Всем привет! У меня достаточно большой опыт администрирования и малых и больших сетей предприятий, и я скорее хочу посоветоваться и выслушать различные мнения. В большинстве случаев я использую терминальные сервера и пускаю туда пользователей, такую схему использую с AD и без него. Но сейчас душа просит перемен, и я думаю изменить годами проверенную схему для нового клиента.
Преамбула такая - около 20 сотрудников, все за ноутами. Сервисы которые требуются - общая шара с распределением прав. Почта. 1С.
Сейчас общая шара и почта на Яндексе диске. 1С - на сервере и подключена пользователям через веб публикацию. Сейчас компания активно развивается и количество сотрудников каждый месяц будет увеличиваться. Ноутбуки как правило стоят стационарно в офисе, но часть сотрудников берет их с собой на выезды или иногда может забирать домой. В некоторых случаях требуется доступ в инфраструктуру компании удаленно (сотрудник на больничном например и ему срочно нужно что-то сделать)
Что хочу - для удобства администрирования развернуть AD.
Т.к. от привычек сотрудников сложно отучить, то скорее всего придется использовать переносимые профиль (рабочий стол, документы)
У некоторых сотрудников используется специфичный софт, которые не получится развернуть в терминале.
Думаю в данном случае сделать так - создать домен, настроить политики, в том числе по переносимым профилям, различная автоматизация по подключению почты и тд, включить автономные файлы (с ними был опыт работы во времена winXP/server 2003 и тогда было куча гемора с ними, но я тогда только начинал свой путь).
Подцепить ноуты в домен. Настроить автономные файлы.
Для доступа к сетевой шаре использовать впн - в таком случае в теории должны синхронизировать и автономные файлы.
На линукс сотрудников я не переведу, ибо встречаю активное сопротивление в том числе и со стороны руководства.
По сути, меня больше всего волнует работа автономных файлов в связке с переносимыми проыилями. В постоянно доступной сети с доменом переносимые профили работаю нормально, а вот как с автономными это будет себя вести пока не понимаю. Поделитесь своим опытом и подводными камнями, или как бы Вы решали такую задачку ?
Уточню, я знаю как решить свой вопрос чтобы все работало предсказуемо и было удобно в администрировании, с автономными файлами я часто читаю что возникают проблемы и могут возникнуть ситуации когда обновленная версия пропадает, но заставить пользователей не хранить файлы на рабочем столе технически можно, практически - нет.
Ничто не мешает вам развернуть постоянное подключение к VPN, типа DirectAccess или продвигаемого вместо него Always-On VPN. Без интернета сейчас никто не работает, поэтому связь будет всегда, соединение directaccess\aovpn будет устанавливаться автоматически.
Да я знаю про эти технологии и вполне успешно с ними работал по некоторым другим задачам. Однако в данном вопрос я не уточнил - могут быть ситуации при которых интернета не будет. То, что сейчас вся работа выстроена при наличии интернета - можно сказать соглашусь, если говорим про коммерческие компании. В данном случае есть некоторые объекты, на которые ездят сотрудники с ноутами, там доступ к интернету ограничен, а мобильная связь глушится. Поэтому если сотрудник останется без интернета - он останется с тыквой и при использовании переносимых профилей без автономных файлов - сотрудник останется без файлов. Ну максимум в кэше, в который рядовой сотрудник не будет загоняться и искать файлы.
Alexey Dmitriev - nextcloud планирую развернуть, для возможности публикации файлов\каталогов в интернет т.к. есть потребность предоставлять доступ к некоторым файлам из интернета. Но я думал сделать в связке с интеграцией с SMB и с интеграцией с LDAP.
Но для Nextcloud я думал сделать отдельную папку в сетевой шаре, у которой будет доступ у всех сотрудников, и они через nextcloud смогу делиться файлами\папками.
В идеальном сценарии хотелось бы видеть бесшовную интеграцию с SMB шарой с учетом прав доступа, но я так понимаю что так не получится подружить, или придется для каждой группы создавать отдельно пользователя с такими же правами как у группы. А если у пользователя будут индивидуальные права на SMB шаре, то это целый геморрой в настройке получится. Nextcloud и LDAP не интегрировал еще, но изучал этот вопрос.
Maksim Herasim, в nextcloud с правами все плохо, максимум там есть плагин group folders, он хотя бы как-то позволяет управлять групповыми правами на общие папки.
Alexey Dmitriev, ну в целом если без LDAP, тогда в целом более менее всё нормально. С перекрестными правами или правами на отдельные файлы там плохо - да. Поэтому думаю сделать в виде костыля - общая папка на SMB, её подключаю в NC, эта папка доступна всем и вся, сотрудники которым необходимо шарить - получают инструкцию как это делать и предупреждением что файл будет удален из папки через Х дней после создания, а то начнут всё сохранять в той папке. В остальном же работа ведется с сетевым диском.
Если я Вас правильно понял, касательно NC или WebDav, то идея заключается в том, что бы не использовать переносимые профили, а при помощи этих решений настроить синхронизацию файлов и папок рабочего стола и документов? Тогда думаю лучше будет rclone - больше маневров для автоматизации будет.
Резервирование данных с ПК сотрудников.
Единый интерфейс управления пользователями.
Централизованное управление правами доступа.
Централизованное управлениями политиками компов. И прочее прочее прочее.
Сейчас +-20 компов, через месяц точно будет больше 30. И тут не сезонный бизнес для распродаж перед новым годом. Если такие темпы сохранятся - 50 скоро наберется. Поэтому я сейчас продумываю и хочу начать реализовывать инфраструктуру.
С учетом того что компания активно развивается - сотрудники активно набираются, а также часть сотрудников отсеивается и увольняется - перенастройка учеток превращается в рутину. Использование учеток типа - продавец, стажёр и тд - крайне не приветствуется.
Но с Вашей цифрой я не соглашусь, по моему опыту администрирование уже больше 20 сотрудников лучше переносить в АД. Т.к. администрирование прав доступа, установка и обновление ПО - централизовано существенно экономит время.
Простой
