Мне действительно нужен MS Active Directory? [закрыто]

Я управляю магазином из 30 машин и 2 терминальных серверов (один рабочий, один резервный). Должен ли я действительно развернуть Active Directory в нашей сети?

Есть ли какие-то преимущества, которые могли бы сбалансировать существование другого сервера AD? Наш сервер терминалов должен работать независимо, без каких-либо других сервисов, кроме нашего корпоративного приложения.

Какие замечательные функции мне не хватает, если я все еще буду работать без AD?

Обновление : но есть ли у вас успешный магазин без AD?

На 30 машин? Это совершенно необязательно.

Я управляю несколькими большими локациями (в среднем 30 ~ 125 систем / рабочих станций на локацию), работающими без AD с использованием Samba и сценариев batch / autoit. Они работают отлично, и, кроме странных проблем с обновлением программного обеспечения, были без проблем.

Использование Active Directory дает ряд преимуществ вашей сети, некоторые из которых я могу вспомнить из головы:

• Централизованное управление учетными записями пользователей
• Централизованное управление политикой (групповая политика)
• Лучшее управление безопасностью
• Репликация информации между ДК

Очевидно, что эти преимущества также приносят некоторые накладные расходы, и для настройки среды AD требуется много работы и времени, особенно если у вас есть существующая установка, однако преимущества централизованного управления, которые обеспечивает AD, на мой взгляд, того стоят. ,

Некоторые "проезжающие" ответы ...

1- Если вы используете Exchange для электронной почты, то требуется AD. Вероятно, вы не используете Exchange или знаете об этом, но я включил его для тех, кто может подумать об этом.

2- AD управляет системой «централизованной аутентификации». Вы контролируете пользователей, группы и пароли в одном месте. Если у вас нет AD, вам, вероятно, придется настраивать пользователей отдельно на каждом терминальном сервере или иметь общего пользователя на каждом из них для доступа и использования безопасности в приложении.

3. Если у вас есть другие серверы Windows, AD обеспечивает прямую защиту ресурсов на этих серверах в одном месте (AD).

4-AD включает в себя некоторые другие службы (DNS, DHCP), которые в противном случае должны управляться отдельно. Я подозреваю, что вы, возможно, не используете их, если у вас есть только серверы Windows, которые являются серверами терминалов.

5. Хотя это и не обязательно, есть преимущество в наличии рабочих станций в домене. Это позволяет использовать некоторые (не всеобъемлющие) возможности единого входа, а также обеспечивает значительный контроль и управление рабочими станциями с помощью «групповых политик».
-> Например, с помощью GP вы можете управлять настройками заставки, требуя, чтобы заставка блокировала рабочую станцию ​​через x минут, и запрашивая пароль для разблокировки.

6. Вы можете быть хорошим кандидатом на Microsoft Small Business Server, если вам нужна электронная почта, обмен файлами, удаленный доступ и веб-обслуживание.

Я второй записку о наличии двух контроллеров домена. Если у вас есть только один DC, и он выходит из строя, вам будет очень больно получать доступ к вещам. Возможно (я считаю), что терминальные серверы также могут быть контроллерами домена, хотя я подозреваю, что многие не будут рекомендовать это. В такой маленькой сети, как ваша, нагрузка на постоянный ток будет незначительной, поэтому она может работать.

РЕДАКТИРОВАТЬ: в комментарии s.mihai спросил: «Это их интерес, чтобы заставить нас купить все, что мы можем. Но могу ли я быть в порядке без AD? Местные счета, без обмена ....?!»

Если бы я был на вашем месте, я бы использовал проект TS в качестве предлога, чтобы добавить AD для преимуществ, особенно на рабочих станциях. Но это звучит так, будто ваш разум сформирован, и вы хотите укрыться, так что вот оно.

АБСОЛЮТНО вы можете быть в порядке без рекламы.

с верхней части моей головы:

1. централизованное управление и аудит пользователей и безопасности
2. централизованная политика групп компьютеров
3. развертывание программного обеспечения (через GPO)

AD также требуется для приложений, таких как обмен.

У MS есть технический документ только для вас на эту тему.

