Czy naprawdę potrzebuję MS Active Directory? [Zamknięte]

28

Zarządzam sklepem obejmującym około 30 maszyn i 2 serwery terminali (jedna produkcja, jeden tryb gotowości). Czy naprawdę powinienem wdrożyć usługę Active Directory w naszej sieci?

Czy są jakieś korzyści, które mogłyby zrównoważyć istnienie innego serwera AD? Nasz serwer terminali ma działać niezależnie, bez żadnych innych usług, z wyjątkiem naszej aplikacji korporacyjnej.

Jakich wspaniałych funkcji brakuje mi, jeśli nadal będę je uruchamiać bez reklam?

aktualizacja : ale czy ktoś z was prowadzi udany sklep bez reklam?

s.mihai
źródło
Jak radzisz sobie z pocztą e-mail i udostępnianiem plików?
tomjedrz
Poczta e-mail jest obsługiwana przez hostowane rozwiązanie poczty e-mail (hostowany jest również nasz serwer internetowy) POP i SMTP oraz dostęp za pomocą programu Outlook Express. Udostępnianie plików obsługiwane jest przez folder współdzielony na serwerze kopii zapasowych (jest to kopia zapasowa na gorąco, użytkownicy po prostu zmieniają adres IP serwera, a następnie łączą się z systemem tworzenia kopii zapasowych)
s.mihai
Jak wspomniano poniżej, czy naprawdę opłaca się mieć kolejne 2 serwery jako DC z dodatkowymi kosztami - sprzęt, licencje, moc ???
s.mihai
Jak radzić sobie z uprawnieniami użytkowników podczas udostępniania plików? masz 30 kont użytkowników w pudełku?
Nick Kavadias
6
Więc jeśli nowa osoba zaczyna lub ktoś rezygnuje, musisz ręcznie przejść przez wszystkie te maszyny i naprawić konta? A przynajmniej więcej niż w jednym miejscu?
Oskar Duveborn,

Odpowiedzi:

0

Na 30 maszyn? Jest to całkowicie opcjonalne.

Zarządzam kilkoma dużymi lokalizacjami (średnio 30 ~ 125 systemów / stacji roboczych na lokalizację) działającymi bez AD przy użyciu skryptów Samba i batch / autoit. Działają dobrze, a oprócz dziwnych aktualizacji oprogramowania, które psują rzeczy, były bezproblemowe.

wolter
źródło
3
Wow, ta odpowiedź bardzo się zmieniła w porównaniu do wersji ...
Chris S
@Chris S - heh, tak. Zauważyłem to również.
EEAA
1
Gdybym mógł usunąć komentarz, zrobiłbym to. Nie jestem wielkim fanem AD i używam go tylko w razie potrzeby. Sformułowanie pierwotnego pytania zostało ostatecznie zmienione, dzięki czemu moja odpowiedź (i inna) jest nie na temat i jeszcze gorzej, godna dużych negatywnych głosów od osób, które uważają AD za jedyne rozwiązanie; Dlatego wyciągnąłem nieistotne już alternatywy i retorykę. Nie jestem trollem; więc jeśli moje odpowiedzi są tak bezużyteczne, że uzasadniają oznaczenie jako błędne, należy je po prostu usunąć.
voltaire
Pierwotne pytanie brzmiało: czy naprawdę go potrzebuję?
voltaire
32

Korzystanie z usługi Active Directory zapewnia wiele korzyści dla sieci, z których kilka mogę wymyślić z góry:

  • Scentralizowane zarządzanie kontami użytkowników
  • Scentralizowane zarządzanie zasadami (zasady grupy)
  • Lepsze zarządzanie bezpieczeństwem
  • Replikacja informacji między DC

Oczywiście te korzyści również przynoszą pewne koszty, a konfiguracja środowiska AD wymaga dużo pracy i czasu, zwłaszcza jeśli masz już istniejącą konfigurację, jednak moim zdaniem korzyści z centralnego zarządzania, które przynosi AD, są tego warte. .

Sam Cogan
źródło
20

Niektóre odpowiedzi „drive-by” ...

1- Jeśli korzystasz z Exchange dla poczty e-mail, wymagane jest AD. Prawdopodobnie nie korzystasz z Exchange lub wiesz o tym, ale dołączam to dla tych, którzy mogą to rozważać.

2- AD zarządza systemem „scentralizowanego uwierzytelniania”. Kontrolujesz użytkowników, grupy i hasła w jednym miejscu. Jeśli nie masz AD, prawdopodobnie będziesz musiał skonfigurować użytkowników osobno na każdym serwerze terminali lub mieć zwykłego użytkownika na każdym w celu uzyskania dostępu i korzystania z zabezpieczeń w aplikacji.

3- Jeśli masz inne serwery Windows, AD pozwala na proste zabezpieczenie zasobów na tych serwerach w jednym miejscu (AD).

4- AD obejmuje niektóre inne usługi (DNS, DHCP), które w innym przypadku muszą być zarządzane osobno. Podejrzewam, że możesz ich nie używać, jeśli jedynymi serwerami Windows, które posiadasz, są serwery terminali.

5- Chociaż nie jest to wymagane, stacje robocze w domenie są korzystne. Pozwala to na niektóre (niepełne) funkcje pojedynczego logowania, a także znaczącą kontrolę i zarządzanie stacjami roboczymi poprzez „zasady grupy”.
-> Na przykład, poprzez GP możesz kontrolować ustawienia wygaszacza ekranu, wymagając, aby wygaszacz ekranu blokował stację roboczą po x minutach i wymagając hasła do odblokowania.

6- Możesz być dobrym kandydatem na Microsoft Small Business Server, jeśli potrzebujesz poczty e-mail, udostępniania plików, zdalnego dostępu i udostępniania stron internetowych.

Popieram notatkę o posiadaniu dwóch kontrolerów domeny. Jeśli masz tylko jedno DC, a to się nie powiedzie, czeka cię prawdziwy ból, gdy dostajesz dostęp do rzeczy. Sądzę, że serwery terminali mogą być także kontrolerami domen, ale podejrzewam, że wielu nie będzie tego polecać. W małej sieci, takiej jak Twoja, obciążenie DC będzie nieznaczne, więc może działać.


EDYCJA: w komentarzu s.mihai zapytał: „w ich interesie jest zmusić nas do zakupu wszystkiego, co możemy. Ale czy mogę być w porządku bez AD? Kont lokalnych, bez wymiany ....?!”

Gdybym był w twoich butach, użyłbym projektu TS jako wymówki, aby dodać AD do korzyści, szczególnie na stacjach roboczych. Ale wygląda na to, że masz już umysł i chcesz się ukryć, więc oto jest.

ABSOLUTNIE możesz być w porządku bez reklam.

tomjedrz
źródło
Tylko na miejscu. Posiadanie i utrzymywanie AD wymagałoby kolejnych 2 serwerów, ponieważ nie ma możliwości uruchomienia DC na naszym TS, kiedy ostatnio sprawdziłem ustawienie DC oznacza, że ​​komputer będzie działał wolniej, ze względu na wyłączenie buforowania, spowolnienie dostępu do dysku i kilka innych rzeczy, których nie rozumiałem (rozmawiałem o tym z twórcami naszej aplikacji korporacyjnej działającej na TS)
s.mihai
Jestem sceptyczny, chyba że sprzęt TS jest już słabo zasilony. Zapytam!
tomjedrz
nie, nie potrzebuję ochrony, zastanawiałem się tylko, czy to naprawdę było warte kosztów i robię bilans. nie chciałem iść z tym pomysłem: <i> „jeśli to działa, po co to zmieniać” </i>
s.mihai
2
Głosowano za ostateczne BOLD ASSERTION.
Joseph Kern
+1 do Josepha Kerna - Dzięki! To nie jest moja rekomendacja, ale zadziała.
tomjedrz
16

z czubka mojej głowy:

  1. scentralizowane zarządzanie użytkownikami i bezpieczeństwem oraz audyt
  2. scentralizowane zasady grupy komputerów
  3. wdrożenie oprogramowania (przez GPO)

AD jest również wymagany w przypadku aplikacji takich jak wymiana.

