Zarządzam sklepem obejmującym około 30 maszyn i 2 serwery terminali (jedna produkcja, jeden tryb gotowości). Czy naprawdę powinienem wdrożyć usługę Active Directory w naszej sieci?
Czy są jakieś korzyści, które mogłyby zrównoważyć istnienie innego serwera AD? Nasz serwer terminali ma działać niezależnie, bez żadnych innych usług, z wyjątkiem naszej aplikacji korporacyjnej.
Jakich wspaniałych funkcji brakuje mi, jeśli nadal będę je uruchamiać bez reklam?
aktualizacja : ale czy ktoś z was prowadzi udany sklep bez reklam?
windows
active-directory
s.mihai
źródło
źródło
Odpowiedzi:
Na 30 maszyn? Jest to całkowicie opcjonalne.
Zarządzam kilkoma dużymi lokalizacjami (średnio 30 ~ 125 systemów / stacji roboczych na lokalizację) działającymi bez AD przy użyciu skryptów Samba i batch / autoit. Działają dobrze, a oprócz dziwnych aktualizacji oprogramowania, które psują rzeczy, były bezproblemowe.
źródło
Korzystanie z usługi Active Directory zapewnia wiele korzyści dla sieci, z których kilka mogę wymyślić z góry:
Oczywiście te korzyści również przynoszą pewne koszty, a konfiguracja środowiska AD wymaga dużo pracy i czasu, zwłaszcza jeśli masz już istniejącą konfigurację, jednak moim zdaniem korzyści z centralnego zarządzania, które przynosi AD, są tego warte. .
źródło
Niektóre odpowiedzi „drive-by” ...
1- Jeśli korzystasz z Exchange dla poczty e-mail, wymagane jest AD. Prawdopodobnie nie korzystasz z Exchange lub wiesz o tym, ale dołączam to dla tych, którzy mogą to rozważać.
2- AD zarządza systemem „scentralizowanego uwierzytelniania”. Kontrolujesz użytkowników, grupy i hasła w jednym miejscu. Jeśli nie masz AD, prawdopodobnie będziesz musiał skonfigurować użytkowników osobno na każdym serwerze terminali lub mieć zwykłego użytkownika na każdym w celu uzyskania dostępu i korzystania z zabezpieczeń w aplikacji.
3- Jeśli masz inne serwery Windows, AD pozwala na proste zabezpieczenie zasobów na tych serwerach w jednym miejscu (AD).
4- AD obejmuje niektóre inne usługi (DNS, DHCP), które w innym przypadku muszą być zarządzane osobno. Podejrzewam, że możesz ich nie używać, jeśli jedynymi serwerami Windows, które posiadasz, są serwery terminali.
5- Chociaż nie jest to wymagane, stacje robocze w domenie są korzystne. Pozwala to na niektóre (niepełne) funkcje pojedynczego logowania, a także znaczącą kontrolę i zarządzanie stacjami roboczymi poprzez „zasady grupy”.
-> Na przykład, poprzez GP możesz kontrolować ustawienia wygaszacza ekranu, wymagając, aby wygaszacz ekranu blokował stację roboczą po x minutach i wymagając hasła do odblokowania.
6- Możesz być dobrym kandydatem na Microsoft Small Business Server, jeśli potrzebujesz poczty e-mail, udostępniania plików, zdalnego dostępu i udostępniania stron internetowych.
Popieram notatkę o posiadaniu dwóch kontrolerów domeny. Jeśli masz tylko jedno DC, a to się nie powiedzie, czeka cię prawdziwy ból, gdy dostajesz dostęp do rzeczy. Sądzę, że serwery terminali mogą być także kontrolerami domen, ale podejrzewam, że wielu nie będzie tego polecać. W małej sieci, takiej jak Twoja, obciążenie DC będzie nieznaczne, więc może działać.
EDYCJA: w komentarzu s.mihai zapytał: „w ich interesie jest zmusić nas do zakupu wszystkiego, co możemy. Ale czy mogę być w porządku bez AD? Kont lokalnych, bez wymiany ....?!”
Gdybym był w twoich butach, użyłbym projektu TS jako wymówki, aby dodać AD do korzyści, szczególnie na stacjach roboczych. Ale wygląda na to, że masz już umysł i chcesz się ukryć, więc oto jest.
ABSOLUTNIE możesz być w porządku bez reklam.
źródło
z czubka mojej głowy:
AD jest również wymagany w przypadku aplikacji takich jak wymiana.
MS ma dokument dla Ciebie na ten temat.
źródło
AD ma wiele funkcji, które mogą okazać się bardzo przydatne. Pierwszym z nich jest scentralizowane uwierzytelnianie. Wszystkie konta użytkowników są zarządzane w jednym miejscu. Oznacza to, że możesz używać swoich poświadczeń na dowolnym komputerze w środowisku.
Kolejnym elementem, który pozwala na to, jest większe bezpieczeństwo udostępniania zasobów. Grupy zabezpieczeń są bardzo przydatne do ukierunkowania dostępu do zasobów, takich jak udziały plików.
Zasady grupy pozwalają egzekwować ustawienia na wielu komputerach lub użytkownikach. Umożliwiłoby to ustawienie różnych zasad dla użytkowników logujących się na serwerach terminali i użytkowników logujących się na swoich stacjach roboczych.
Jeśli odpowiednio skonfigurujesz serwery terminali i, w zależności od aplikacji, scentralizowane uwierzytelnianie, prawa dostępu za pośrednictwem grup zabezpieczeń i zasad GPO pozwoliłyby na korzystanie z obu serwerów terminali w bardziej klastrowym stylu niż w obecnej konfiguracji, w której jeden jest bezczynny czas ten pozwoli na skalowanie do większej liczby serwerów terminali (styl N + 1) wraz ze wzrostem zapotrzebowania na zasoby.
Minusem jest to, że myślisz tylko o 1 kontrolerze domeny. Zdecydowanie polecam 2. To gwarantuje, że nie masz ani jednego punktu awarii dla domeny Active Directory.
Jak wspomniano w kilku komentarzach. Istotnym czynnikiem mogą być tutaj koszty. Jeśli pierwotny pytający ma w pełni działającą konfigurację, może być poza jego budżetem na wprowadzenie sprzętu i oprogramowania wymaganego do utrzymania środowiska domeny Active Directory bez przytłaczającej sprawy uzasadniającej koszty. Jeśli wszystko działa, AD z pewnością nie jest wymagane do działania środowiska. Jednak ci z nas, którzy używali go w przeszłości w środowisku korporacyjnym, są bardzo silnymi zwolennikami. Wynika to głównie z faktu, że znacznie ułatwia pracę Administratorów na dłuższą metę.
źródło
Niedawno przeprowadziłem się do (stosunkowo dużego / odnoszącego sukcesy) sklepu bez MS AD. Jasne, że brakuje Ci jednokrotnego logowania w systemie Microsoft / Windows, ale istnieją na to inne rozwiązania, takie jak serwery proxy uwierzytelniania (SiteMinder, webseal itp.). W przypadku scentralizowanego zarządzania użytkownikami opcjonalnym może być również dowolny LDAP (lub SiteMinder).
Tak, możesz odnieść sukces bez sklepu (MS), po prostu musisz znaleźć alternatywę.
źródło
Myślę, że większe pytanie brzmi: dlaczego nie?
Czy dla bezpieczeństwa pozostawiasz osobne konta użytkowników? Czy użytkownicy każdej maszyny korzystają tylko z tej maszyny?
Jeśli ci sami użytkownicy będą musieli korzystać ze wszystkich maszyn, AD zapewni im następujące korzyści: Jeśli logują się do domeny, są zaufani we wszystkich miejscach, w których są zaufani. Jeśli zmienią hasło, wszędzie będzie takie samo; nie muszą pamiętać, aby go zmienić na wszystkich 10 komputerach (lub, co gorsza, zapomnieć o tym i trzeba go dla nich resetować co drugi tydzień).
Dla Ciebie daje to korzyść z centralnej / globalnej kontroli uprawnień. Jeśli masz foldery, które mają specjalne uprawnienia dla grup i zatrudniona jest nowa osoba, po prostu dodaj je do grupy i gotowe. nie musisz dołączać się do każdej maszyny i ciągle tworzyć tego samego użytkownika i ustawiać uprawnienia.
Również komputer każdego użytkownika będzie w domenie, więc może być kontrolowany przez domenę.
