3

Что вы делаете, когда у вас есть пул ноутбуков, которые выдаются персоналу во время поездки? Я работаю в туристическом агентстве, где мы отправим одного или двух сотрудников на экскурсию с группой людей, и им необходимо продолжать подключаться к офису, отправлять электронные письма и т.д.

Я хочу знать следующее: нормально ли подключать эти ноутбуки и к домену AD, или вы бы оставили их вне домена как автономные рабочие станции?

FWIW, это стандартная сеть SBS2011, насчитывающая около 25 сотрудников и 8-10 ноутбуков. Невозможно дать каждому пользователю один ноутбук.

На мой взгляд, это плюсы / минусы.

Подключите ноутбуки к домену (плюсы / минусы более или менее противоположны для «не подключения ноутбуков к домену»):

  • Pro: лучшая безопасность (применяются объекты групповой политики, заблокированы проблемные зоны, правильно настроены правила брандмауэра и т.д.)
  • Pro: сотрудники входят в систему с одной учетной записью, и им не нужна отдельная учетная запись «пользователя ноутбука», для которой им необходимо запомнить пароль
  • Con: WSUS не будет работать (см. Выше причину)
  • Против: Интегрированный AV не работает (обновления AV требуют подключения обратно к AV-серверу, который не доступен миру), поэтому он будет сканировать, но не с самыми последними определениями. Учитывая, что некоторые люди уезжают на месяц или два за один раз, это не очень хороший вид
  • Против: сотрудники должны помнить, что необходимо войти в домен хотя бы один раз, прежде чем они уйдут, находясь в офисе, так как ноутбук должен кэшировать свой вход в систему. Если они этого не делают, ноутбук кирпич, если я не дам им учетную запись локального администратора

Что-нибудь еще, о чем я не думаю?

|источник

1 ответ1

1

Каждый компьютер с Windows в вашей компании всегда должен быть частью домена.

Вам не нужно так сильно беспокоиться о том, что WSUS недоступен. Обновления, безусловно, важны, но несколько обновлений настолько важны, что вы не можете ждать их несколько дней или дольше. Большинство компаний устанавливают обновления на несколько компьютеров локально, чтобы определить, не вызывает ли это проблем в течение определенного периода времени. Они могут подождать неделю или больше, прежде чем распространять обновления на все свои машины. Если обновление настолько критично, что если вы считаете, что оно ДОЛЖНО быть установлено как можно скорее, пользователи должны подключиться к VPN. MS обеспечивает VPN-интерфейс, встроенный в Windows Server.

Что касается вашего AV, что-то не так звучит. Все современные AV-пакеты позволяют выполнять обновление через Интернет для удаленных пользователей, которые не подключены напрямую к внутренней сети или подключены к VPN. Обратитесь к документации AV или позвоните в службу поддержки, чтобы получить помощь, чтобы включить эту функцию. Если по какой-либо причине у вас есть программное обеспечение AV, которое не поддерживает эту функцию, вы должны заменить его на то, которое поддерживает. Если это невозможно, опять же, VPN - это простое решение этой проблемы.

Что касается кэширования логинов, пользователям нужно всего лишь один раз войти в ноутбук, находясь в сети. Нет никаких причин, почему их ноутбуки стали бы «кирпичами». Похоже, что-то еще не так здесь. Пользователи разделяют пул ноутбуков? Возможно, они хватают ноутбуки, в которые никогда не заходили. Опять же, настройка VPN облегчает все эти проблемы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .