如果您有一批筆記型電腦供員工出差時使用,您會怎麼做?我在旅行社工作,我們會派一兩個工作人員與一群人一起旅行,他們需要繼續連接回辦公室、清理電子郵件等。
我想知道的是:將這些筆記型電腦也連接到 AD 網域是否正常,或者您會將它們作為獨立工作站離開網域嗎?
FWIW,這是一個 SBS2011 標準網絡,擁有大約 25 名員工和 8-10 台筆記型電腦。為每個使用者提供一台筆記型電腦是不可行的。
在我看來,這些都是優點/缺點。
將筆記型電腦連接到網域(「不將筆記型電腦連接到網域」的優點/缺點或多或少相反):
- 專業人士:更好的安全性(應用 GPO、鎖定問題區域、適當設定防火牆規則等)
- 專業人士:員工使用一個帳戶登錄,不需要需要記住密碼的單獨「筆記型電腦用戶」帳戶
- 缺點:WSUS 無法運作(請參閱上述原因)
- 缺點:整合 AV 不起作用(AV 更新需要連接回無法存取的 AV 伺服器),因此它將進行掃描,但不使用最新的定義。鑑於有些人一次離開一兩個月,這看起來不太好
- 缺點:員工必須記住在離開辦公室之前至少登入一次網域,因為筆記型電腦需要快取他們的登入資訊。如果他們不這樣做,筆記型電腦就會變成磚頭,除非我給他們本地管理員帳戶
還有什麼是我沒有想到的嗎?
答案1
公司中的每台 Windows 電腦都應該總是成為域的一部分。
您無需太擔心 WSUS 無法存取。更新顯然很重要,但很少有更新是如此重要,以至於您不能等待幾天或更長時間才能安裝它們。大多數公司會在本地的幾台電腦上安裝更新,以查看一段時間內是否會導致問題。他們可能會等待一周或更長時間,然後才能向所有電腦推出更新。如果更新如此重要以至於您感覺到有要盡快安裝,使用者應該使用 VPN。
至於你的 AV,聽起來有些不對勁。所有現代 AV 套件都允許透過網路為未直接連接到內部網路或 VPN 的遠端使用者進行更新。如果由於某種原因您的某些 AV 軟體不支援此功能,您應該將其替換為支援此功能的軟體。如果這不可能,那麼 VPN 是解決此問題的簡單方法。
至於快取登錄,用戶只需在網路上登入筆記型電腦一次。他們的筆記型電腦沒有理由會變成「磚頭」。聽起來這裡好像還有其他問題。使用者是否共用筆記型電腦池?也許他們正在拿起以前從未登入過的筆記型電腦。同樣,設定 VPN 可以緩解所有這些問題。