Dominio AD con laptop in roaming: connettersi o uscire separatamente

Che cosa fai quando hai un gruppo di laptop che vengono dati al personale quando viaggiano? Lavoro per un'agenzia di viaggi dove invieremo un membro dello staff o due in un tour con un gruppo di persone, e dovranno continuare a connettersi all'ufficio, a cancellare e-mail, ecc.

Quello che voglio sapere è questo: È normale collegare questi laptop anche al dominio AD, oppure li lasceresti dal dominio come workstation standalone?

FWIW, questa è una rete standard SBS2011, con circa 25 dipendenti e 8-10 laptop. Non è possibile dare a ciascun utente un laptop.

Per come la vedo io, questi sono i pro / contro.

Collega i laptop al dominio (i pro / contro sono più o meno opposti per "non collegare i laptop al dominio"):

• Pro: Migliore sicurezza (oggetti Criteri di gruppo applicati, aree problematiche bloccate, regole Firewall configurate in modo appropriato ecc.)
• Pro: Accesso al personale con un account e non è necessario un account "Utente portatile" separato di cui abbiano bisogno per ricordare la password
• con: WSUS non funzionerà (vedi sopra la motivazione)
• con: L'AV integrato non funziona (gli aggiornamenti AV richiedono una connessione al server AV che non è accessibile al mondo), pertanto esegue la scansione, ma non con le definizioni più aggiornate. Dato che alcune persone sono via per un mese o due alla volta, non è un gran bel guardare
• con: Il personale deve ricordarsi di accedere al dominio almeno una volta prima che se ne vadano in ufficio, in quanto il portatile deve memorizzare nella cache l'accesso. Se non lo fanno, il laptop è un mattone, a meno che non dia loro l'account di amministratore locale

Qualcos'altro a cui non sto pensando?

Dovrebbe essere presente ogni macchina Windows della tua azienda sempre far parte del dominio.

Non devi preoccuparti così tanto di WSUS non essere accessibile. Gli aggiornamenti sono ovviamente importanti, ma pochi aggiornamenti sono così importanti che non puoi aspettare qualche giorno o più per installarli. La maggior parte delle aziende installa gli aggiornamenti su alcune macchine localmente per vedere se causa problemi in un periodo di tempo. Potrebbero aspettare una settimana o più prima di trasmettere aggiornamenti a tutte le loro macchine. Se un aggiornamento è così critico che se lo senti HA per essere installato ASAP, gli utenti devono entrare in VPN. MS fornisce un software VPN integrato in Windows Server.

Per quanto riguarda l'AV, qualcosa non suona bene. Tutte le moderne suite AV consentono l'aggiornamento via Internet per gli utenti remoti che non sono connessi direttamente alla rete interna o che utilizzano la rete VPN. Controlla la documentazione AV o chiama l'assistenza per ottenere aiuto per ottenere questa funzionalità. Se per qualche motivo hai un software AV che non supporta questa funzione, dovresti sostituirlo con uno che lo fa. Se questa non è una possibilità, di nuovo, VPN è una soluzione semplice a questo problema.

Per quanto riguarda la memorizzazione nella cache degli accessi, gli utenti devono solo accedere a un portatile una volta mentre si è in rete. Non c'è motivo per cui i loro laptop diventerebbero "mattoni". Sembra che qualcos'altro sia sbagliato qui. Gli utenti condividono un pool di laptop? Forse stanno prendendo i laptop che non hanno mai effettuato prima. Ancora una volta, avere una configurazione VPN allevia tutti questi problemi.