Чи має сенс використовувати Windows Active Directory у невеликій групі, яка говорить менше шести користувачів / комп'ютерів?

Для (дуже) невеликої компанії використання сервера Windows з AD було б надмірним - чому б не просто використовувати його як файл / сервер друку, сервер адміністрування, з якого для доступу до всіх машин у мережі через віддалений робочий стіл для цілей адміністрування? Також для збереження зображень на диску всіх ПК у мережі ...

У цій невеликій компанії є три основні працівники офісу, кілька службовців (десяток) з, можливо, дюжиною комп'ютерів, розсіяних навколо. Три основні працівники керують бізнесом і можуть використовувати хорошу спільну систему подачі документів з авторизаціями (лише для читання тощо). Є другий рівень, можливо, чотирьох співробітників, які користуються парою веб-сервісів і проводять деякі дослідження в Інтернеті. Решта використовують лише конкретні веб-сайти (доступ обмежений K9 ).

У деяких додатках працює спеціалізована машина Windows XP, яка запускає додаток (один клієнт одночасно) для управління безпекою (двері тощо)

Зараз вони досить добре працюють із простою робочою групою та однією робочою станцією Windows 7, яка виконує функції дитячого файлового сервера.

Я не бачу, щоб Active Directory (AD) додав складності. Швидше, я вважаю це полегшенням адміністрування. Я вважаю, що функціонал, який він дозволяє в клієнтській ОС, є основним інструментом для забезпечення плавного зростання та заміни комп'ютерів у майбутньому.

З точки зору вартості, існують дуже низькі за ціною версії Windows Server (2012 р. Нинішня R2 Essentials заповнює цю нішу), які приносять багато приємних інструментів для роботи в невеликих мережах за не багато грошей. У невеликих середовищах вам також не доведеться возитися з W / CAL.

Якщо говорити про це в «більшій картині», де Active Directory є лише частиною набору функцій, який може надавати спеціалізований серверний комп'ютер та серверну ОС, я бачу багато переваг.

• Active Directory надає вам можливість одноразового входу, групову політику та можливість створювати схеми авторизації за допомогою груп безпеки, які легко перевершать плинність співробітників. Зокрема, у малому бізнесі хороша стратегія дозволів, що обертається навколо груп AD, призначених для ролей співробітників, дозволила мені легко впоратися із ситуаціями типу "Боб зараз виконує роботу Джона" (які, здається, з'являються частіше у малому бізнесі, ніж у великому, в моєму досвід) дуже легко.

• Мати WSUS - це чудово. О, хлопче, мені подобається мати WSUS.

• Я згадав групову політику? Перенаправлення папок? Профілі користувачів роумінгу? О, як я люблю клієнтські комп'ютери без громадянства (або майже так), і легкість, з якою я можу перезавантажити несправний ПК або замінити комп'ютер. Наявність користувачів, які можуть увійти на будь-який клієнтський ПК та мати основні функціональні можливості (непридатні додатки на стороні клієнта), перетворює "надзвичайні ситуації" на щоденні службові дзвінки.

• Мені подобається мати "справжній" сервер для обробки протоколів інфраструктури, таких як DHCP і DNS (порівняно з деякими химерними іграшковими "серверами", вбудованими в Wi-Fi-роутер звичайного споживача тощо).

• Аудит безпеки набагато, набагато простіше в умовах, де є централізована аутентифікація та авторизація.

• Я трохи прихильний до функцій резервного копіювання ПК в Windows Server 2012 Essentials для дуже маленьких клієнтів, де в іншому випадку їх отримання навесні на кілька запасних ПК, які будуть використані в "гарячому столі", у випадку відмови ПК занадто багато за них витратити. Це свого роду гакет, і я б вважав за краще взагалі нічого не створювати резервні копії на клієнтських комп’ютерах, але економити час у невеликих магазинах, де стандартизація клієнтських комп'ютерів відсутня, важко сперечатися.

• Бізнес може отримати цінність з інших пакетних програм, які може розміщувати сервер, наприклад, SharePoint.

• Пропонуйте користувачам віддалений доступ через послуги маршрутизації та віддаленого доступу або шлюз віддаленого робочого столу.

