Назад | Перейти на главную страницу

Мне действительно нужен MS Active Directory?

Я управляю магазином из примерно 30 машин и 2 терминальных серверов (один производственный, один резервный). Следует ли мне действительно развертывать Active Directory в нашей сети?

Есть ли какие-то преимущества, которые могли бы компенсировать существование другого сервера AD? Наш терминальный сервер должен работать независимо, без каких-либо других служб, кроме нашего корпоративного приложения.

Какие замечательные функции мне не хватает, если я все еще буду запускать его без AD?

Обновить: но есть ли у кого-нибудь из вас успешный магазин без AD?

Использование Active Directory дает вашей сети ряд преимуществ, некоторые из которых я могу сразу придумать:

  • Централизованное управление учетными записями пользователей
  • Централизованное управление политиками (групповая политика)
  • Лучшее управление безопасностью
  • Репликация информации между DC

Очевидно, что эти преимущества также приводят к некоторым накладным расходам, и для настройки среды AD требуется много работы и времени, особенно если у вас есть существующая настройка, однако, на мой взгляд, преимущества централизованного управления, предоставляемого AD, того стоят. .

Некоторые «проезжающие» ответы ...

1- Если вы используете Exchange для электронной почты, то требуется AD. Скорее всего, вы не используете Exchange или знаете об этом, но я включаю его для тех, кто, возможно, обдумывает это.

2- AD управляет системой «централизованной аутентификации». Вы управляете пользователями, группами и паролями в одном месте. Если у вас нет AD, вам, вероятно, придется настраивать пользователей отдельно на каждом сервере терминалов или иметь общего пользователя на каждом для доступа и использования безопасности в приложении.

3. Если у вас есть другие серверы Windows, AD обеспечивает прямую защиту ресурсов на этих серверах в одном месте (AD).

4- AD включает некоторые другие службы (DNS, DHCP), которые в противном случае должны управляться отдельно. Я подозреваю, что вы, возможно, не используете их, если единственные серверы Windows, которые у вас есть, - это серверы терминалов.

5- Хотя это и не обязательно, наличие рабочих станций в домене является преимуществом. Это позволяет использовать некоторые (не всеобъемлющие) возможности единой регистрации, а также значительный контроль и управление рабочими станциями с помощью «групповых политик».
-> Например, через GP вы можете управлять настройками хранителя экрана, требуя, чтобы хранитель экрана блокировал рабочую станцию ​​через x минут, и запрашивая пароль для разблокировки.

6. Вы можете стать хорошим кандидатом на Microsoft Small Business Server, если вам нужна электронная почта, совместное использование файлов, удаленный доступ и веб-обслуживание.

Второе замечание о наличии двух контроллеров домена. Если у вас есть только один DC, и он выходит из строя, вам будет очень сложно получить доступ к вещам. Возможно (я считаю) возможным, чтобы терминальные серверы также были контроллерами домена, хотя я подозреваю, что многие не будут рекомендовать это. В такой небольшой сети, как ваша, рабочая нагрузка DC будет незначительной, поэтому она может работать.


РЕДАКТИРОВАТЬ: в комментарий s.mihai спросил: "В их интересах заставить нас покупать все, что мы можем. Но могу ли я быть в порядке без AD? локальных учетных записей, без обмена ....?!"

Если бы я был на вашем месте, я бы использовал проект TS как оправдание для добавления AD для получения преимуществ, особенно на рабочих станциях. Но похоже, что вы приняли решение и хотите укрыться, так что вот оно.

АБСОЛЮТНО вы можете быть в порядке без рекламы.

с верхней части моей головы:

  1. централизованное управление пользователями и безопасностью, а также аудит
  2. централизованные групповые политики компьютеров
  3. развертывание программного обеспечения (через GPO)

AD также требуется для таких приложений, как обмен.

У MS есть технический документ просто для тебя по этой теме.

В AD есть много функций, которые могут вам пригодиться. Первый из них - это централизованная аутентификация. Все учетные записи пользователей управляются в одном месте. Это означает, что вы можете использовать свои учетные данные на любом из компьютеров в среде.