AD имеет много функций, которые вы можете найти очень полезными. Первым из которых является централизованная аутентификация. Все учетные записи пользователей управляются в одном месте. Это означает, что вы можете использовать свои учетные данные среди любых машин в среде.

Еще один элемент, который это позволяет, это лучшая безопасность для совместного использования ресурсов. Группы безопасности очень полезны для целевого доступа к ресурсам, таким как общие папки.

Групповая политика позволяет вам применять настройки на нескольких компьютерах или пользователях. Это позволит вам установить различные политики для пользователей, которые входят на серверы терминалов, а не для пользователей, которые заходят на свои рабочие станции.

Если вы правильно настроите свои терминальные серверы и в зависимости от приложений, централизованная аутентификация, права доступа через группы безопасности и политики GPO позволят вам использовать оба терминальных сервера в более кластерном стиле, чем в текущих настройках, когда один из них простаивает все время позволит увеличить количество терминальных серверов (стиль N + 1) по мере увеличения потребности в ресурсах.

Недостатком является то, что вы думаете только о 1 контроллере домена. Я настоятельно рекомендую 2. Это гарантирует, что у вас нет единой точки отказа для вашего домена Active Directory.

Как уже упоминалось в нескольких комментариях. Стоимость, вероятно, будет существенным фактором здесь. Если исходный вопросник имеет полностью рабочую настройку, может быть, из его бюджета может быть выделено оборудование и программное обеспечение, необходимое для поддержки доменной среды Active Directory, без излишних аргументов в обоснование затрат. Если все работает, AD, безусловно, не требуется для работы среды. Те из нас, кто использовал его в корпоративной среде в прошлом, однако, являются очень сильными сторонниками. Во многом это связано с тем, что в долгосрочной перспективе это значительно облегчает работу администраторов.

Я недавно переехал в (относительно большой / успешный) магазин без MS AD. Конечно, вы упускаете возможность единого входа в Microsoft / Windows, но для этого есть и другие решения, такие как прокси-серверы аутентификации (SiteMinder, webseal и т. Д.). Что касается централизованного управления пользователями, то в качестве альтернативы можно использовать любой LDAP (или SiteMinder).

Так что да, вы можете быть успешным магазином без (MS) AD, вам просто нужно найти альтернативу.

Я думаю, что большой вопрос, почему нет?

Вы оставляете учетные записи пользователей отдельно для безопасности? Пользователи каждой машины используют только эту машину?

Если одни и те же пользователи должны использовать все машины, AD предоставит им следующие преимущества: Если вход в домен им доверяют во всех местах, которым они и их группы доверяют. Если они меняют свой пароль, он везде одинаков; им не нужно помнить, чтобы изменить его на всех 10 машинах (или, что еще хуже, забыть об этом и нужно, чтобы вы сбрасывали его для них каждую неделю).

Для вас это дает преимущество центрального / глобального контроля над разрешениями. Если у вас есть папки, которые имеют специальные разрешения для групп, и нанят новый человек, вы просто добавляете их в группу и готово. Вам не нужно подключаться к каждой машине, создавать одного и того же пользователя снова и снова и устанавливать разрешения.

Также каждый пользовательский компьютер будет находиться в домене, поэтому может контролироваться доменом.

Я думаю, что самое большое преимущество заключается в том, что GPO при входе в домен может отправлять на свой ПК политики, которые могут защитить безопасность всей вашей сети.

При этом у меня небольшой офис (около 15), и у нас нет официального ИТ-отдела. Таким образом, мы (сверх) используем MS Groove в качестве нашей инфраструктуры, и на самом деле у нас нет AD или каких-либо центральных серверов; Мы основаны на ноутбуке.

На мой взгляд, одним из самых больших является единый вход. Хотя кажется, что ваши конечные пользователи, вероятно, этого не замечают, это, безусловно, хорошая вещь с точки зрения администратора. У вас есть только один пароль для отслеживания, и когда дело доходит до его изменения, вам нужно сделать это только в одном месте, а не 32. Есть множество вещей, которые вы можете сделать, чтобы управлять своей средой, если вы не боитесь сценариев ,

Преимущество вышеуказанного AD, очевидно, стоимость.

