Czy naprawdę potrzebuję MS Active Directory? [Zamknięte]

Zarządzam sklepem obejmującym około 30 maszyn i 2 serwery terminali (jedna produkcja, jeden tryb gotowości). Czy naprawdę powinienem wdrożyć usługę Active Directory w naszej sieci?

Czy są jakieś korzyści, które mogłyby zrównoważyć istnienie innego serwera AD? Nasz serwer terminali ma działać niezależnie, bez żadnych innych usług, z wyjątkiem naszej aplikacji korporacyjnej.

Jakich wspaniałych funkcji brakuje mi, jeśli nadal będę je uruchamiać bez reklam?

aktualizacja : ale czy ktoś z was prowadzi udany sklep bez reklam?

Na 30 maszyn? Jest to całkowicie opcjonalne.

Zarządzam kilkoma dużymi lokalizacjami (średnio 30 ~ 125 systemów / stacji roboczych na lokalizację) działającymi bez AD przy użyciu skryptów Samba i batch / autoit. Działają dobrze, a oprócz dziwnych aktualizacji oprogramowania, które psują rzeczy, były bezproblemowe.

Korzystanie z usługi Active Directory zapewnia wiele korzyści dla sieci, z których kilka mogę wymyślić z góry:

• Scentralizowane zarządzanie kontami użytkowników
• Scentralizowane zarządzanie zasadami (zasady grupy)
• Lepsze zarządzanie bezpieczeństwem
• Replikacja informacji między DC

Oczywiście te korzyści również przynoszą pewne koszty, a konfiguracja środowiska AD wymaga dużo pracy i czasu, zwłaszcza jeśli masz już istniejącą konfigurację, jednak moim zdaniem korzyści z centralnego zarządzania, które przynosi AD, są tego warte. .

Niektóre odpowiedzi „drive-by” ...

1- Jeśli korzystasz z Exchange dla poczty e-mail, wymagane jest AD. Prawdopodobnie nie korzystasz z Exchange lub wiesz o tym, ale dołączam to dla tych, którzy mogą to rozważać.

2- AD zarządza systemem „scentralizowanego uwierzytelniania”. Kontrolujesz użytkowników, grupy i hasła w jednym miejscu. Jeśli nie masz AD, prawdopodobnie będziesz musiał skonfigurować użytkowników osobno na każdym serwerze terminali lub mieć zwykłego użytkownika na każdym w celu uzyskania dostępu i korzystania z zabezpieczeń w aplikacji.

3- Jeśli masz inne serwery Windows, AD pozwala na proste zabezpieczenie zasobów na tych serwerach w jednym miejscu (AD).

4- AD obejmuje niektóre inne usługi (DNS, DHCP), które w innym przypadku muszą być zarządzane osobno. Podejrzewam, że możesz ich nie używać, jeśli jedynymi serwerami Windows, które posiadasz, są serwery terminali.

5- Chociaż nie jest to wymagane, stacje robocze w domenie są korzystne. Pozwala to na niektóre (niepełne) funkcje pojedynczego logowania, a także znaczącą kontrolę i zarządzanie stacjami roboczymi poprzez „zasady grupy”.
-> Na przykład, poprzez GP możesz kontrolować ustawienia wygaszacza ekranu, wymagając, aby wygaszacz ekranu blokował stację roboczą po x minutach i wymagając hasła do odblokowania.

6- Możesz być dobrym kandydatem na Microsoft Small Business Server, jeśli potrzebujesz poczty e-mail, udostępniania plików, zdalnego dostępu i udostępniania stron internetowych.

Popieram notatkę o posiadaniu dwóch kontrolerów domeny. Jeśli masz tylko jedno DC, a to się nie powiedzie, czeka cię prawdziwy ból, gdy dostajesz dostęp do rzeczy. Sądzę, że serwery terminali mogą być także kontrolerami domen, ale podejrzewam, że wielu nie będzie tego polecać. W małej sieci, takiej jak Twoja, obciążenie DC będzie nieznaczne, więc może działać.

EDYCJA: w komentarzu s.mihai zapytał: „w ich interesie jest zmusić nas do zakupu wszystkiego, co możemy. Ale czy mogę być w porządku bez AD? Kont lokalnych, bez wymiany ....?!”

Gdybym był w twoich butach, użyłbym projektu TS jako wymówki, aby dodać AD do korzyści, szczególnie na stacjach roboczych. Ale wygląda na to, że masz już umysł i chcesz się ukryć, więc oto jest.

ABSOLUTNIE możesz być w porządku bez reklam.

z czubka mojej głowy:

1. scentralizowane zarządzanie użytkownikami i bezpieczeństwem oraz audyt
2. scentralizowane zasady grupy komputerów
3. wdrożenie oprogramowania (przez GPO)

AD jest również wymagany w przypadku aplikacji takich jak wymiana.

MS ma dokument dla Ciebie na ten temat.

