За последний год мы перенесли почти все службы, которые раньше работали на нашем сервере Windows (SBS 2003 Premium), на другой сервер под управлением Linux. Последние несколько сервисов в ближайшее время будут переведены на новый Windows 2003 Server, работающий как виртуальная машина поверх Linux - мы планируем сохранить эту виртуальную машину в долгосрочной перспективе, поскольку мы ожидаем, что всегда будет потребность в определенном программном обеспечении, которое будет работать только на Windows.
Поскольку все перенесенные службы (электронная почта, файловые серверы и т. Д.) Используют собственную аутентификацию, мне остается только гадать, перевешивается ли выгода от сохранения домена Windows стоимостью (в первую очередь повышенная сложность аварийного восстановления). Следует ли мне воспользоваться возможностью, чтобы полностью избавиться от него, если нет очевидной необходимости его хранить?
Компания имеет около 20 настольных компьютеров, в том числе несколько, которые в настоящее время не подключены к домену, потому что это коробки XP Home, которые можно купить по дешевке.
Если вы планируете, что ваша компания никогда не будет расти, то, похоже, вы определенно сможете с этим покончить. Основными преимуществами AD являются централизованная проверка подлинности, групповая политика и интеграция с другими системами. Имея парк настольных компьютеров из 15-20 человек, вы можете выполнять большую часть рутинной работы вручную, а не GPO (хотя GPO все равно будет быстрее).
Если вы когда-нибудь планируете расти, ваша текущая установка быстро выйдет из-под контроля. Если у вас нет возможности централизованно управлять настройками и диктовать политику клиентам Windows, вам придется потрудиться, если ваша пользовательская база увеличится вдвое. Если вы попытаетесь делать все дешево, вы в конечном итоге потратите больше денег на человеко-часы, пытаясь справиться с этим. ИТ-операции будут сопряжены с определенными затратами, и попытки сделать их максимально дешевыми никогда не сработают.
Кроме того, огромной проблемой безопасности является запрет пользователям изменять пароли. Вы действительно должны исправить это, придерживаетесь ли вы AD или нет.
Конечно, иметь некоторую службу каталогов и единственный авторитетный источник аутентификации / авторизации (который поддерживает репликацию) - хорошая идея, но (JackPDouglas Прочтите это):
1) Он не должен быть БЕЗУМНЫМ - GoSA предоставляет отличный набор инструментов для реализации каталога на основе LDAP, существуют и другие решения.
2) LDAP / MAD НЕ является SSO