如果您有一批笔记本电脑供员工出差时使用,您会怎么做?我在一家旅行社工作,我们会派一两名员工和一群人一起去旅行,他们需要继续与办公室保持联系,清理电子邮件等。
我想知道的是:将这些笔记本电脑连接到 AD 域是否正常,或者您是否会将它们作为独立工作站留在域之外?
顺便说一下,这是一个 SBS2011 标准网络,大约有 25 名员工和 8-10 台笔记本电脑。为每个用户提供一台笔记本电脑是不可行的。
在我看来,这些是优点/缺点。
将笔记本电脑连接到域(“不将笔记本电脑连接到域”的优点/缺点或多或少相反):
- 优点:更好的安全性(应用 GPO、锁定问题区域、适当设置防火墙规则等)
- 优点:员工只需一个账户即可登录,无需单独设置“笔记本电脑用户”账户并记住其密码
- 缺点:WSUS 无法工作(参见上述原因)
- 缺点:集成 AV 不起作用(AV 更新需要重新连接到 AV 服务器,而 AV 服务器无法供全世界访问),因此它会进行扫描,但不会使用最新的定义。考虑到有些人一次要离开一两个月,这可不是什么好事
- 缺点:员工在离开办公室前必须记住至少登录一次域,因为笔记本电脑需要缓存他们的登录信息。如果他们不这样做,笔记本电脑就会变得很卡,除非我给他们本地管理员帐户
还有什么我没有想到的吗?
答案1
贵公司的每台 Windows 机器都应该总是成为域的一部分。
您不必太担心 WSUS 无法访问。更新显然很重要,但有些更新非常关键,您不能等上几天或更长时间再安装它们。大多数公司会在本地几台机器上安装更新,以查看它是否会在一段时间内引起问题。他们可能会等上一周或更长时间,然后再将更新推送到所有机器。如果更新非常关键,以至于您觉得它有为了尽快安装,用户应该使用 VPN。MS 提供了内置于 Windows Server 的 VPN 软件。
至于您的 AV,听起来有些不对劲。所有现代 AV 套件都允许未直接连接到内部网络或 VPN 的远程用户通过互联网进行更新。请查看您的 AV 文档,或致电支持人员以获取启用此功能的帮助。如果出于某种原因,您的某些 AV 软件不支持此功能,则应将其替换为支持此功能的软件。如果这不可能,再次强调,VPN 是解决此问题的简单方法。
至于缓存登录信息,用户在网络上时只需登录一次笔记本电脑即可。他们的笔记本电脑没有理由变成“砖头”。这听起来像是其他问题。用户是否共享一组笔记本电脑?也许他们正在使用从未登录过的笔记本电脑。同样,设置 VPN 可以缓解所有这些问题。