Blog

Praca zdalna z Windows - koncepcja rozwiązania dla firm (domena Windows AD)

W czasie gdy do Polski nadszedł wirus niosący za sobą chorobę COVID-19, wiele firm zmuszonych było przeprowadzić transformację cyfrową swojego przedsiębiorstwa z dnia na dzień. Umożliwienie pracy zdalnej pracownikom stało się priorytetem wielu właścicieli.

Dla niektórych był to impuls do profesjonalnego wdrożenia cyfryzacji w firmie, a dla innych czas łatania dziur przy użyciu tymczasowych rozwiązań w postaci np. oprogramowania do zdalnego pulpitu.

Takie rozwiązanie oczywiście można było zastosować bardzo szybko, lecz wygoda i optymalizacja działania pozostawia wiele do życzenia.

Najpopularniejsze narzędzie tego typu – darmowy TeamViewer – najlepiej sprawdza się przy krótkotrwałych połączeniach, na przykład podczas obsługi zgłoszeń serwisowych. Kliku-kilkunastogodzinne korzystanie za jego pośrednictwem z włączonego w biurze komputera rodzi szereg problemów, z którymi zmagają się zarówno działy IT, jak i użytkownicy. Warto nadmienić, że korzystanie z niego w sposób darmowy jest tylko do użytku domowego.

„Znowu wywaliło mnie z programu” 

Największym problemem jest niska wydajność, która potrafi poważnie utrudnić i spowolnić pracę. Powodów jest tu kilka:

  • Połączenie do komputera w biurze zawsze mocno obciąża łącze, a przy tym jest nieefektywne. Może nam to wręcz uniemożliwić pracę nad zaawansowanymi aplikacjami, które cechują się dużą dynamicznością wyświetlania obrazu (np. CAD)
  •  Używamy dwóch komputerów jednocześnie i nie wyłączamy (biurowego) na noc, bo nie ma kto go włączyć z rana. O oszczędzaniu energii nie ma mowy.
  •  Nie każdy pracownik posiada odpowiednie zasoby w domu – ma limit danych do wykorzystania przez Internet, lub zwyczajnie nie ma domowego komputera

Jak zatem skutecznie przygotować się na przyszłe, nieprzewidziane okoliczności i stworzyć pracownikom możliwość bezpiecznej pracy zdalnej?

Przyjrzyjmy się trzem rozwiązaniom, które w różnym stopniu przenoszą obciążenia robocze poza komputer użytkownika.

  1. Korzystanie z aplikacji udostępnionej przez internet
  2. Korzystanie z wirtualnego pulpitu poprzez serwer terminali
  3. Stworzenie konta firmowego w domenie Windows z kontrolerem AD

Korzystanie z aplikacji udostępnionej przez internet

Mowa tu o sytuacji, gdy pracownicy korzystają z aplikacji, która może zostać umieszczona w chmurze zamiast na komputerze włączonym w biurze. Jeśli nie nie ma potrzeby korzystania z systemów operacyjnych w biurze (Windows / Linux), to takie narzędzie w chmurze powinno być wystarczające.

Na przykład: Posiadamy aplikację do transakcji na giełdzie, która jest zainstalowana na serwerze (może być w chmurze) i udostępniona użytkownikom pod odpowiednim adresem URL. Logujemy się do aplikacji bezpośrednio przez Internet i korzystamy.

Zalety:

  • Prostota migracji serwera jeśli nie posiadamy infrastruktury, by udostępnić serwer publicznie, co często chmura daje w cenie (publiczny adres IP, szybkie łącze itp.)
  • Niskie koszty – udostępniamy tylko jeden serwer
  • Elastyczność – można wyłączyć serwer w chmurze po godzinach pracy płacąc za niego cenę 160 godz. / miesiąc zamiast 730 godz.
  • W chmurze możemy modyfikować zasoby serwera w momentach kiedy tego potrzebujemy
  • Profesjonalne zabezpieczenie serwera przy użyciu certyfikatów i firewall’i

Wady:

