Das kann man so nicht stehen lassen. Ein AD kann selbstverstaendlich auch eingesetzt werden, wenn die private Nutzung nicht verboten ist und hat damit auch nichts im geringsten zu tun. Die private Nutztung wird ausgeschlossen, wenn im Spam und Abwehverhalten grosszuegige Eingriffe vollzogen werden. Aber auch das muss nicht sein. Ich kenne dutzende Szenarien mit funktionierenden Quarantaene und Spam Filter, die DSGVO konform und eine private Nutzung erlaubt. Man muss halt dan nur etwas aufpassen. Ueber rechtskonforme E-Mail archivierung brauchen wir erst gar nicht anfangen.
Hier sind wir beide nicht auseinander, nur wurde weiter oben eben diskutiert, das der AD nur dann das rundum-sorglos-Paket für die Admins ist, wenn man die private Nutzung verbietet. Und meine Antwort darauf ist, daß ich auch unter diesem Gesichtspunkten eben keinen ADDC will.
Die Clients nun alle mit Home auszustatten ist legitim, wenn man auf einen AD verzichtet. Bei kleinen Netzwerken spricht auch gar nichts dagegen. Dann faellt halt RDP und Co weg, kann aber durch z.B. Anydesk wunderbar kompensiert werden. Einzig die Benutzerverwaltung und das daraus resultierende Management by Turnschuh wird dann irgendwann zu Zeitfresser. Patch Management? Wie werden die Programme aktuell gehalten? Benutzer haben eigene Kennwoerter? Was ist wenn die geaendert werden, zieht der File Server nach? Netzlaufwerke sind manuell zu hinterlegen. Rechner gehen kaputt und dann werden Profile neu von Hand angelegt. Wie gesagt, alles in Ordnung in kleineren Netzwerken.
Weiter oben habe ich argumentiert, daß die Benutzerverwaltung das nicht werden muß, wenn man serverseitig ein Single-Sign-On für alle bereitgestellten Services einrichtet, aber die Clients
nicht darin einbezieht. Um ehrlich zu sein, war es für mich nämlich schon immer ein Graus, daß sich die Windows-Clients einfach so mal überall anmelden wozu ihr Passwort passt. Wie sonst kann es passieren, daß auf einmal die komplette Datei-Hierarchie auf einem File-Server kryptographiert ist?
Patchmanagement? bei Windows-Home kann man sowie kaum was machen. Programme aktuell halten hängt ferner davon ab, woher die kommen. Alle Clients haben Office 365 und die Aktualisierung geht automatisch. Manche haben einen CRM-Client, der für unsere Branche von einem Drittanbieter programmiert und auch betreut wird - das DB-Backend läuft auf dem FreeBSD-Server.
Ich habe mich bewußt entschieden, daß die Clients ein beliebiges Passwort haben, von mir aus auch gar keins, und die Anmeldung am Server erfolgt über „Netzlaufwerk verbinden“ und die sog. „Verbindung mit anderen Anmeldeinformationen“. Diese Anmeldeinformationen habe ich generiert und die wurden/werden auf geeignetem Weg mitgeteilt (ein Anruf genügt).
Auf dem Desktop wird ein Schortcut hinterlegt. Funktioniert fast wunderbar (wie bei Windows üblich funktioniert alles immer nur fast richtig). Ich würde jetzt nur noch gerne das Häckchensetzen bei automatische Anmeldung unterbinden, aber das ist bei Windows wohl nicht vorgesehen. Ferner hat Windows auch noch 'ne Macke, denn wenn man auf einen solchen noch nicht-angemeldeten Shortcut doppelklickt, dann kommt der Anmeldedialog, und die Anmeldung geht auch, aber Windows will dann trotzdem den Shortcut löschen - man muß dann „Nein“ sagen und doppelklickt dann ein zweites Mal darauf um das Netzlaufwerk zu öffnen. Jedenfalls sind die UNIX-Schreibrechte auf dem Server mit sehr viel Bedacht auf das nötigste eingeschränkt. Wenn sich ein User einen Kryptotrojaner einfängt, und möglicherweise mit seinem Netzlaufwerk verbunden ist, dann ist der Schaden beschränkt auf sein Home-Verzeichnis und auf die darin verlinkten Unterverzeichnisse, auf die sinnvollerweise Schreibberechtigungen eingeräumt wurden. Mit meiner Hard-Link-Clone-Technik lässt sich aber auch so ein Schaden im Handumdrehen weitestgehend beheben.
Neue User bekommen einen frisch-eingerichteten Rechner mit einem Standard-Standarduser-Profil - man beachte den doppelten Standard, nämlich wenn man daran nicht ständig rumfummelt, dann hält sich der Aufwand auch in Grenzen. Das Standard-Standarduser-Profil gibt es natürlich auch im Restaurierungsfall - in vielen Fällen kann man aber auch die Daten vom Startlaufwerk retten und auf den neuen Rechner clonen. So oder so kommt das aber auch nicht so häufig vor.