MS ma dokument dla Ciebie na ten temat.

Nick Kavadias
źródło
+1, dokładny duplikat mojej odpowiedzi.
squillman
2
wszyscy byliśmy indoktrynowani przez trening MS! dobrze zobaczyć
Nick Kavadias
w ich interesie jest, abyśmy kupowali wszystko, co mogli. ale czy mogę być w porządku bez reklam? lokalne konta, brak wymiany ....?!
s.mihai
1
Możesz żyć bez niego, ale czy chcesz? Brak tej opcji oznacza dla Ciebie więcej pracy zarządzania.
Wymagana byłaby
10

AD ma wiele funkcji, które mogą okazać się bardzo przydatne. Pierwszym z nich jest scentralizowane uwierzytelnianie. Wszystkie konta użytkowników są zarządzane w jednym miejscu. Oznacza to, że możesz używać swoich poświadczeń na dowolnym komputerze w środowisku.

Kolejnym elementem, który pozwala na to, jest większe bezpieczeństwo udostępniania zasobów. Grupy zabezpieczeń są bardzo przydatne do ukierunkowania dostępu do zasobów, takich jak udziały plików.

Zasady grupy pozwalają egzekwować ustawienia na wielu komputerach lub użytkownikach. Umożliwiłoby to ustawienie różnych zasad dla użytkowników logujących się na serwerach terminali i użytkowników logujących się na swoich stacjach roboczych.

Jeśli odpowiednio skonfigurujesz serwery terminali i, w zależności od aplikacji, scentralizowane uwierzytelnianie, prawa dostępu za pośrednictwem grup zabezpieczeń i zasad GPO pozwoliłyby na korzystanie z obu serwerów terminali w bardziej klastrowym stylu niż w obecnej konfiguracji, w której jeden jest bezczynny czas ten pozwoli na skalowanie do większej liczby serwerów terminali (styl N + 1) wraz ze wzrostem zapotrzebowania na zasoby.

Minusem jest to, że myślisz tylko o 1 kontrolerze domeny. Zdecydowanie polecam 2. To gwarantuje, że nie masz ani jednego punktu awarii dla domeny Active Directory.

Jak wspomniano w kilku komentarzach. Istotnym czynnikiem mogą być tutaj koszty. Jeśli pierwotny pytający ma w pełni działającą konfigurację, może być poza jego budżetem na wprowadzenie sprzętu i oprogramowania wymaganego do utrzymania środowiska domeny Active Directory bez przytłaczającej sprawy uzasadniającej koszty. Jeśli wszystko działa, AD z pewnością nie jest wymagane do działania środowiska. Jednak ci z nas, którzy używali go w przeszłości w środowisku korporacyjnym, są bardzo silnymi zwolennikami. Wynika to głównie z faktu, że znacznie ułatwia pracę Administratorów na dłuższą metę.