  • Tylko specyficzna aplikacja i praca w całości na danym oprogramowaniu umożliwia takie rozwiązanie
  • Jesteśmy ograniczeni do funkcjonalności jakie daje nam aplikacja
  • Jest to tylko udostępnienie aplikacji wszystkim użytkownikom, a nie współpraca sieciowa

Korzystanie z wirtualnego pulpitu (serwer terminali)

Rozwiązanie polega na stworzeniu serwera w chmurze (np. onestepcloud.pl) i nadaniu dostępów do takiego serwera wszystkim pracownikom poprzez założenie kont. Wszyscy pracownicy korzystając z Internetu, logują się na dany serwer przez swoje osobne konta i pracują na przypisanym pulpicie. Tacy użytkownicy mogą wymieniać między sobą pliki w ramach jednego serwera. Administrator może nadać dostępy do poszczególnych folderów wspólnych. Do połączenia można wykorzystać połączenie klienckie VPN, co zwiększa bezpieczeństwo połączenia. Konieczne jest łącze o dobrej przepustowości, dzięki któremu nie będziemy odczuwali skutków pracy na przez Internet.

Zalety:

  • Bezpieczny dostęp do serwera i wszystkich plików przez wskazanych pracowników
  • Możliwość wyłączania maszyny (np. na noc) / zmniejszania zasobów maszyny w chmurze i przy tym obniżenie kosztów
  • Bezpieczne dane, które mogą być współdzielone przez użytkowników serwera
  • Wszystkie obliczenia (działania) wykonywane na danym serwerze i od niego zależy jak szybko dana operacja się wykona. Nie potrzebujemy mocnych komputerów na których pracujemy
  • Możliwość nadania odpowiednich uprawnień użytkownikom (dostępowych do folderów)
  • Dostęp do aplikacji desktopowych, pakietu office
  • Utrzymywanie jednego serwera, a nie komputera per użytkownik gdyż użytkownicy często korzystają ze swoich komputerów jako ‘wyświetlaczy’
  • Łatwiejszy backup jednego serwera, danych i plików użytkowników

Wady:

  • W przypadku potrzeby korzystania z serwera przez kilku użytkowników, należy zwiększyć moc serwera (na OSC w prosty sposób, poprzez suwak) co powoduje zwiększenie kosztów.
  • Należy opłacić licencję za serwer (ok 250 zł / serwer)
  • Należy opłacić licencję za każdego użytkownika nie administracyjnego Windows, czyli RDS (Remote Desktop Services) licencja CAL ok 30 zł / os.

Stworzenie konta firmowego Windows w domenie AD

Najbardziej popularnym i wręcz modelowym rozwiązaniem jest stworzenie firmowego konta domeny Windows wraz z kontrolerem domeny. Serwery można (o ile mamy odpowiednie warunki dotyczące przestrzeni, bezpieczeństwa, klimatyzacji itd.) postawić w biurze, lub stworzyć w chmurze, czyli np. poprzez One Step Cloud. W chmurze umieszczamy jeden serwer kontrolera domeny AD, który przetrzymuje profile użytkowników Windows (pracowników). Odpowiedzialny jest za tworzenie nowych kont użytkowników i nadawanie odpowiednich uprawnień. Drugim serwerem jest serwer plików, na którym automatycznie synchronizujemy wszystkie foldery, które są udostępnione w danych komputerach pracowniczych. Warto wspomnieć, że potrzebne jest stabilne łącze o dobrej przepustowości min 100 Mb/s. Na przykład – gdy podłączony do domeny firmowej pracownik zapisuje u siebie na komputerze plik w folderze Dokumenty, pliki są automatycznie synchronizowane z profilem na serwerze. To umożliwia, po zalogowaniu do konta Windows, dostęp do naszych plików z różnych komputerów. Pracownicy, aby połączyć się do serwera, na którym oparta jest sieć firmowa, wykorzystują połączenie VPN, które należy odpowiednio skonfigurować.

