Domínio do AD com laptops em roaming - conecte-se ou saia separado

Navegue suas respostas
3

O que você faz quando tem um pool de laptops que são entregues à equipe quando eles viajam? Eu trabalho para uma agência de viagens onde vamos enviar um membro da equipe ou dois para fora em uma turnê com um grupo de pessoas, e eles precisam continuar a se conectar de volta ao escritório, limpar e-mails, etc.

O que eu quero saber é o seguinte: É normal conectar esses laptops ao domínio do AD ou você os deixaria fora do domínio como estações de trabalho autônomas?

FWIW, esta é uma rede padrão SBS2011, com cerca de 25 funcionários e 8-10 laptops. Não é possível fornecer a cada usuário um laptop.

A meu ver, estas são as vantagens / desvantagens.

Conecte os laptops ao domínio (os prós / contras são mais ou menos opostos para 'não conectar os laptops ao domínio'):

  • Pro: Melhor segurança (GPOs aplicados, áreas problemáticas bloqueadas, configuração de regras de Firewall apropriadamente, etc.)
  • Pro: Login da equipe com uma conta e não é necessário ter uma conta separada de 'Usuário de laptop' para lembrar a senha
  • Con: O WSUS não funciona (veja o motivo acima)
  • Con: O AV integrado não funciona (as atualizações AV exigem uma conexão de volta ao servidor AV, que não é acessível ao mundo) para que ele seja verificado, mas não com as mais atualizadas definições. Dado que algumas pessoas estão fora por um mês ou dois de cada vez, isso não é uma ótima aparência
  • Con: A equipe precisa se lembrar de fazer logon no domínio pelo menos uma vez antes de sair enquanto estiver no escritório, já que o laptop precisa fazer o cache do logon. Se eles não fizerem isso, o laptop é um tijolo, a menos que eu lhes dê a conta de administrador local

Algo mais que eu não esteja pensando?

    
por Matt 19.08.2012 / 23:19

1 resposta

1

Todas as máquinas Windows da sua empresa devem sempre fazer parte do domínio.

Você não precisa se preocupar tanto com o fato de o WSUS não estar acessível. As atualizações são obviamente importantes, mas algumas poucas atualizações são tão importantes que você não pode esperar alguns dias ou mais para instalá-las. A maioria das empresas instala atualizações em algumas máquinas localmente para verificar se causam problemas ao longo de um período de tempo. Eles podem esperar uma semana ou mais antes de distribuir as atualizações para todas as suas máquinas. Se uma atualização é tão importante que, se você achar que ela

está instalada, os usuários devem fazer a VPN. O MS fornece o software de VPN incorporado ao Windows Server.

Quanto ao seu AV, algo não parece certo. Todas as modernas suítes AV permitem a atualização via Internet para usuários remotos que não estão diretamente conectados à rede interna ou que estão conectados VPN. Verifique sua documentação de antivírus ou ligue para o suporte para obter ajuda para ativar isso. Se por algum motivo você tiver algum software antivírus que não suporte esse recurso, você deve substituí-lo por um que o faça. Se isso não for uma possibilidade, novamente, a VPN é uma solução simples para esse problema.

Quanto ao armazenamento em log de cache, os usuários só precisam fazer login em um laptop uma vez enquanto estiverem na rede. Não há razão para que seus laptops se tornem "tijolos". Parece que algo está errado aqui. Os usuários compartilham um pool de laptops? Talvez eles estejam pegando laptops nos quais nunca se conectaram antes. Mais uma vez, ter uma configuração de VPN alivia todos esses problemas.

    
por 20.08.2012 / 00:37
Erros de dependência de pacote ao instalar o mercurial no Fedora Não é possível executar o Ubuntu nativo no VirtualBox com um vmdk criado usando as partições especificadas