Kevin Colby
źródło
jak wspomniano w innym komentarzu, ustawienie 2 DC i kolejnych 2 serwerów nie uzasadniałoby pieniędzy wymaganych na licencje, sprzęt i moc potrzebną do uruchomienia tych 34/7
s.mihai
1
Jestem sceptyczny, że wymagany jest dodatkowy sprzęt.
tomjedrz
1
Koszt sprzętu i oprogramowania to z pewnością problem. Jednak nie może sprawić, aby jego serwery terminali działały jako kontrolery domeny, ponieważ użytkownicy spoza grupy Administratorzy domeny nie mają uprawnień do logowania się do kontrolera domeny. Byłby to poważny problem bezpieczeństwa, gdyby tak nie było. Możliwe jest przyznanie praw logowania na DC innym użytkownikom, ale z mojego doświadczenia nie jest to obsługiwane przez Microsoft.
Kevin Colby
Nawet Small Business Server korzysta z AD, a dla usług terminalowych od SBS2008 będzie teraz wymagał łącznie 2 serwerów. Mikrosofty przyjmują to do wiadomości, że nawet pojedynczy serwer z 5 użytkownikami korzysta z AD. Powiedziałbym, że skorzystałbyś z dowolnego globalnego katalogu nawet w swoim prywatnym domu - to po prostu NIE MUSI BYĆ AD, ale powiedziałbym, że powinieneś użyć NIEKTÓREJ globalnej katalogu, aby móc zarządzać użytkownikami i mieć wokół działająca ścieżka audytu. A jeśli już korzystasz z systemu Windows, AD wydaje się logiczne.
Oskar Duveborn
Nawet Foundation Server, który jest prawie darmowy, „wersja startowa” dla 15 użytkowników Windows Server używa AD - i jest to przeznaczone dla osób, które uważają, że SBS to za dużo.
Oskar Duveborn,
6

Niedawno przeprowadziłem się do (stosunkowo dużego / odnoszącego sukcesy) sklepu bez MS AD. Jasne, że brakuje Ci jednokrotnego logowania w systemie Microsoft / Windows, ale istnieją na to inne rozwiązania, takie jak serwery proxy uwierzytelniania (SiteMinder, webseal itp.). W przypadku scentralizowanego zarządzania użytkownikami opcjonalnym może być również dowolny LDAP (lub SiteMinder).

Tak, możesz odnieść sukces bez sklepu (MS), po prostu musisz znaleźć alternatywę.

kolonell
źródło
3
Jedyną realistyczną alternatywą dla MS AD jest prawdopodobnie Samba z OpenLDAP. Nadal nie sądzę, że możesz pokonać MS na ROI, nawet jeśli alternatywa open source jest darmowa. Niewidoma małpa może ustawić AD!
Nick Kavadias
6
Czy możesz zdefiniować „duży sklep”? Czy mówimy o systemach 100-1000? Bez GPO (przez AD) musisz mieć mnóstwo entropii (tj. Systemy o różnych konfiguracjach). Czy używasz obecnie czegoś do zastąpienia AD (innego niż smar łokciowy)? Szczerze mówiąc, podczas pracy w systemie Windows jestem zbyt leniwy, aby NIE uruchamiać AD ...
Joseph Kern
Dla mnie to brzmi jak ponowne wynalezienie roweru. Jakiej realnej alternatywy dla reklamy używasz?
Taras Chuhay
1
Wydaje mi się, że OP szukał kogoś, kto poparłby jego pogląd, że AD nie jest tak przydatne, jak wszyscy to brzmią. Naprawdę nie ma dojrzałego zamiennika „dużego sklepu”, choć myślę, że duży jest subiektywny.
MDMarra,
1
@Nick Kavadias: Kogo nazywasz ślepą małpą? ;)
GregD
6

Myślę, że większe pytanie brzmi: dlaczego nie?

Czy dla bezpieczeństwa pozostawiasz osobne konta użytkowników? Czy użytkownicy każdej maszyny korzystają tylko z tej maszyny?

Jeśli ci sami użytkownicy będą musieli korzystać ze wszystkich maszyn, AD zapewni im następujące korzyści: Jeśli logują się do domeny, są zaufani we wszystkich miejscach, w których są zaufani. Jeśli zmienią hasło, wszędzie będzie takie samo; nie muszą pamiętać, aby go zmienić na wszystkich 10 komputerach (lub, co gorsza, zapomnieć o tym i trzeba go dla nich resetować co drugi tydzień).

Dla Ciebie daje to korzyść z centralnej / globalnej kontroli uprawnień. Jeśli masz foldery, które mają specjalne uprawnienia dla grup i zatrudniona jest nowa osoba, po prostu dodaj je do grupy i gotowe. nie musisz dołączać się do każdej maszyny i ciągle tworzyć tego samego użytkownika i ustawiać uprawnienia.

Również komputer każdego użytkownika będzie w domenie, więc może być kontrolowany przez domenę.

