Жила была компания, сидела дружно в одном московском офисе, куда практически все ходили на работу каждый день. Посему выстраивание доменной инфраструктуры было логичным решением. Прошли годы. Компания стала расти и обрастать ОП, которые располагались по всей стране. Размер этих ОП был смешным от 1 до 6 человек поэтому речи о доменных контроллерах на площадках тех офисов даже не шло. Соответственно под управление контроллеров они не опадали. А потом пришел злой вирус и с тех пор началось. Даже в московский офис кто хочет тот и ходит а кто не хочет тот и не ходит. Некоторые год уже не были. Вот такая сказочка в которой в доменной сети оказывается по факту менее чем пятая часть рабочих мест, а остальные к ней вообще не подключаются.
В связи с этим есть два вопроса, вопроса, а нужна ли сеть на основе домена при таком вот бардаке. И есть ли хорошие средства управления и контроля за пользовательскими машинами основанная на недоменной сети?
С одной стороны конечно можно сделать VPN SSO, но вот что меня останавливает, в региональных ОП некому настраивать машины, и что то можно делать только через удаленное подключение, к сожалению здесь вариантов что то пошло не так просто очень много.
При большом количестве ПК домен нужен как воздух.
Мы подняли VPN (ZeroTier) на всех ПК и настроили маршруты. VPN поднимается сам до входа пользователя в систему, маршруты заворачивают только доменный трафик в VPN и не мешает ему работать в интернете.
Мы получаем полный доступ над ПК пользователя, даже когда он работает из дома. Особенно выручает мониторинг Zabbix который контролирует использование админ учеток на ПК и установку софта.
Такой себе аналог AlwayOnVPN который доступен в Windows Enterprice.
Посмотрел, прекрасное решение, но увы в свете неких событий очень ненадежное.
А каким образом вы разворачиваете рабочие места? Ну вот произвольный ноутбук, находится в 2000 километрах от вас, задача поставить ZeroTier и завести машину в домен, как вы это делаете?
Shiva-TM, если ноут новый то настраиваешь его и отправляешь по почте. если не пойми что то зовешь на месте мастера который сделает что надо, сбросит настройки и установит для тебя энидеск (это может практически любой человек сделать по простейшей инструкции)
Посмотрел, прекрасное решение, но увы в свете неких событий очень ненадежное.
Если, опасаетесь, что отключат российских пользователей от ZeroTier, то можно поставить собственный контроллер.
У меня так сделано. Причем контроллер стоял на хостинге в европе, и когда этот хостинг отрубили - перенес в Россию, просто установив на новом сервере и скопировав каталог с настройками - 15 мин времени.
Большинство используемых сервисов не находится в домене, в основном это облачные сервисы. Как я упоминал да я могу всех загнать в VPN, но кто это будет чинить если что не так во Владивостоке когда один админ и он в Москве.
Drno, не будет второго, дорого для компании, а загнать всех через одну точку входа в сервисы теоретически да, а практически для этого нужен будет хороший проггер который напишет прокладки.
Если вам нужна авторизация на уровне системы, то альтернатив у вас особо нет.
Альтернативный подход, авторизация на уровне сервисов. Например office 365 и Azure AD.
365 считай больше нет, купить нельзя. Собственно если бы у нас действительно пользователи авторизовывались в рабочих сервисах через домен, но нет же куча логинов и паролей на разношерстных сервисах объединить которые увы не вариант.
Shiva-TM, это никак не меняет ответ :)
Если нужна авторизация на уровне системы то домен, не нужна, авторизация на уровне сервисов.
Комбайн типа 365 хорош именно тем, что там есть практически все. Остальные сервисы. Ну многие поддерживают google авторизацию. В РФ пока такого разнообразия нет, чтобы можно было все необходимое заменить. Если будет, то вероятно будет авторизация через яндек, vk, госуслуги.
крупные офисы - через RO DC, мелкие офисы - через VPN
А то завтра от вас будет вопрос - а как мне без доменной сети на все машины софтинку поставить...
Если такой вопрос в принципе появляется, значит домен не нужен.
Софтинку через GPO в таком бардаке все равно не поставить, действий сотрудников все равно не отследить, софт запретить ставить нельзя, следить за утечкой данных никак.
Но можно поставить хоть какое-то решение для контроля, например Kaspersky security cloud или что-то подобное облачное. Чтобы хоть что-то получать из данных от ноутов.
Руслан Федосеев, вопрос то именно при текущем состоянии сети, Я и сейчас при наличии сети не могу раскатать софтинку потому что две трети тех кто заведен в домен к нему не подключаются, а тех кто вообще не в домене примерно половина состава. Я отлично знаю как построить инфраструктуру правильно, только на правильно финансирования не будет.