AD ma wiele funkcji, które mogą okazać się bardzo przydatne. Pierwszym z nich jest scentralizowane uwierzytelnianie. Wszystkie konta użytkowników są zarządzane w jednym miejscu. Oznacza to, że możesz używać swoich poświadczeń na dowolnym komputerze w środowisku.

Kolejnym elementem, który pozwala na to, jest większe bezpieczeństwo udostępniania zasobów. Grupy zabezpieczeń są bardzo przydatne do ukierunkowania dostępu do zasobów, takich jak udziały plików.

Zasady grupy pozwalają egzekwować ustawienia na wielu komputerach lub użytkownikach. Umożliwiłoby to ustawienie różnych zasad dla użytkowników logujących się na serwerach terminali i użytkowników logujących się na swoich stacjach roboczych.

Jeśli odpowiednio skonfigurujesz serwery terminali i, w zależności od aplikacji, scentralizowane uwierzytelnianie, prawa dostępu za pośrednictwem grup zabezpieczeń i zasad GPO pozwoliłyby na korzystanie z obu serwerów terminali w bardziej klastrowym stylu niż w obecnej konfiguracji, w której jeden jest bezczynny czas ten pozwoli na skalowanie do większej liczby serwerów terminali (styl N + 1) wraz ze wzrostem zapotrzebowania na zasoby.

Minusem jest to, że myślisz tylko o 1 kontrolerze domeny. Zdecydowanie polecam 2. To gwarantuje, że nie masz ani jednego punktu awarii dla domeny Active Directory.

Jak wspomniano w kilku komentarzach. Istotnym czynnikiem mogą być tutaj koszty. Jeśli pierwotny pytający ma w pełni działającą konfigurację, może być poza jego budżetem na wprowadzenie sprzętu i oprogramowania wymaganego do utrzymania środowiska domeny Active Directory bez przytłaczającej sprawy uzasadniającej koszty. Jeśli wszystko działa, AD z pewnością nie jest wymagane do działania środowiska. Jednak ci z nas, którzy używali go w przeszłości w środowisku korporacyjnym, są bardzo silnymi zwolennikami. Wynika to głównie z faktu, że znacznie ułatwia pracę Administratorów na dłuższą metę.

Niedawno przeprowadziłem się do (stosunkowo dużego / odnoszącego sukcesy) sklepu bez MS AD. Jasne, że brakuje Ci jednokrotnego logowania w systemie Microsoft / Windows, ale istnieją na to inne rozwiązania, takie jak serwery proxy uwierzytelniania (SiteMinder, webseal itp.). W przypadku scentralizowanego zarządzania użytkownikami opcjonalnym może być również dowolny LDAP (lub SiteMinder).

Tak, możesz odnieść sukces bez sklepu (MS), po prostu musisz znaleźć alternatywę.

Myślę, że większe pytanie brzmi: dlaczego nie?

Czy dla bezpieczeństwa pozostawiasz osobne konta użytkowników? Czy użytkownicy każdej maszyny korzystają tylko z tej maszyny?

Jeśli ci sami użytkownicy będą musieli korzystać ze wszystkich maszyn, AD zapewni im następujące korzyści: Jeśli logują się do domeny, są zaufani we wszystkich miejscach, w których są zaufani. Jeśli zmienią hasło, wszędzie będzie takie samo; nie muszą pamiętać, aby go zmienić na wszystkich 10 komputerach (lub, co gorsza, zapomnieć o tym i trzeba go dla nich resetować co drugi tydzień).

Dla Ciebie daje to korzyść z centralnej / globalnej kontroli uprawnień. Jeśli masz foldery, które mają specjalne uprawnienia dla grup i zatrudniona jest nowa osoba, po prostu dodaj je do grupy i gotowe. nie musisz dołączać się do każdej maszyny i ciągle tworzyć tego samego użytkownika i ustawiać uprawnienia.

Również komputer każdego użytkownika będzie w domenie, więc może być kontrolowany przez domenę.

Myślę, że największą korzyścią są GPO, gdy logują się do domeny, aby wysyłać polityki na swój komputer, które mogą chronić bezpieczeństwo całej sieci.

Biorąc to pod uwagę, moje biuro jest małe (około 15) i nie mamy oficjalnego działu IT. Tak więc (nad) używamy MS Groove jako naszej infrastruktury i tak naprawdę nie mamy AD ani żadnych serwerów centralnych; Jesteśmy laptopem.

Moim zdaniem jednym z największych jest logowanie jednokrotne. Chociaż brzmi to tak, jakby użytkownicy końcowi prawdopodobnie tego nie zauważyli, z pewnością jest to miła rzecz z punktu widzenia administratora. Masz tylko jedno hasło do zapamiętania, a jeśli chodzi o jego zmianę, musisz zrobić to tylko jedno miejsce, a nie 32. Istnieje wiele rzeczy, które możesz zrobić, aby zarządzać środowiskiem, jeśli nie boisz się skryptów .

Zaletą powyższego AD jest oczywiście koszt.