Myślę, że największą korzyścią są GPO, gdy logują się do domeny, aby wysyłać polityki na swój komputer, które mogą chronić bezpieczeństwo całej sieci.

Biorąc to pod uwagę, moje biuro jest małe (około 15) i nie mamy oficjalnego działu IT. Tak więc (nad) używamy MS Groove jako naszej infrastruktury i tak naprawdę nie mamy AD ani żadnych serwerów centralnych; Jesteśmy laptopem.

John Christman
źródło
+1 dla Groove! Świetne oprogramowanie!
p.campbell
5

Moim zdaniem jednym z największych jest logowanie jednokrotne. Chociaż brzmi to tak, jakby użytkownicy końcowi prawdopodobnie tego nie zauważyli, z pewnością jest to miła rzecz z punktu widzenia administratora. Masz tylko jedno hasło do zapamiętania, a jeśli chodzi o jego zmianę, musisz zrobić to tylko jedno miejsce, a nie 32. Istnieje wiele rzeczy, które możesz zrobić, aby zarządzać środowiskiem, jeśli nie boisz się skryptów .

sysadmin1138
źródło
3
Zwłaszcza jeśli chcesz od czasu do czasu zmieniać hasła. To jest główny powód, dla którego zmieniliśmy się na AD.
Peter Turner
Cóż ... to nam nie wystarcza. Nie mamy żadnych użytkowników, którzy wędrują po naszej placówce, a jeśli chodzi o nowych użytkowników ... mamy stały osobisty (niewiele przychodzi / wychodzi lub wychodzi z naszej firmy)
s.mihai
jeśli zależy Ci tylko na jednokrotnym logowaniu, możesz również uzyskać znacznie tańsze rozwiązanie LDAP.
gbjbaanb
Czy coś oprócz AD będzie zintegrowane z Twoimi poświadczeniami C + A + D?
James Risto
4

Zaletą powyższego AD jest oczywiście koszt.

Korzyści AD sprowadzają się do 2 czynników, jeśli nie przejmujesz się nimi, odpowiedź brzmi „Nie”.

  • Scentralizowane zarządzanie: użytkownikami, kontami komputerowymi, partiami, automatycznymi aktualizacjami, wdrażaniem oprogramowania, polityką grupy itp. (Aby nie uprościć tego, upewnij się, że rozumiesz skutki „małego myślenia” w podstawowych kwestiach. Jeden przykład: 30 statycznych adresów IP jest łatwa w utrzymaniu. A może 100? 256?)
  • Podstawa rozbudowy: 2 kontrolery AD wydają się nadmierne (choć nadal konieczne) dla sieci 30, ale są wystarczające dla 1000-1500 użytkowników, wierzę? Prawidłowo skonfigurowane AD nie musi być zmieniane, dopóki nie staniesz się znacznie większy.

Myślę, że najlepszą radą jest przejrzenie tagu Active Directory tutaj na SF, gdy się wypełnia - aby sprawdzić, czy można dostrzec wystarczającą liczbę funkcji (np. Hyper V z serwerem 2008), które przyniosą korzyści Twojemu sklepowi, aby zakup był opłacalny.

Kara Marfia
źródło
3
Nie zgadzam się, że dwa kontrolery domeny dla dowolnej sieci godnej domeny (ponad 5-10 komputerów, IMHO) mogą być kiedykolwiek nadmierne. Po drugie, że warto mieć DC, warto mieć dwa.
gWaldo,
1
Masz rację - ciężko uwierzyć, że kiedyś czułem się bezpiecznie tylko z jednym. ;)
Kara Marfia,
2

Wszystkie dobre odpowiedzi tutaj. Podniosę aprobatę za posiadanie dwóch kontrolerów domeny. W małym środowisku nawet umieszczenie obu maszyn wirtualnych na tym samym sprzęcie byłoby - OK. Ktoś prawdopodobnie może włączyć się do tego w bardziej autorytatywny sposób, ale jeśli używasz MS Hyper-V (serwer 2K8) jako hosta, możesz mieć pewne korzyści z licencjonowania systemu operacyjnego?

