Мені справді потрібен MS Active Directory? [зачинено]

Я керую магазином із близько 30 машин та 2 термінальних серверів (одне виробництво, одне очікування). Чи слід реально розгорнути Active Directory у нашій мережі?

Чи є справді переваги, які могли б врівноважити існування іншого сервера AD? Наш сервер терміналів повинен працювати незалежно, без будь-яких інших сервісів на ньому, крім нашого корпоративного додатка.

Які чудові функції мені не вистачає, якщо я все одно запускатиму його без AD?

оновлення : але чи хтось із вас веде успішний магазин без реклами?

Для 30 машин? Це зовсім необов’язково.

Я управляю кількома великими локаціями (в середньому 30 ~ 125 систем / робочих станцій на місце розташування), що працюють без AD, використовуючи сценарії Samba та пакетні / автоматичні роботи. Вони працюють чудово, окрім того, як незвичайні оновлення програмного забезпечення порушують речі, без проблем.

Використання Active Directory приносить вашій мережі ряд переваг, які я можу придумати вгорі голови:

• Централізоване управління обліковими записами користувачів
• Централізоване управління політикою (групова політика)
• Краще управління безпекою
• Реплікація інформації між DC

Очевидно, ці переваги також приносять певні накладні витрати, і потрібна велика робота та час, щоб створити середовище AD, особливо якщо у вас вже є налаштування, проте переваги централізованого управління, яке приносить AD, на це, на мою думку, варті того .

Деякі відповіді "під'їзду" ...

1- Якщо ви використовуєте обмін для електронної пошти, тоді потрібно ввести AD. Ви, ймовірно, не використовуєте Exchange або ви це знаєте, але я включаю його для тих, хто може це розглянути.

2- AD керує системою «централізованої аутентифікації». Ви керуєте користувачами, групами та паролями в одному місці. Якщо у вас немає AD, вам, ймовірно, доведеться налаштувати користувачів окремо на кожному термінальному сервері або мати загального користувача на кожному для доступу та використання безпеки в додатку.

3- Якщо у вас є інші сервери Windows, AD дозволяє забезпечити пряме забезпечення ресурсів на цих серверах в одному місці (AD).

4- AD включає деякі інші сервіси (DNS, DHCP), якими інакше доводиться керувати окремо. Я підозрюю, що ви можете їх не використовувати, якщо єдині сервери Windows у вас є сервери терміналів.

5- Хоча це і не вимагається, є користь від наявності робочих станцій у домені. Це дозволяє отримати деякі (не всеохоплюючі) можливості єдиного входу, а також суттєвий контроль і управління робочими станціями за допомогою "групової політики".
-> Наприклад, через GP ви можете керувати налаштуваннями заставки, вимагаючи, щоб заставка блокувала робочу станцію через х хвилин та вимагала розблокувати пароль.

6- Ви можете бути хорошим кандидатом на сервер Microsoft Small Business Server, якщо вам потрібна електронна пошта, обмін файлами, віддалений доступ та розміщення веб-сторінок.

Я другий зауваження про наявність двох контролерів домену. Якщо у вас є тільки один постійний струм, і він виходить з ладу, ви справді болієте отримати доступ до речей. (Я вважаю) можливо, щоб сервери терміналів також були контролерами домену, хоча, я думаю, багато хто не рекомендуватиме це. У такій невеликій мережі, як ваша, навантаження постійного струму буде незначним, тому воно може працювати.

EDIT: у коментарі s.mihai запитав: "їхній інтерес змушує нас купувати все, що ми можемо. Але чи можу я бути в порядку без AD? Локальні рахунки, без обміну ....?"

Якби я був у вашому взутті, я використовував би проект TS як привід додати AD для переваг, особливо на робочих станціях. Але це здається, що ваш розум складений і ви хочете прикритись, так ось воно.

АБСОЛЮТНО ви можете бути в порядку без AD.

вгорі голови:

1. централізоване управління та аудит безпеки та аудиту
2. політика комп'ютерних груп централізована
3. розгортання програмного забезпечення (через GPO)

AD також необхідний для таких додатків, як обмін.

MS має для вас тему саме на цю тему.

