Целесообразно ли переходить на вин-домен и переносимые профили?
Есть около 100 ноутбуков в разных городах РФ
Нужно подключить их в один домен и настроить переносимые профили.
Набор программок стандартный, офисный: Skype, MSOffice, браузер + пара софтин для удаленного администрирования и сбора статистики.
(пока что на примере TeamViewer и stuffcop)
UPD:
сейчас просто ноутбуки каждый сам по себе, у всех выход в интернет как-то настроен и точка, на каждом компе полный хламовник, зачастую вирусы, администрировать некому (т.к. за каждый вызов админа платить надо)
хотим подключить все ноуты в одну сеть и навести порядок. впринципе решение уже разработали (создав корпоративную сборку с зашитыми необходимыми программами и доступом для удаленного админа), но хочется просчитать также целесообразность включения всего добра в домен
ну из плюсов я вижу отвязку от конкретной машины — человек может в командировку в другой город поехать и залогиниться там, получив то же рабочее окружение (ярлычки, программы и т.п.)
а также массовое управление — например хотим добавить всем джаббер или еще какую-нибудь программу — хлоп через домен и готово, а так 100 раз через уделаннку цепляться и устанавливать
т.к. я сам не шарю в возможностях домена
хотелось бы от знающих людей услышать какие тут могут быть плюсы и минусы
Желательны рабочие руки, которые возьмутся сделать такое за вознаграждение. Но принимаются также наводящие идеи по поводу плюсов/минусов такого решения и целесообразности в рамках корпоративной сети. Просто хочется навести порядок на машинах сотрудников, и иметь возможность централизованно управлять аккаунтами пользователей.
Сеть планируется поднимать через VPN, докупив в каждый офис роутер + подняв VPN-сервер
Сервер один — централизованное хранение, ну с бэкапом в крайнем случае
Соединение тестировали — у всех 1Мб держит стабильно, т.е. синхронизировать 100Мб за две минуты можно.
В переносимом профиле планируется только настройки и логи хранить
Ноутбук в поездках использоваться не будет — все места рабочие
Но предусмотреть возможность оффлайн-авторизации хотелось бы (чтобы подгрузились настройки, которые были при последней синхронизации)
Зачем этот гемор — самый главный вопрос — сейчас его и пытаюсь решить, взвешивая все за и против.
Просто помню в институте у всех были рабочие профили настроены и 10 Мб сетевой папки выдавалось, было конечно неприятно, что ничего установить и настроить нельзя, но для решения задач рабочего процесса подходило как нельзя лучше — сохраненная информация попадала при логине на любой компьютер. Вот примерно того же, только для решения бОльшего спектра задач и хочется добиться.
Плюсы: очень удобно бекапить файлы пользователей, единая политика и прочие плюшки домена.
Минусы: при большом объеме данных и медленном интернет соединении будет очень трудно работать с ноутом. Вас возненавидят.
Резюме: не нужно разворачивать перемещаемые профили, в АД можно занести, но оставить возможность входа под локальным пользователем.
политику пользователей будем локально настраивать, может даже в сборке сделаем пользователя с настроенными правами, чтобы не мучиться.
при обсуждении в коллективе также пришли к выводу, что возможность локального входа должна быть, а там уже, если будет желание, можно автоматизировать настройку через домен.
большинство ежежневных задач уже вынесены в веб-окружение, и стараемся продолжать выносить. если к этому добавить хранение документов в облаке, то перенос пользователя на другую машину будет во первых возможен в ручном режиме, во вторых — не займет много времени. (настроить учетку, подключившись удаленно, залогинить на всех сервисах: dropbox, skype, google, yandex и т.п. которые используются как корпоративный стандарт, скопировать содержимое рабочего стола и истории переписки в том же скайпе) — все. по сути получаем переносимый профиль, только в ручную. переезды сотрудников в другой случаются в среднем раз в месяц, при стоимости часа работы сисадмина в 300р.получаем 12*300 = 3600р. затрат в год или 360 000 за 100 лет (если штат не будет сильно увеличиваться)
будем делать корпоративную сборку с предустановленными средствами удаленного администрирования и вручную настраивать каждого пользователя, обрезая ему права на установку/запуск. это будет гораздо дешевле и проще, чем заморачиваться с вин-доменами, а результат для конечного пользователя и для компании — тот же.
Сборка то зачем? права на установку делаются одной групповыми политиками — запрет на запуск п/о из всех каталогов кроме c:\windows + c:\program files (+x86), тогда никто кроме администраторов ничего не сможет запустить даже на установку.
Тогда снимается проблема запуска portable софта и почти всей вирусни
сборка — чтобы на местах не мучиться с ручной настройкой ПО и дров. Составили список ноутов, скачали дрова, положили в сборку, автоматизировали установку, чтобы лишних вопросов не задавала и флешкой курьером в офис. Вставил флешку, на обед ушел, пришел — новая система готова к работе, а если в пятницу вечером запланировать установку, то за выходные админ подключается, настраивает аккаунт и в понедельник сотрудник абсолютно без задержек продолжает работу уже на новой чистой и защищенной системе.
1 это нужна схема сети
2 будут ли профиля всех пользователей лежать на одном сервере или для каждого региона свой сервак
3 провести подсчет сколько времени будет происходить заливка профиля при плохом соединении
4 понять сколько ноутов может выходить за пределы сети
5 это все замечательно, но если ноутом надо пользоваться в поездке у пользователя нету доступа к документам которые были в профиле, что ему делать?
