Всем привет! У меня достаточно большой опыт администрирования и малых и больших сетей предприятий, и я скорее хочу посоветоваться и выслушать различные мнения. В большинстве случаев я использую терминальные сервера и пускаю туда пользователей, такую схему использую с AD и без него. Но сейчас душа просит перемен, и я думаю изменить годами проверенную схему для нового клиента.
Преамбула такая - около 20 сотрудников, все за ноутами. Сервисы которые требуются - общая шара с распределением прав. Почта. 1С.
Сейчас общая шара и почта на Яндексе диске. 1С - на сервере и подключена пользователям через веб публикацию. Сейчас компания активно развивается и количество сотрудников каждый месяц будет увеличиваться. Ноутбуки как правило стоят стационарно в офисе, но часть сотрудников берет их с собой на выезды или иногда может забирать домой. В некоторых случаях требуется доступ в инфраструктуру компании удаленно (сотрудник на больничном например и ему срочно нужно что-то сделать)
Что хочу - для удобства администрирования развернуть AD.
Т.к. от привычек сотрудников сложно отучить, то скорее всего придется использовать переносимые профиль (рабочий стол, документы)
У некоторых сотрудников используется специфичный софт, которые не получится развернуть в терминале.
Думаю в данном случае сделать так - создать домен, настроить политики, в том числе по переносимым профилям, различная автоматизация по подключению почты и тд, включить автономные файлы (с ними был опыт работы во времена winXP/server 2003 и тогда было куча гемора с ними, но я тогда только начинал свой путь).
Подцепить ноуты в домен. Настроить автономные файлы.
Для доступа к сетевой шаре использовать впн - в таком случае в теории должны синхронизировать и автономные файлы.
На линукс сотрудников я не переведу, ибо встречаю активное сопротивление в том числе и со стороны руководства.
По сути, меня больше всего волнует работа автономных файлов в связке с переносимыми проыилями. В постоянно доступной сети с доменом переносимые профили работаю нормально, а вот как с автономными это будет себя вести пока не понимаю. Поделитесь своим опытом и подводными камнями, или как бы Вы решали такую задачку ?
Уточню, я знаю как решить свой вопрос чтобы все работало предсказуемо и было удобно в администрировании, с автономными файлами я часто читаю что возникают проблемы и могут возникнуть ситуации когда обновленная версия пропадает, но заставить пользователей не хранить файлы на рабочем столе технически можно, практически - нет.
Резервирование данных с ПК сотрудников.
Единый интерфейс управления пользователями.
Централизованное управление правами доступа.
Централизованное управлениями политиками компов. И прочее прочее прочее.
Сейчас +-20 компов, через месяц точно будет больше 30. И тут не сезонный бизнес для распродаж перед новым годом. Если такие темпы сохранятся - 50 скоро наберется. Поэтому я сейчас продумываю и хочу начать реализовывать инфраструктуру.
С учетом того что компания активно развивается - сотрудники активно набираются, а также часть сотрудников отсеивается и увольняется - перенастройка учеток превращается в рутину. Использование учеток типа - продавец, стажёр и тд - крайне не приветствуется.
Но с Вашей цифрой я не соглашусь, по моему опыту администрирование уже больше 20 сотрудников лучше переносить в АД. Т.к. администрирование прав доступа, установка и обновление ПО - централизовано существенно экономит время.
Ничто не мешает вам развернуть постоянное подключение к VPN, типа DirectAccess или продвигаемого вместо него Always-On VPN. Без интернета сейчас никто не работает, поэтому связь будет всегда, соединение directaccess\aovpn будет устанавливаться автоматически.
Да я знаю про эти технологии и вполне успешно с ними работал по некоторым другим задачам. Однако в данном вопрос я не уточнил - могут быть ситуации при которых интернета не будет. То, что сейчас вся работа выстроена при наличии интернета - можно сказать соглашусь, если говорим про коммерческие компании. В данном случае есть некоторые объекты, на которые ездят сотрудники с ноутами, там доступ к интернету ограничен, а мобильная связь глушится. Поэтому если сотрудник останется без интернета - он останется с тыквой и при использовании переносимых профилей без автономных файлов - сотрудник останется без файлов. Ну максимум в кэше, в который рядовой сотрудник не будет загоняться и искать файлы.
Alexey Dmitriev - nextcloud планирую развернуть, для возможности публикации файлов\каталогов в интернет т.к. есть потребность предоставлять доступ к некоторым файлам из интернета. Но я думал сделать в связке с интеграцией с SMB и с интеграцией с LDAP.
Но для Nextcloud я думал сделать отдельную папку в сетевой шаре, у которой будет доступ у всех сотрудников, и они через nextcloud смогу делиться файлами\папками.
В идеальном сценарии хотелось бы видеть бесшовную интеграцию с SMB шарой с учетом прав доступа, но я так понимаю что так не получится подружить, или придется для каждой группы создавать отдельно пользователя с такими же правами как у группы. А если у пользователя будут индивидуальные права на SMB шаре, то это целый геморрой в настройке получится. Nextcloud и LDAP не интегрировал еще, но изучал этот вопрос.
Maksim Herasim, в nextcloud с правами все плохо, максимум там есть плагин group folders, он хотя бы как-то позволяет управлять групповыми правами на общие папки.
Alexey Dmitriev, ну в целом если без LDAP, тогда в целом более менее всё нормально. С перекрестными правами или правами на отдельные файлы там плохо - да. Поэтому думаю сделать в виде костыля - общая папка на SMB, её подключаю в NC, эта папка доступна всем и вся, сотрудники которым необходимо шарить - получают инструкцию как это делать и предупреждением что файл будет удален из папки через Х дней после создания, а то начнут всё сохранять в той папке. В остальном же работа ведется с сетевым диском.
Если я Вас правильно понял, касательно NC или WebDav, то идея заключается в том, что бы не использовать переносимые профили, а при помощи этих решений настроить синхронизацию файлов и папок рабочего стола и документов? Тогда думаю лучше будет rclone - больше маневров для автоматизации будет.
Не знаю почему многие боятся AD, для меня конечно панацея это групповые политики, другой вопрос лицензии и ресурс, если обладаете то стоит это осуществить, если контора коммерческая то вообще сложностей быть не должно, моя бы воля и на 10 хостов бы ставил, что бы к каждому не бегать за рабочее место и настройки не крутить, тем более если контора будет расти и с винды не слезете. Так что лучше заложить нормальный фундамент чем потом из огорода делать конфетку. Но сам супер опытом не обладаю потому как вот быть с ноутбуками в организации которые находятся вне пределах локальной сети, это вопрос неоднозначный пока лично для меня, если знаете как будете пользаков прокидывать да так что бы мусор не тащили со своей техники по удаленке и ноуты не выпадали из доверия AD то в путь. В общем на счет AD однозначно стоит заморочиться. Если есть прям сервер стоит для упрощенья жизни развернуть ProxMoxVE или другую виртуализацию если есть боевой опыт и лицензии.