AD має багато функцій, які можуть вам бути дуже корисними. Перший з них - централізована автентифікація. Усі облікові записи користувачів керуються в одному місці. Це означає, що ви можете використовувати свої облікові дані серед будь-яких машин у навколишньому середовищі.

Ще один пункт, який це дозволяє - це краща безпека для спільного використання ресурсів. Групи безпеки дуже корисні для орієнтації на доступ до таких ресурсів, як спільний доступ до файлів.

Групова політика дозволяє застосовувати налаштування на кількох машинах або користувачах. Це дозволить вам встановити різні політики для користувачів, які входять на сервери терміналів проти користувачів, які входять у свої робочі станції.

Якщо правильно налаштувати свої термінальні сервери та залежно від програм, централізована автентифікація, права доступу через Групи безпеки та політику GPO дозволять вам використовувати обидва сервери терміналів у більш кластерному стилі, ніж у поточній установці, де один не працює час це дозволить вам розширити масштаб до більшості термінальних серверів (стиль N + 1), оскільки потреба в ресурсах зростає.

Мінусом є те, що ви думаєте лише про 1 контролер домену. Настійно рекомендую 2. Це гарантує, що у вас немає жодної точки збою для вашого домену Active Directory.

Як згадується в кількох коментарях. Вартість, ймовірно, тут буде важливим фактором. Якщо оригінальний запитувач має повністю працюючу установку, можливо, його бюджет не зможе залучити апаратне та програмне забезпечення, необхідне для створення середовища домену Active Directory без обґрунтованого випадку для виправдання витрат. Якщо все працює, AD, звичайно, не є необхідним для роботи середовища. Ті з нас, хто раніше використовував їх у корпоративних середовищах, проте є дуже сильними прихильниками. Це багато в чому пов'язано з тим, що це робить роботу адміністраторів набагато простішою в довгостроковій перспективі.

Нещодавно я переїхав у (порівняно великий / успішний) магазин без MS AD. Звичайно, ви пропускаєте службу Microsoft / Windows Single Sign On, але для цього є інші рішення, такі як проксі-аутентифікація (SiteMinder, webseal тощо). Що стосується централізованого управління користувачами, будь-який LDAP (або SiteMinder) також може бути варіантом.

Так що так, ви можете бути успішним магазином без (MS) AD, вам просто потрібно знайти альтернативу.

Я думаю, що головне питання - чому б і ні?

Ви залишаєте облікові записи користувачів окремо для безпеки? Чи користувачі кожної машини використовують лише цю машину?

Якщо однакові користувачі повинні використовувати всі машини, AD надасть їм ці переваги: ​​Якщо увійти в домен, їм довіряють у всіх місцях, яким вони довіряють. Якщо вони змінюють свій пароль, він скрізь однаковий; їм не потрібно пам’ятати, щоб змінити його на всіх 10 машинах (або ще гірше забути його, і вам потрібно скидати його на них, через кожний другий тиждень).

Для вас це дає перевагу центрального / глобального контролю дозволів. Якщо у вас є папки, які мають спеціальні дозволи для груп, і нова людина наймається, ви просто додасте їх до групи і виконано. не потрібно приєднуватись до кожної машини та створювати одного і того ж користувача знову і знову та встановлювати дозволи.

Також машина кожного користувача буде в домені, тому вона може контролюватися доменом.

Я вважаю, що найбільшою перевагою є те, що вони ввійшли в домен, щоб надіслати політику на свій ПК, яка може захистити безпеку всієї мережі.

За словами, мій офіс невеликий (близько 15), і у нас немає офіційного відділу ІТ. Таким чином, ми (понад) використовуємо MS Groove як нашу інфраструктуру, і насправді немає AD або будь-яких центральних серверів; Ми базуємось на ноутбуці.

На мою думку, одна з найбільших - це одномовна реєстрація. Хоча це звучить так, що ваші кінцеві користувачі, мабуть, не помічають, але це, безумовно, приємна річ з точки зору адміністратора. У вас є лише один пароль, який слід відслідковувати, а коли мова йде про його зміну, вам потрібно зробити це лише одне місце, а не 32. Є багато речей, які ви можете зробити для управління своїм оточенням, якщо не боїтесь сценаріїв .

Перевага вищезгаданого AD - це очевидно вартість.

