Dominio AD con laptop in roaming: connettersi o uscire separatamente


3

Che cosa fai quando hai un gruppo di laptop che vengono dati al personale quando viaggiano? Lavoro per un'agenzia di viaggi dove invieremo un membro dello staff o due in un tour con un gruppo di persone, e dovranno continuare a connettersi all'ufficio, a cancellare e-mail, ecc.

Quello che voglio sapere è questo: È normale collegare questi laptop anche al dominio AD, oppure li lasceresti dal dominio come workstation standalone?

FWIW, questa è una rete standard SBS2011, con circa 25 dipendenti e 8-10 laptop. Non è possibile dare a ciascun utente un laptop.

Per come la vedo io, questi sono i pro / contro.

Collega i laptop al dominio (i pro / contro sono più o meno opposti per "non collegare i laptop al dominio"):

  • Pro: Migliore sicurezza (oggetti Criteri di gruppo applicati, aree problematiche bloccate, regole Firewall configurate in modo appropriato ecc.)
  • Pro: Accesso al personale con un account e non è necessario un account "Utente portatile" separato di cui abbiano bisogno per ricordare la password
  • con: WSUS non funzionerà (vedi sopra la motivazione)
  • con: L'AV integrato non funziona (gli aggiornamenti AV richiedono una connessione al server AV che non è accessibile al mondo), pertanto esegue la scansione, ma non con le definizioni più aggiornate. Dato che alcune persone sono via per un mese o due alla volta, non è un gran bel guardare
  • con: Il personale deve ricordarsi di accedere al dominio almeno una volta prima che se ne vadano in ufficio, in quanto il portatile deve memorizzare nella cache l'accesso. Se non lo fanno, il laptop è un mattone, a meno che non dia loro l'account di amministratore locale

Qualcos'altro a cui non sto pensando?

Risposte:


1

Dovrebbe essere presente ogni macchina Windows della tua azienda sempre far parte del dominio.

Non devi preoccuparti così tanto di WSUS non essere accessibile. Gli aggiornamenti sono ovviamente importanti, ma pochi aggiornamenti sono così importanti che non puoi aspettare qualche giorno o più per installarli. La maggior parte delle aziende installa gli aggiornamenti su alcune macchine localmente per vedere se causa problemi in un periodo di tempo. Potrebbero aspettare una settimana o più prima di trasmettere aggiornamenti a tutte le loro macchine. Se un aggiornamento è così critico che se lo senti HA per essere installato ASAP, gli utenti devono entrare in VPN. MS fornisce un software VPN integrato in Windows Server.

Per quanto riguarda l'AV, qualcosa non suona bene. Tutte le moderne suite AV consentono l'aggiornamento via Internet per gli utenti remoti che non sono connessi direttamente alla rete interna o che utilizzano la rete VPN. Controlla la documentazione AV o chiama l'assistenza per ottenere aiuto per ottenere questa funzionalità. Se per qualche motivo hai un software AV che non supporta questa funzione, dovresti sostituirlo con uno che lo fa. Se questa non è una possibilità, di nuovo, VPN è una soluzione semplice a questo problema.

Per quanto riguarda la memorizzazione nella cache degli accessi, gli utenti devono solo accedere a un portatile una volta mentre si è in rete. Non c'è motivo per cui i loro laptop diventerebbero "mattoni". Sembra che qualcos'altro sia sbagliato qui. Gli utenti condividono un pool di laptop? Forse stanno prendendo i laptop che non hanno mai effettuato prima. Ancora una volta, avere una configurazione VPN allevia tutti questi problemi.


Non abbiamo ancora utilizzato il software VPN integrato in SBS 2011, poiché è una cosa in più da investigare, controllare gli avvisi di sicurezza su ecc. Tuttavia, se si rivela utile, è utile configurarlo. Usiamo ESET per AV, sono sicuro che c'è la possibilità di aggiornarsi su internet, dovrò solo cercarlo. Un non-problema. Sono abbastanza sicuro che un login nella cache scade dopo un po ', no? I laptop sono per le squadre, quindi chiunque potrebbe prendere qualsiasi laptop (come già detto). Infine, non sei sicuro di come sia possibile creare una connessione VPN senza effettuare il login, cosa che non puoi fare fino a quando non hai una connessione VPN?
Matt

Windows ti consente di accedere con la connessione VPN.
Keltari

Grazie - dovrò esaminarlo. Sembra che tu abbia risposto a tutto, grazie!
Matt
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.