ну тогда надо
1 организация vpn со всех точек где есть рабочие места к центральному офису, для работы АД надо 100 %
2 провести подсчет занимаемого места проифлями пользователей на ноутах
3 закупить сервак и начать строить
В вашем случаи, не стал бы делать перемещаемые профили, а посмотрел в сторону citrix xendesktop www.citrix.com/products/xendesktop/overview.html. Настраивается без плясок с бубном. Запускать можно хоть на смартфоне. Единственное нужно покупать лицензии.
Вы забыли уточнить про (IPv6 под вопросом, может оно и на ipv4 будет жить, я не помню), точно win8, точно server 2012.
С учётом того, что человек с AD и серверами в принципе не очень то и знаком…
более того, не факт что все пользователи с радостью примут вин8.
оптимальный вариант — терминальная ферма — rdp клиенты есть под все платформы.
минуса — попытка запуска какого-нить жрущего фотошопа на терминальном сервере и всё, ресурсы машины выжраны.
Топикстартеру вопрос — какие приложение требуется запускать.
может есть смысл это переписать как веб решение?
Соглашусь с foxmuldercp.
Дайте людям работать на терминалках. Используйте ферму RemoteApp, она немного красивее работает, но чуть страннее.
И по факту профили будут только внутри вашей серверной сети, отвязаны от железа пользователя.
нормально remoteapp работает. сначала надо просто привыкнуть, что та же 1с будет просто без терминального окна. но фактически — она будет заущена в терминальной сессии без сопутствующего експлорера и прочего хлама.
профили да, будут жить внутри терминальной фермы на серверах
FilimoniCfoxmuldercp Я так думаю — если считать, что сотрудники будут работать по 3GGPRS во всяких замкадных мухосрансках — стриминговые технологии вроде RDP и RemoteApp будут работать так себе. Пользователям быстро надоест рассматривать анимацию перерисовки окон.
А еще DA работает и на 2008r2+Win7. Штука на самом деле очень правильная, но да, она с бубном работает с IPv4. С большим бубном. Но результат того стоит.
JDima Если политикими убрать 32х на 24-16 битный цвет и передачу звуковой и прочей мультимедиа с серверов на клиента, то я Вам таки скажу RDP и RApp прекрасно работает на GPRS, без всяких перерисовок. Это первое.
Шифрование в RDP тоже есть, в общем.
А городить DA с бубном на 2008/вин7 — можно, но стоит учитывать уровень костыльности и геморроя на разворачивании и поддержке этого всего, например, на паре сотен ноутбуков, на которых вон и антивируса не всегда нет, не то что всех обновлений.
И к ноутбукам Вам самим надо будет подключаться по вышеуказанному GPRS, чтобы этот DA корректно настроить…
В этом плане проще таки скинуть в почту нужный ярлычок или дать ссылку на опубликованные приложение RApp, и в паре шагов по телефону пользователь это прекрасно настроит сам.
RDP и RApp прекрасно работает на GPRS, без всяких перерисовок
Не верю. GPRS — это дикая задержка (>500мс, а то и целые секунды), дикий джиттер, скорость на уровне диалапа. Не могу себе представить нормальную работу real-time протокола, коим является RDP, поверх такого.
Мы тестировали — со всеми указанными ограничениями минимально комфортной скоростью является около 256кб/с. Это даже без указанных выше иных проблем.
Это смотря где gprs.
У меня товарищ по всей Украине катается, сидел до недавна на Kyivstar EDGE, с приходом Edge работать стало сильно компфортнее, на GPRS RDP был действительно тормозом, но за неимением другого работать было можно
Коллеги, при всем уважении к Microsoft и Active Directory, думаю в данном случае мы имеем немного завышенные требования к системе.
Я бы начал не с перемещаемых профилей и AD а всего навсего с централизованного купленного антивирусного ПО.
Например, тот же Trend Micro, да и другие спокойненько позволят Вам, не обладая какими-то супер знаниями:
вычистить компы от вирусов, держать их в обновленном состоянии, блокировать посещение «плохих» сайтов, устанавливать в случае необходимости доп ПО.
Посмотрите существующие облачные решения от Антивирусных Компаний.
Возможно объединить это с развертыванием AD, но никак не с перемещаемыми профилями!!! Перемещаемые профили — это хорошо когда у вас гигабит между клиентом и сервером, и то бывают проблемы когда утром все в одно время приходят на работу и логинятся.
Если уж не терпится централизовать работу пользователей настолько — тогда да, терминальные решения.
Я бы начал со штатного MS Essentials. При убирании админских прав у всех, кому не лень, отрезании прав запуска п/о откуда попало и кем попало, окромя нужный путей и разрешенного списка п/о на запуск политиками — этого функционала хватит для защиты рабочих станций внутри периметра.
Давно не работал с AD, тем не менее советую попробовать следующее.
1. Загнать всех в домен и дать права обычного пользователя
2. Запретить пользователям запускать приложения из всех папок кроме Program Files, Windows (Dropbox установить либо в другую папку либо прописать если можно исключение)
3. Ограничить размер профилей и переместить папку «Рабочий стол» в другое место
4. Создать гостевой аккаунт для случаев когда приходится работать не на своем месте
Плюсы: централизованное управление софтом, групповые политики для программ (Google Chrome, Skype), отсутствие мейл-агентов, спутников, баров и прочей малвари
Лайфхак: если есть централизованно управляемый антивирус можно добавлять нежелательное ПО туда как опасный объект и оно будет удаляться сразу после установки.
Минусы: с настройкой профилей возможно придется повоевать
Средний
Средний
