tanto com o fato de o WSUS não estar acessível. As atualizações são obviamente importantes, mas poucas atualizações são tão críticas que você não pode esperar alguns dias ou mais para instalá-las. A maioria das empresas instala atualizações em algumas máquinas localmente para ver se isso causa problemas durante um período de tempo. Eles podem esperar uma semana ou mais antes de lançar atualizações para todas as suas máquinas. Se uma atualização é tão crítica que você senteTEMpara ser instalado o mais rápido possível, os usuários devem usar VPN. A MS fornece software VPN integrado ao Windows Server.
Quanto ao seu AV, algo não parece certo. Todos os pacotes AV modernos permitem atualização via Internet para usuários remotos que não estão diretamente conectados à rede interna ou com VPN. Verifique a documentação do AV ou ligue para o suporte para obter ajuda para ativar isso. Se por algum motivo você tiver algum software AV que não suporte esse recurso, substitua-o por um que suporte. Se isso não for possível, novamente, a VPN é uma solução simples para esse problema.
Quanto ao cache de logins, os usuários só precisam fazer login em um laptop uma vez enquanto estiverem na rede. Não há razão para que seus laptops se tornem “tijolos”. Parece que algo mais está errado aqui. Os usuários estão compartilhando um conjunto de laptops? Talvez eles estejam pegando laptops nos quais nunca fizeram login antes. Novamente, ter uma VPN configurada alivia todos esses problemas.