Posiadanie pojedynczego logowania (SSO) / ujednoliconego uwierzytelnienia pozwoli Ci zaoszczędzić tyle pracy przy tworzeniu kont i ustawianiu uprawnień do folderów w dowolnym miejscu. Oczywiście wdrożenie AD i dodanie systemów i użytkowników do domeny będzie wymagało pewnego wysiłku.

Jeff

Jeff Hengesbach
źródło
2

Potrzebujesz scentralizowanego uwierzytelniania i zarządzania, jeśli w ogóle zamierzasz rozwijać to środowisko. Nawet jeśli nie zamierzasz rozwijać środowiska, zobaczysz oszczędności w czasie rzeczywistym w codziennej pracy dzięki wdrożeniu scentralizowanego uwierzytelniania i autoryzacji.

Jeśli jest to środowisko Windows, AD to łatwa, ale kosztowna poprawka. Jeśli koszt jest punktem krytycznym dla AD, należy wdrożyć Sambę.

Na początku będzie to wydawać się trudniejsze, ale przyzwyczaisz się do narzędzi i spojrzysz wstecz i zastanawiasz się, jak nie było dla ciebie zupełnie oczywiste, że musisz to zrobić.

Brian
źródło
1

NIE potrzebujesz reklamy. *

Duża kancelaria. Mieliśmy od ~ 103 do ~ 117 użytkowników, z 4 witrynami w 3 stanach przez ostatnie 2 lata, z obrotem stażystów i urzędników. Prowadzimy całą firmę z 1 serwerem dla domino / notatek i księgowości, kilkoma dedykowanymi serwerami w2k8 dla specjalistycznego oprogramowania, około 5 lub 6 dedykowanymi ogólnymi skrzynkami Windows dla różnych aplikacji i ... 2 skrzynkami Linux dla wszystkich potrzeb serwera plików i kopia zapasowa oraz trzecie okno zapory ogniowej. Wszystko działa jak królik energetyzujący i nie mieliśmy wielu problemów ze sprzedawcami lub oprogramowaniem.

  • ale i tak możesz to zdobyć. Microsoft zamierza dołączyć do kolektywu, a poza całkowitą migracją z systemu Windows, na dłuższą metę nie będzie już AD.
wolter
źródło
Co to jest z kancelariami prawnymi i Lotus Domino / Notes? Prawie każdy, kogo widziałem, używa go ...
SilentW,
Było to wówczas „właściwe rozwiązanie”, więc zostało szeroko przyjęte, stało się głównym nurtem, a następnie zamieniło się w kotwicę łodzi, której nikt już nie kochał. W zasadzie technologia zawsze się
rozwija
0

Powody korzystania z usługi Active Directory

  1. Grupa bezpieczeństwa chronionego użytkownika
  2. Scentralizowane zarządzanie kontami użytkowników
  3. Scentralizowane zarządzanie zasadami za pomocą obiektów zasad grupy
  4. Dodatkowe usługi zarządzane
  5. Lepsze zarządzanie bezpieczeństwem
  6. Replikacja profilu
  7. Zasady uwierzytelniania
  8. Kosz na śmieci AD
  9. Aktywacja CAL
  10. Dystrybucja łatek
  11. Usługi sieciowe AD
  12. Resetowania hasła
  13. Pojedyncze logowanie
  14. Uwierzytelnianie dwuskładnikowe
  15. Konsolidacja katalogów
  16. Partycje katalogu aplikacji
  17. Uniwersalne buforowanie grup
  18. Logowanie do profilu hybrydowego
  19. Skalowalność bez złożoności
  20. Potężne środowisko programistyczne
  21. Duplikacje sesji

Udało mi się uruchomić system bez Active Directory; trzeba jednak zrekompensować te wymagania za pomocą alternatywnych narzędzi. Przełączyłem się na AD u około 150 użytkowników w trzech różnych organizacjach.

LJones
źródło