Korzyści AD sprowadzają się do 2 czynników, jeśli nie przejmujesz się nimi, odpowiedź brzmi „Nie”.

• Scentralizowane zarządzanie: użytkownikami, kontami komputerowymi, partiami, automatycznymi aktualizacjami, wdrażaniem oprogramowania, polityką grupy itp. (Aby nie uprościć tego, upewnij się, że rozumiesz skutki „małego myślenia” w podstawowych kwestiach. Jeden przykład: 30 statycznych adresów IP jest łatwa w utrzymaniu. A może 100? 256?)
• Podstawa rozbudowy: 2 kontrolery AD wydają się nadmierne (choć nadal konieczne) dla sieci 30, ale są wystarczające dla 1000-1500 użytkowników, wierzę? Prawidłowo skonfigurowane AD nie musi być zmieniane, dopóki nie staniesz się znacznie większy.

Myślę, że najlepszą radą jest przejrzenie tagu Active Directory tutaj na SF, gdy się wypełnia - aby sprawdzić, czy można dostrzec wystarczającą liczbę funkcji (np. Hyper V z serwerem 2008), które przyniosą korzyści Twojemu sklepowi, aby zakup był opłacalny.

Wszystkie dobre odpowiedzi tutaj. Podniosę aprobatę za posiadanie dwóch kontrolerów domeny. W małym środowisku nawet umieszczenie obu maszyn wirtualnych na tym samym sprzęcie byłoby - OK. Ktoś prawdopodobnie może włączyć się do tego w bardziej autorytatywny sposób, ale jeśli używasz MS Hyper-V (serwer 2K8) jako hosta, możesz mieć pewne korzyści z licencjonowania systemu operacyjnego?

Posiadanie pojedynczego logowania (SSO) / ujednoliconego uwierzytelnienia pozwoli Ci zaoszczędzić tyle pracy przy tworzeniu kont i ustawianiu uprawnień do folderów w dowolnym miejscu. Oczywiście wdrożenie AD i dodanie systemów i użytkowników do domeny będzie wymagało pewnego wysiłku.

Jeff

Potrzebujesz scentralizowanego uwierzytelniania i zarządzania, jeśli w ogóle zamierzasz rozwijać to środowisko. Nawet jeśli nie zamierzasz rozwijać środowiska, zobaczysz oszczędności w czasie rzeczywistym w codziennej pracy dzięki wdrożeniu scentralizowanego uwierzytelniania i autoryzacji.

Jeśli jest to środowisko Windows, AD to łatwa, ale kosztowna poprawka. Jeśli koszt jest punktem krytycznym dla AD, należy wdrożyć Sambę.

Na początku będzie to wydawać się trudniejsze, ale przyzwyczaisz się do narzędzi i spojrzysz wstecz i zastanawiasz się, jak nie było dla ciebie zupełnie oczywiste, że musisz to zrobić.

NIE potrzebujesz reklamy. *

Duża kancelaria. Mieliśmy od ~ 103 do ~ 117 użytkowników, z 4 witrynami w 3 stanach przez ostatnie 2 lata, z obrotem stażystów i urzędników. Prowadzimy całą firmę z 1 serwerem dla domino / notatek i księgowości, kilkoma dedykowanymi serwerami w2k8 dla specjalistycznego oprogramowania, około 5 lub 6 dedykowanymi ogólnymi skrzynkami Windows dla różnych aplikacji i ... 2 skrzynkami Linux dla wszystkich potrzeb serwera plików i kopia zapasowa oraz trzecie okno zapory ogniowej. Wszystko działa jak królik energetyzujący i nie mieliśmy wielu problemów ze sprzedawcami lub oprogramowaniem.

• ale i tak możesz to zdobyć. Microsoft zamierza dołączyć do kolektywu, a poza całkowitą migracją z systemu Windows, na dłuższą metę nie będzie już AD.

Powody korzystania z usługi Active Directory

1. Grupa bezpieczeństwa chronionego użytkownika
2. Scentralizowane zarządzanie kontami użytkowników
3. Scentralizowane zarządzanie zasadami za pomocą obiektów zasad grupy
4. Dodatkowe usługi zarządzane
5. Lepsze zarządzanie bezpieczeństwem
6. Replikacja profilu
7. Zasady uwierzytelniania
8. Kosz na śmieci AD
9. Aktywacja CAL
10. Dystrybucja łatek
11. Usługi sieciowe AD
12. Resetowania hasła
13. Pojedyncze logowanie
14. Uwierzytelnianie dwuskładnikowe
15. Konsolidacja katalogów
16. Partycje katalogu aplikacji
17. Uniwersalne buforowanie grup
18. Logowanie do profilu hybrydowego
19. Skalowalność bez złożoności
20. Potężne środowisko programistyczne
21. Duplikacje sesji

Udało mi się uruchomić system bez Active Directory; trzeba jednak zrekompensować te wymagania za pomocą alternatywnych narzędzi. Przełączyłem się na AD u około 150 użytkowników w trzech różnych organizacjach.