Zalety:

  • Opłacając licencję za Windows Server Standard, możemy stworzyć nieograniczoną liczbę kont systemu Windows (nie musimy opłacać licencji CAL – Remote Desktop Services). Konieczne jest za to posiadanie na komputerach oprogramowania Windows PRO, aby podłączyć do kontrolera domeny
  • Pełna kontrola nad kontami firmowymi używanymi przez pracowników
  • Wraz z odpowiednią konfiguracją VPN, możemy zarządzać odpowiednimi dostępami użytkowników
  • Szybkość dodawania / usuwania kont pracowniczych
  • Administrowanie wszelkimi uprawnieniami do poszczególnych folderów (edycja / odczyt) oraz możliwości instalacji oprogramowani na komputerze pracownika
  • Pracownik wykorzystuje moc swojego komputera do korzystania z aplikacji / narzędzi. W chmurze dokonuje się autoryzacja dostępów do plików i archiwizacja ich
  • Możliwość łączenia się do serwerów plików zdalnie poprzez VPN
  • Możliwość raportowania i audytowania dostępu do plików
  • Możliwość automatyzacji (link do art. Roberta)
  • Pozostałe zalety chmury z rozwiązania wyżej – koszty, utrzymanie, zmiana zasobów

Wady:

  • Należy opłacić licencję za Windows Server Standard (ok 250 zł / serwer) – tak samo jak przy serwerze terminali
  • Gdy pracujemy zdalnie – konieczność otwierania połączenia VPN (przy każdym odblokowaniu komputera), by móc łączyć się do folderów sieciowych (udostępnionych pracownikom firmy)
  • Jeśli chcemy dołączyć sieć firmową (LAN), to istnieje konieczność odpowiedniego rozwiązania sieciowego [VPN site to site] i odpowiedniej infrastruktury (szybkie łącze internet i odpowiedni router), by móc sprawnie korzystać z folderów sieciowych i nie łączyć się każdorazowo poprzez VPN (uzupełnienie dla punktu powyżej)
Cenę przykładowego wdrożenia opisuję w artykule Firmowe zasoby dostępne z każdego miejsca. Praca zdalna, hosting strony i poczty – ile to kosztuje?

Ważne, aby praca była bezpieczna

Najważniejszym aspektem w doborze rozwiązania do pracy zdalnej jest bezpieczeństwo. Jego naruszenie może kosztować firmę wiele – a użytkownicy pracujący zdalnie są dla cyberprzestępców wymarzonym celem. Jak ustalił w kwietniowym badaniu producent rozwiązań z zakresu cyberbezpieczeństwa, Barracuda Solutions:
Masowe przejście na pracę zdalną zaowocowało natychmiastowym przyrostem ataków nakierowanych bezpośrednio na nieuwagę lub niewiedzę pracowników firm.
51% respondentów badania zaobserwowało wzrost liczby e-mailowych ataków phishingowych od czasu przejścia na model pracy zdalnej, a 46% doświadczyło co najmniej jednego zagrożenia bezpieczeństwa.

55% stwierdziło, że nie wdrożyłoby pracy zdalnej w ciągu najbliższych 5 lat, gdyby nie kryzys COVID-19, ale 56% planowało kontynuować szeroko zakrojoną pracę zdalną nawet po zakończeniu kryzysu.

Jednocześnie, 40% respondentów obcięło swoje budżety IT w ramach szukania oszczędności w kryzysie spowodowanym epidemią. Dlatego zawsze należy zadać sobie pytanie: „Co chcemy osiągnąć?” , „Na ile chcemy zabezpieczyć swoją organizację?” i „Ile chcemy wydać pieniędzy na rozwiązania klasy Enterprise?”. Podstawowym czynnikiem ekonomicznym powinno być jednak, nie ile to kosztuje w danej chwili, lecz co się stanie jeśli:
  • Dane firmowe zostaną wykradzione
  • Nasz serwer nagle się zepsuje i stracimy dane
  • Ktoś przypadkowo usunie dane (np. bazę kontaktów firmy, dokumenty księgowe)
  • Nasz administrator, który zajmuje się naszymi serwerami / siecią nagle przestanie być dostępny?