Переваги AD зменшуються до двох факторів, якщо ви їх не хвилюєте, відповідь - «Ні».

• Централізоване управління: користувачами, комп'ютерними обліковими записами, партіями, автоматичними оновленнями, розгортанням програмного забезпечення, груповою політикою тощо (щоб я не спрощував це, будьте впевнені, що ви розумієте наслідки "мислення малого" в основних питаннях. Єдиний приклад: 30 статичних IP-адрес є ретельним. Як приблизно 100? 256?)
• Фундамент розширення: 2 контролери AD здаються надмірними (хоча все ще необхідними) для мережі з 30, але вони достатньо для 1000-1500 користувачів, я вважаю? Налаштуйте правильно, AD не потрібно змінювати, поки ви не набудете значно більших розмірів.

Я думаю, що найкраща порада - ознайомитись із активним тегом каталогів тут на SF, коли він заповнюється - щоб побачити, чи зможете ви помітити достатньо функцій (наприклад, Hyper V з сервером 2008 року), які допоможуть вашому магазину зробити покупку вартістю.

Всі хороші відповіді тут. Я покладу великі пальці за те, що також є два контролери домену. У невеликій обстановці навіть поставити їх обох, як VM, на одне обладнання - добре. Хтось, можливо, може прислухатися до цього більш авторитетно, але якщо ви використовуєте MS Hyper-V (сервер 2K8) в якості хоста, можливо, у вас є деякі переваги щодо ліцензування ОС?

Встановлення єдиного входу (SSO) / уніфікована автентифікація дозволить вам заощадити стільки роботи над створенням облікових записів та встановленням дозволів на папки в усьому світі. Звичайно, встановлення AD на місці та додавання систем та користувачів до домену потребує певних зусиль.

Джефф

Вам потрібна централізована автентифікація та управління, якщо ви взагалі маєте намір розвивати це середовище. Навіть якщо ви не збираєтеся розвивати навколишнє середовище, ви побачите в режимі щоденного режиму економію в реальному часі, впровадивши централізовану автентифікацію та авторизацію вже зараз.

Якщо це середовище Windows, AD - це просте, але дороге виправлення. Якщо вагомою точкою для AD є вартість, тоді реалізуйте Samba.

Спочатку буде здаватися складніше, але ти звикнеш до інструментів, і ти озиратимешся і дивуєшся, як тобі було не зовсім очевидно, що тобі потрібно це зробити.

Вам НЕ потрібен AD. *

Велика юридична фірма. Ми складаємо від ~ 103 до ~ 117 користувачів, за 4 останніх роки працювали 4 сайти в 3 штатах, із обігом стажистів та службовців. Ми працюємо на всій фірмі з 1 серверною коробкою для доміно / нотаток та бухгалтерського обліку, парою виділених серверів w2k8 для спеціального програмного забезпечення, приблизно 5 або 6 виділених загальних вікон вікон для різних додатків та ... 2 ящики linux для всіх потреб файлового сервера та резервна копія, плюс 3-е поле для брандмауера. Все це працює як заєць енергетизатора, і у нас не було багато проблем з постачальниками або програмним забезпеченням.

• але ви все одно можете отримати його Корпорація Майкрософт має намір приєднатись до колективу, і окрім того, як взагалі переходити з Windows, вам майже судилося в кінцевому рахунку закінчитися з AD.

Причини використання Active Directory

1. Захищена група безпеки користувачів
2. Централізоване управління обліковими записами користувачів
3. Централізоване управління політикою через об'єкти групової політики
4. Додаткові керовані послуги
5. Краще управління безпекою
6. Реплікація профілю
7. Політика аутентифікації
8. AD сміттєвий кошик
9. Активація ліцензійної ліцензії
10. Патч-розподіл
11. Веб-сервіси AD
12. Скидання пароля
13. Один знак увімкнено
14. Двофакторна аутентифікація
15. Консолідація каталогів
16. Розділи каталогів додатків
17. Універсальне кешування групою
18. Вхід у гібридний профіль
19. Масштабованість без складності
20. Потужне середовище розвитку
21. Дублювання сесій

Я успішно запустив систему без Active Directory; однак потрібно компенсувати вимоги за допомогою альтернативних інструментів. Я перейшов до AD біля 150 користувачів у трьох різних організаціях.