Домен AD с перемещаемыми ноутбуками — подключайте или оставляйте отдельно

Домен AD с перемещаемыми ноутбуками — подключайте или оставляйте отдельно

Что делать, если у вас есть пул ноутбуков, которые выдаются сотрудникам во время поездок? Я работаю в туристическом агентстве, где мы отправляем одного или двух сотрудников в тур с группой людей, и им нужно продолжать оставаться на связи с офисом, очищать электронную почту и т. д.

Я хочу знать следующее:Нормально ли подключать эти ноутбуки к домену AD или лучше оставить их вне домена как отдельные рабочие станции?

FWIW, это сеть стандарта SBS2011, где около 25 сотрудников и 8-10 ноутбуков. Невозможно дать каждому пользователю один ноутбук.

На мой взгляд, вот плюсы и минусы.

Подключите ноутбуки к домену.(плюсы/минусы более или менее противоположны варианту «не подключать ноутбуки к домену»):

  • За:Лучшая безопасность (применены групповые политики, заблокированы проблемные области, правильно настроены правила брандмауэра и т. д.)
  • За:Сотрудники входят в систему с помощью одной учетной записи, и им не нужна отдельная учетная запись «Пользователь ноутбука», для которой нужно помнить пароль.
  • Против:WSUS не работает (см. причину выше)
  • Против:Интегрированный AV не работает (обновления AV требуют обратного подключения к AV-серверу, который недоступен для всего мира), поэтому он будет сканировать, но не с самыми последними определениями. Учитывая, что некоторые люди отсутствуют месяц или два за раз, это не очень хорошо выглядит
  • Против:Сотрудники должны помнить о необходимости входа в домен хотя бы один раз перед уходом из офиса, поскольку ноутбук должен кэшировать их вход. Если они этого не делают, ноутбук превращается в кирпич, если только я не дам им учетную запись локального администратора

Есть что-то еще, о чем я не подумал?

решение1

Каждая машина Windows в вашей компании должнавсегдабыть частью домена.

Вам не нужно так сильно беспокоиться о том, что WSUS недоступен. Обновления, очевидно, важны, но некоторые обновления настолько критичны, что вы не можете ждать несколько дней или больше, чтобы установить их. Большинство компаний устанавливают обновления на нескольких машинах локально, чтобы посмотреть, не вызовет ли это проблем в течение определенного периода времени. Они могут ждать неделю или больше, прежде чем развернуть обновления на всех своих машинах. Если обновление настолько критично, что если вы считаете, чтоИМЕЕТдля установки как можно скорее, пользователи должны подключиться к VPN. MS предоставляет программное обеспечение VPN, встроенное в Windows Server.

Что касается вашего AV, что-то не так. Все современные AV-комплекты позволяют обновляться через Интернет для удаленных пользователей, которые не подключены напрямую к внутренней сети или не подключены к VPN. Проверьте документацию по AV или позвоните в службу поддержки, чтобы получить помощь в включении этой функции. Если по какой-то причине у вас есть программное обеспечение AV, которое не поддерживает эту функцию, вам следует заменить его на то, которое поддерживает. Если это невозможно, то, опять же, VPN — простое решение этой проблемы.

Что касается кэширования логинов, пользователям нужно войти в ноутбук только один раз, пока они находятся в сети. Нет никаких причин, по которым их ноутбуки станут «кирпичами». Похоже, здесь что-то не так. Пользователи совместно используют пул ноутбуков? Возможно, они берут ноутбуки, в которые никогда раньше не заходили. Опять же, наличие настроенного VPN устраняет все эти проблемы.

Связанный контент