De alguma forma, fui indicado como administrador de sistemas para os pequenos negócios da minha família. Enquanto administrar isso deve ser fácil, estou dividido sobre qual é a melhor maneira de fazer isso.
Um aspecto único do negócio mencionado é que ele é muito descentralizado - existem 30 locais, cada um com apenas um computador. Há também 5 a 10 funcionários que se deslocam com frequência entre locais, e cada membro da equipe e filial tem um laptop fornecido pela empresa com o Windows 10 Professional.
Embora eu pudesse (e ter) aplicado a Diretiva de Grupo manualmente a cada computador e instalado manualmente os programas, fica cansativo depois de fazer isso em 40 máquinas e percorrer centenas de quilômetros entre essas filiais. Idealmente, essa empresa teria centralizado a autenticação do Windows, perfis de usuários móveis e redirecionamento de pastas entre filiais, diretiva de grupo centralizada e unidades de rede compartilhadas entre determinados usuários.
Suponho que a melhor maneira de fazer isso em um ambiente normal seria ter um controlador de domínio do Active Directory em cada filial e usá-lo para centralizar esses aspectos da administração e fornecer compartilhamentos de arquivos. No entanto, não é econômico para uma pequena empresa ter tantos servidores dedicados, em locais que mudam com frequência. Na verdade, é impossível - a empresa não tem sedes fixas das quais eu pudesse, teoricamente, executar um servidor desse tipo.
Parece que minha única solução é a computação em nuvem ... Meu primeiro pensamento foi ter um AD DC na nuvem (soa idiota para mim) e os clientes se conectarem a isso usando uma VPN (o DirectAccess não faz isso. trabalho na nuvem devido ao material IP). Eles entram no domínio como de costume e tudo é imposto.
Eu fui ao Google Cloud Platform (com o qual eu estou mais familiarizado, o Azure não era muito diferente), provisionei um servidor Windows, criei um AD DC, instalei o servidor OpenVPN, configurei o roteamento, fiz alguns certificados, instalei em um laptop, juntou-se ao domínio com sucesso, e tudo parecia bem (além da Diretiva de Grupo, apenas aplicando metade, mas vou descobrir isso mais tarde).
E-mail também é essencial para as operações. Cada dia de inatividade para isso é de cerca de £ 10.000 (US $ 13.000) de receita perdida, e esse número dobra anualmente. Nenhum planejamento de capacidade foi feito pelo meu antecessor, então tudo é muito apressadamente jogado em conjunto. Isso precisará ser autenticado no AD DS, pois o logon único é esperado pelos funcionários e pelo gerenciamento. Não consigo fazer e-mails na nuvem a menos que eu use um serviço de e-mail de terceiros, mas precisamos manter a capacidade de entrega em 100% e estamos mantendo nossa própria reputação de IP no momento. Não há e-mail SSO no momento, e o e-mail está sendo executado em um servidor Linux separado com um provedor VPS separado (o que obviamente não é escalável facilmente).
Além disso, há o problema de ter compartilhamentos SMB em uma conexão de alta latência. Embora isso não tenha sido um problema durante o uso, estou ciente de que isso pode representar um problema.
Então, estou indo sobre isso da maneira certa? Este é um uso apropriado do Active Directory? Devemos mudar tudo para um produto de groupware hospedado e webmail, e não se incomodar com isso completamente? Se assim for, isso diminui enormemente a probabilidade de que a gerência concorde com meus planos.
EDIT: Estamos gerenciando nosso próprio e-mail porque temos muito mais endereços do que máquinas (muitos funcionários em tempo parcial), por isso não podemos pagar por usuário.