Myślę, że największą korzyścią są GPO, gdy logują się do domeny, aby wysyłać polityki na swój komputer, które mogą chronić bezpieczeństwo całej sieci.
Biorąc to pod uwagę, moje biuro jest małe (około 15) i nie mamy oficjalnego działu IT. Tak więc (nad) używamy MS Groove jako naszej infrastruktury i tak naprawdę nie mamy AD ani żadnych serwerów centralnych; Jesteśmy laptopem.
źródło
Moim zdaniem jednym z największych jest logowanie jednokrotne. Chociaż brzmi to tak, jakby użytkownicy końcowi prawdopodobnie tego nie zauważyli, z pewnością jest to miła rzecz z punktu widzenia administratora. Masz tylko jedno hasło do zapamiętania, a jeśli chodzi o jego zmianę, musisz zrobić to tylko jedno miejsce, a nie 32. Istnieje wiele rzeczy, które możesz zrobić, aby zarządzać środowiskiem, jeśli nie boisz się skryptów .
źródło
Zaletą powyższego AD jest oczywiście koszt.
Korzyści AD sprowadzają się do 2 czynników, jeśli nie przejmujesz się nimi, odpowiedź brzmi „Nie”.
Myślę, że najlepszą radą jest przejrzenie tagu Active Directory tutaj na SF, gdy się wypełnia - aby sprawdzić, czy można dostrzec wystarczającą liczbę funkcji (np. Hyper V z serwerem 2008), które przyniosą korzyści Twojemu sklepowi, aby zakup był opłacalny.
źródło
Wszystkie dobre odpowiedzi tutaj. Podniosę aprobatę za posiadanie dwóch kontrolerów domeny. W małym środowisku nawet umieszczenie obu maszyn wirtualnych na tym samym sprzęcie byłoby - OK. Ktoś prawdopodobnie może włączyć się do tego w bardziej autorytatywny sposób, ale jeśli używasz MS Hyper-V (serwer 2K8) jako hosta, możesz mieć pewne korzyści z licencjonowania systemu operacyjnego?
Posiadanie pojedynczego logowania (SSO) / ujednoliconego uwierzytelnienia pozwoli Ci zaoszczędzić tyle pracy przy tworzeniu kont i ustawianiu uprawnień do folderów w dowolnym miejscu. Oczywiście wdrożenie AD i dodanie systemów i użytkowników do domeny będzie wymagało pewnego wysiłku.
Jeff
źródło
Potrzebujesz scentralizowanego uwierzytelniania i zarządzania, jeśli w ogóle zamierzasz rozwijać to środowisko. Nawet jeśli nie zamierzasz rozwijać środowiska, zobaczysz oszczędności w czasie rzeczywistym w codziennej pracy dzięki wdrożeniu scentralizowanego uwierzytelniania i autoryzacji.
Jeśli jest to środowisko Windows, AD to łatwa, ale kosztowna poprawka. Jeśli koszt jest punktem krytycznym dla AD, należy wdrożyć Sambę.
Na początku będzie to wydawać się trudniejsze, ale przyzwyczaisz się do narzędzi i spojrzysz wstecz i zastanawiasz się, jak nie było dla ciebie zupełnie oczywiste, że musisz to zrobić.
źródło
NIE potrzebujesz reklamy. *
Duża kancelaria. Mieliśmy od ~ 103 do ~ 117 użytkowników, z 4 witrynami w 3 stanach przez ostatnie 2 lata, z obrotem stażystów i urzędników. Prowadzimy całą firmę z 1 serwerem dla domino / notatek i księgowości, kilkoma dedykowanymi serwerami w2k8 dla specjalistycznego oprogramowania, około 5 lub 6 dedykowanymi ogólnymi skrzynkami Windows dla różnych aplikacji i ... 2 skrzynkami Linux dla wszystkich potrzeb serwera plików i kopia zapasowa oraz trzecie okno zapory ogniowej. Wszystko działa jak królik energetyzujący i nie mieliśmy wielu problemów ze sprzedawcami lub oprogramowaniem.
źródło
Powody korzystania z usługi Active Directory
Udało mi się uruchomić system bez Active Directory; trzeba jednak zrekompensować te wymagania za pomocą alternatywnych narzędzi. Przełączyłem się na AD u około 150 użytkowników w trzech różnych organizacjach.
źródło