Другой элемент, который это позволяет, - это лучшая безопасность для совместного использования ресурсов. Группы безопасности очень полезны для нацеливания доступа к таким ресурсам, как общие файловые ресурсы.

Групповая политика позволяет применять настройки на нескольких машинах или пользователях. Это позволит вам установить разные политики для пользователей, которые входят на серверы терминалов, и пользователей, которые входят на свои рабочие станции.

Если вы правильно настроите свои терминальные серверы и в зависимости от приложений, централизованная проверка подлинности, права доступа через группы безопасности и политики GPO позволят вам использовать оба терминальных сервера в большей степени кластеризованного стиля, чем в вашей текущей настройке, когда один неактивен. время, которое позволит вам масштабироваться до большего количества терминальных серверов (стиль N + 1) по мере увеличения потребности в ресурсах.

Обратной стороной является то, что вы думаете только об 1 контроллере домена. Я настоятельно рекомендую 2. Это гарантирует, что у вас не будет единой точки отказа для вашего домена Active Directory.

Как упоминалось в нескольких комментариях. Стоимость, вероятно, будет здесь существенным фактором. Если первоначальный вопросник имеет полностью рабочую настройку, то, возможно, из его бюджета не хватит аппаратного и программного обеспечения, необходимого для поддержки среды домена Active Directory, без чрезмерного аргумента для оправдания затрат. Если все работает, AD определенно не требуется для работы среды. Однако те из нас, кто использовал его в корпоративной среде в прошлом, являются очень сильными сторонниками. Во многом это связано с тем, что в конечном итоге это значительно упрощает работу администраторов.

Недавно я переехал в (относительно большой / успешный) магазин без MS AD. Конечно, вы упускаете единый вход в Microsoft / Windows, но для этого есть и другие решения, такие как прокси для аутентификации (SiteMinder, webseal и т. Д.). Что касается централизованного управления пользователями, любой LDAP (или SiteMinder) также может быть вариантом.

Так что да, вы можете вести успешный магазин без (MS) AD, вам просто нужно найти альтернативу.

Я думаю, что главный вопрос - почему бы и нет?

Вы оставляете учетные записи пользователей отдельно в целях безопасности? Пользователи каждой машины используют только эту машину?

Если одни и те же пользователи должны использовать все машины, AD предоставит им следующие преимущества: если они войдут в домен, им будут доверять во всех местах, где им и их группам доверяют. Если они меняют свой пароль, он везде одинаков; им не нужно помнить, что нужно менять его на всех 10 машинах (или, что еще хуже, забывать об этом и вам нужно, чтобы вы сбрасывали его для них каждые две недели).

Для вас это дает преимущество централизованного / глобального контроля разрешений. Если у вас есть папки с особыми разрешениями для групп и нанят новый человек, вы просто добавляете их в группу и готово. вам не нужно подключаться к каждой машине и создавать одного и того же пользователя снова и снова и устанавливать разрешения.

Также машина каждого пользователя будет в домене, поэтому может управляться доменом.

Я думаю, что самым большим преимуществом является GPO. Когда они входят в домен, они могут отправлять на свой компьютер политики, которые могут защитить безопасность всей вашей сети.

При этом мой офис небольшой (около 15), и у нас нет официального ИТ-отдела. Таким образом, мы (чрезмерно) используем MS Groove в качестве нашей инфраструктуры, и на самом деле у нас нет AD или каких-либо центральных серверов; Мы находимся на ноутбуке.

На мой взгляд, одна из самых больших - это система единого входа. Хотя это звучит так, как будто ваши конечные пользователи, вероятно, не замечают, это, безусловно, хорошая вещь с точки зрения администратора. У вас есть только один пароль, который нужно отслеживать, и когда дело доходит до его изменения, вам нужно сделать это только в одном месте, а не в 32. Существует множество вещей, которые вы можете сделать для управления своей средой, если вы не боитесь писать сценарии. .

Очевидно, что преимущество вышеупомянутого AD - это стоимость.

Преимущества AD сводятся к двум факторам. Если они вам не важны, ответ - «Нет».