Мені подобається мати локальний Windows Server з Active Directory у середовищах, де є клієнтські комп'ютери Windows. Це полегшує моє життя і, в кінцевому рахунку, коштує моєму Клієнту менше грошей, з часом, ніж намагатися "погоняти котів", керуючи флотом ПК, що не приєдналися до домену.

Це має сенс, якщо у вас є бізнес-кейс для цього. Подумайте, що вам надає Active Directory:

• Централізоване управління обліковими записами користувачів та машин
• Централізований контроль доступу за допомогою груп безпеки Active Directory
• Централізоване управління конфігурацією з об’єктами групової політики
• Централізований DNS для вашого офісу

Ви можете обійтись без цього? Так, і багато невеликих офісів (і навіть деякі більші) справляються непогано без Active Directory, але якщо ви починаєте виявляти, що все більше і більше вашого часу займають такі речі, як перезавантаження чийогось локального акаунта на всіх десятках комп'ютерів, варто серйозно задуматися про Active Довідник. Microsoft робить версії для малого бізнесу своїх операційних систем Windows Server, які доставляють Active Directory та багато інших сервісів до цього середовища за розумну ціну.

Якщо ліцензії на Windows Server занадто багато, але у вас апаратне обладнання, ви також можете поглянути на використання Samba 4 на щось на зразок CentOS. Налаштування є більш лінійним, але день у день - це Windows RSAT, тому ви робите це зі свого робочого столу Windows, як і у Windows Server, без ліцензійних витрат. Samba також є сервером файлів, який не має клієнтських лімітів одночасного підключення.

Чи знайомі ви з Windows Server або Linux + Samba? Однією з можливостей є те, що якщо ви не знайомі з Linux, це ви можете сприймати це як потенційний досвід професійного зростання / навчання за межами MS.

Починати з нуля з будь-якого насправді не важко.

Це дійсно залежить. Ви хочете централізоване управління користувачами, інформаційні ресурси (принтери, сканери тощо), легкі оновлення, можливість застосовувати групову політику тощо? Чи взагалі чутлива інформація?

Ландшафт сильно змінився. Точка вхідної ціни впала, але доступно більше варіантів, як при завантаженні їх у хмару. Я вважаю, що місцевий екземпляр AD з розміщеним Office365 Pro Plus є дуже гарним середовищем.

Можливо, ви навіть можете взяти в оренду частину офісної роботи в Azure (якщо припустити, що у вас надлишковий і хороший Інтернет з уявленням про те, скільки даних протікає через ваші труби). Їх угода про рівень обслуговування (SLA), ймовірно, буде вищою за ваш внутрішній, якщо ви не заплатите за співробітника чи підрядника.

Я думаю, що пропозиція jmp242 - це найкращий спосіб як мінімум отримати огляд можливих варіантів. Замість того, щоб визначити, чи Windows' Active Directoryта / або Domain Controllerпослуги - це набір рішень, який буде відповідати вашим потребам, я пропоную розібратися в тому, що можуть запропонувати вам фактичні послуги.

Я сам знаю Linux, тому я зараз досліджую використання Samba для налаштування Служб каталогів (в даний час я схиляюся до OpenLDAP).

Наразі компанія, в якій працюю, наразі складає лише 8 кадрів, що, на мою думку, входило б у категорію "малої групи". Налаштування централізованої системи управління - це надійний спосіб гарантувати, що незалежно від того, наскільки велика компанія зростає, у вас завжди буде простий спосіб управління автентифікацією, привілеями, фізичними ресурсами та звітуванням.

Домен Windows - це найпростіший спосіб управління комп'ютерами Windows. Щоб заощадити гроші на апаратних та ліцензійних ліцензіях та щоб отримати можливість зміни ресурсів нашого сервера, ми розміщуємо всі домени наших клієнтів на сервері AWS Windows, тоді ми використовуємо TrueStack Direct Connect для підключення та управління комп'ютерами. Таким чином, нам не потрібно підтримувати сервери в центрі обробки даних, VPN з сайту на сайт або на локальних серверах.

Я б більше не купував новий контролер домену для підключення. Занадто дорого і занадто складно в обслуговуванні, але мені все одно подобається AD та групова політика. набагато простіше розмістити його на AWS.