Преимущества AD сводятся к 2 факторам, если вы не заботитесь о них, ответ «Нет».

• Централизованное управление: пользователями, учетными записями компьютеров, партиями, автоматическими обновлениями, развертыванием программного обеспечения, групповой политикой и т. Д. (Чтобы я не упростил это, убедитесь, что вы понимаете влияние «малого мышления» в фундаментальных вопросах. Один пример: 30 статических IP-адресов ремонтопригоден. Как насчет 100? 256?)
• Основание расширения: 2 контроллера AD кажутся чрезмерными (хотя все еще необходимыми) для сети из 30, но, на мой взгляд, их достаточно для 1000-1500 пользователей. Настройте должным образом, AD не нужно менять, пока вы не станете намного больше.

Я думаю, что лучший совет - внимательно изучить тег активной директории здесь на SF, когда он заполняется, - чтобы увидеть, сможете ли вы найти достаточно функций (например, Hyper V с сервером 2008 года), которые принесут пользу вашему магазину, чтобы сделать покупку выгодной.

Все хорошие ответы здесь. Я положу свои пальцы на наличие двух контроллеров домена. В маленькой среде, даже если поместить их в качестве виртуальных машин на одном и том же оборудовании, это будет нормально. Кто-то может, вероятно, влиять на это более авторитетно, но если вы используете MS Hyper-V (сервер 2K8) в качестве хоста, у вас могут быть некоторые преимущества лицензирования ОС?

Использование единого входа (SSO) / унифицированной аутентификации сэкономит вам много времени на создании учетных записей и настройке разрешений для папок повсеместно Конечно, установка AD и добавление систем и пользователей в домен потребует определенных усилий.

Джефф

Вам нужна централизованная аутентификация и управление, если вы собираетесь расширять эту среду вообще. Даже если вы этого не сделаете намерены расширять среду, вы получите реальную экономию времени в повседневной работе благодаря внедрению централизованной аутентификации и авторизации.

Если это среда Windows, AD - это простое, но дорогостоящее решение. Если стоимость является камнем преткновения для AD, то внедрите Samba.

Сначала это будет казаться сложнее, но вы привыкнете к инструментам, и вы оглянетесь назад и удивитесь, почему для вас не было совершенно очевидно, что вам нужно это сделать.

Вам не нужна реклама. *

Крупная юридическая фирма. Мы варьировались от ~ 103 до ~ 117 пользователей, с 4 сайтами в 3 штатах за последние 2 года, с оборотом стажеров и клерков. Мы запускаем всю фирму с 1 сервером для домино / заметок и учета, парой выделенных серверов w2k8 для специализированного программного обеспечения, примерно 5 или 6 выделенных универсальных окон Windows для различных приложений и ... 2 Linux-коробками для всех потребностей файлового сервера и резервное копирование плюс 3-й ящик для брандмауэра. Все работает как зайчик энергетика, и у нас не было много проблем с поставщиками или программным обеспечением.

• но вы можете получить это в любом случае. Microsoft намерена присоединиться к коллективу, и, помимо полного перехода с Windows, вам в конечном итоге суждено в конечном итоге получить AD.

Причины использовать Active Directory

1. Защищенная группа безопасности пользователя
2. Централизованное управление учетными записями пользователей
3. Централизованное управление политиками через объекты групповых политик
4. Дополнительные управляемые услуги
5. Лучшее управление безопасностью
6. Репликация профиля
7. Политики аутентификации
8. Мусорная корзина AD
9. CAL активация
10. Распределение патчей
11. AD веб-сервисы
12. Сброс пароля
13. Единая точка входа
14. Двухфакторная аутентификация
15. Консолидация каталогов
16. Разделы каталога приложений
17. Универсальное групповое кеширование
18. Вход в гибридный профиль
19. Масштабируемость без сложности
20. Мощная среда разработки
21. Дублирование сессий

Я успешно запустил систему без Active Directory; Однако вам необходимо компенсировать требования с помощью альтернативных инструментов. Я перешел на AD около 150 пользователей в трех разных организациях.