  • Централизованное управление: пользователями, учетными записями компьютеров, партиями, автоматическими обновлениями, развертыванием программного обеспечения, групповой политикой и т. Д. (Чтобы я не упростил это, убедитесь, что вы понимаете последствия "маленького мышления" в фундаментальных вопросах. Один пример: 30 статических IP-адресов ремонтопригоден. Как насчет 100? 256?)
  • Основание для расширения: 2 контроллера AD кажутся чрезмерными (хотя и необходимыми) для сети из 30, но, как я полагаю, их достаточно для 1000-1500 пользователей? Настройте правильно, AD не нужно изменять, пока вы не станете намного больше.

Я думаю, что лучший совет - внимательно изучить тег активного каталога здесь, в SF, по мере его заполнения - чтобы увидеть, сможете ли вы обнаружить достаточно функций (например, Hyper V с сервером 2008), которые принесут пользу вашему магазину, чтобы сделать покупку стоящей.

Все хорошие ответы здесь. Я также положительно оцениваю наличие двух контроллеров домена. В небольшой среде даже размещение их обоих как виртуальных машин на одном и том же оборудовании было бы - нормально. Кто-то, вероятно, может вмешаться в это более авторитетно, но если вы используете MS Hyper-V (сервер 2K8) в качестве хоста, у вас могут быть некоторые преимущества лицензирования ОС?

Наличие единого входа (SSO) / унифицированной аутентификации сэкономит вам много работы по созданию учетных записей и настройке прав доступа к папкам повсюду. Конечно, установка AD и добавление систем и пользователей в домен потребует некоторых усилий.

Джефф

Если вы вообще собираетесь развивать эту среду, вам потребуется централизованная проверка подлинности и управление. Даже если ты не Если вы собираетесь развивать среду, вы увидите экономию времени в повседневной работе за счет внедрения централизованной аутентификации и авторизации прямо сейчас.

Если это среда Windows, AD - простое, но дорогостоящее решение. Если цена является камнем преткновения для AD, внедрите Samba.

Сначала это покажется сложнее, но вы привыкнете к инструментам, оглянетесь назад и задаетесь вопросом, почему для вас не было полностью очевидно, что вам нужно это сделать.

Вам НЕ нужна реклама.*

Крупная юридическая фирма. У нас было от ~ 103 до ~ 117 пользователей, с 4 сайтами в 3 штатах за последние 2 года, с текучестью стажеров и клерков. У нас есть одна серверная коробка для домино / заметок и бухгалтерского учета, пара выделенных серверов w2k8 для специализированного программного обеспечения, около 5 или 6 выделенных универсальных окон Windows для различных приложений и ... 2 бокса Linux для всех нужд файловых серверов и бэкап, плюс третий ящик для файрволла. Все работает как кролик-активатор, и у нас не было особых проблем с поставщиками или программным обеспечением.

  • но вы все равно можете это получить. Microsoft намеревается, что вы БУДЕТЕ присоединиться к коллективу, и, помимо полного перехода с Windows, вам в значительной степени суждено в конечном итоге оказаться с AD.

На 30 машин? Это совершенно необязательно.

Я управляю несколькими большими локациями (в среднем 30 ~ 125 систем / рабочих станций на локацию), работающих без AD, с использованием Samba и сценариев пакетной / автоматической загрузки. Они работают нормально, и, не считая странных обновлений программного обеспечения, ломающих работу, проблем не возникало.

Причины использования Active Directory

  1. Группа безопасности защищенного пользователя
  2. Централизованное управление учетными записями пользователей
  3. Централизованное управление политиками через объекты групповых политик
  4. Дополнительные управляемые услуги
  5. Лучшее управление безопасностью
  6. Репликация профиля
  7. Политики аутентификации
  8. Корзина AD
  9. CAL активация
  10. Распространение патчей
  11. Веб-сервисы AD
  12. Восстановление пароля
  13. Единая точка входа
  14. Двухфакторная аутентификация
  15. Консолидация каталогов
  16. Разделы каталога приложений
  17. Универсальное групповое кеширование
  18. Вход в гибридный профиль
  19. Масштабируемость без сложности
  20. Мощная среда разработки
  21. Дублирование сессий

Я успешно запустил систему без Active Directory; однако вам необходимо компенсировать потребности с помощью альтернативных инструментов. Я перешел на AD около 150 пользователей в трех разных организациях.