web-dev-qa-db-ja.com

ローミングラップトップを備えたADドメイン-接続するか、別々のままにします

旅行中にスタッフに渡されるラップトップのプールがある場合、あなたはどうしますか?私は旅行代理店で働いており、スタッフを1、2人のグループでツアーに送ります。彼らは引き続きオフィスに接続したり、メールをクリアしたりする必要があります。

私が知りたいのはこれです:これらのラップトップをADドメインにも接続するのは正常ですか、それともスタンドアロンワークステーションとしてドメインから外しますか?

FWIW、これはSBS2011標準ネットワークであり、約25人のスタッフと8〜10台のラップトップがあります。各ユーザーに1台のラップトップを提供することは現実的ではありません。

私が見るように、これらは賛否両論です。

ラップトップをドメインに接続する(「ラップトップをドメインに接続しない」の長所/短所は多かれ少なかれ反対です):

  • Pro:セキュリティの向上(GPOの適用、問題領域のロックダウン、ファイアウォールルールの適切な設定など)
  • Pro:スタッフは1つのアカウントでログインし、パスワードを覚えておく必要がある別の「ラップトップユーザー」アカウントは必要ありません。
  • Con:WSUSは機能しません(上記の理由を参照)
  • Con:統合AVが機能しない(AV更新には、世界中からアクセスできないAVサーバーへの接続が必要です)ので、スキャンします、ただし、最新の定義ではありません。一度に1、2か月離れている人がいることを考えると、それは見栄えがよくありません。
  • Con:ラップトップはログオンをキャッシュする必要があるため、スタッフはオフィスにいる前に少なくとも1回はドメインにログオンすることを忘れないでください。彼らがこれを行わない場合、私が彼らにローカル管理者アカウントを与えない限り、ラップトップはレンガです

私が考えていない他の何か?

3
Matt

社内のすべてのWindowsマシンは常にドメインの一部である必要があります。

WSUSにアクセスできないことをそれほど心配する必要はありません。更新は明らかに重要ですが、いくつかの更新は非常に重要であるため、インストールするのに数日以上待つことはできません。ほとんどの企業は、ローカルのいくつかのマシンに更新をインストールして、それが一定期間にわたって問題を引き起こすかどうかを確認します。すべてのマシンに更新をロールアウトする前に、1週間以上待つ場合があります。更新が非常に重要で、[〜#〜]が[〜#〜]をできるだけ早くインストールしていると感じた場合、ユーザーはVPNを使用する必要があります。 MSは、WindowsServerに組み込まれたVPNソフトウェアを提供します。

あなたのAVに関しては、何かが正しく聞こえません。最新のAVスイートはすべて、内部ネットワークに直接接続したりVPNを使用したりしていないリモートユーザーがインターネット経由で更新できるようにします。AVドキュメントを確認するか、サポートに連絡して、これを有効にするためのサポートを受けてください。何らかの理由でこの機能をサポートしていないAVソフトウェアがある場合は、サポートしているものと交換する必要があります。それが不可能な場合も、VPNはこの問題の簡単な解決策です。

ログインのキャッシュに関しては、ユーザーはネットワーク上で1回だけラップトップにログインする必要があります。彼らのラップトップが「レンガ」になる理由はありません。ここで何か他のことが間違っているようです。ユーザーはラップトップのプールを共有していますか?おそらく、彼らは今までログインしたことのないラップトップを手に取っているのでしょう。繰り返しますが、VPNを設定すると、これらすべての問題が軽減されます。

1
Keltari