Tôi có thực sự cần MS Active Directory không? [đóng cửa]

Tôi quản lý một cửa hàng gồm 30 máy và 2 máy chủ đầu cuối (một sản xuất, một chế độ chờ.) Tôi có nên thực sự triển khai Active Directory trong mạng của chúng tôi không?

Có bất kỳ lợi ích thực sự nào, có thể bảo vệ sự tồn tại của một máy chủ AD khác không? Terminal Server của chúng tôi hoạt động độc lập, không có dịch vụ nào khác trên đó, ngoại trừ APP công ty của chúng tôi.

Tôi còn thiếu những tính năng tuyệt vời nào nếu tôi vẫn chạy nó mà không cần AD?

cập nhật : nhưng có ai trong số các bạn điều hành một cửa hàng thành công mà không có AD không?

Cho 30 máy? Nó hoàn toàn là tùy chọn.

Tôi quản lý một số vị trí lớn (trung bình 30 ~ 125 hệ thống / máy trạm trên mỗi vị trí) chạy mà không cần AD sử dụng tập lệnh Samba và tập lệnh / tự động. Chúng hoạt động tốt, và ngoài việc cập nhật phần mềm kỳ lạ, mọi thứ đều không gặp sự cố.

Sử dụng Active Directory mang lại một số lợi thế cho mạng của bạn, một vài điều tôi có thể nghĩ ra khỏi đỉnh đầu:

• Quản lý tài khoản người dùng tập trung
• Quản lý chính sách tập trung (chính sách nhóm)
• Quản lý an ninh tốt hơn
• Nhân rộng thông tin giữa các DC

Rõ ràng những lợi ích này cũng mang lại một số chi phí, và theo tôi, cần rất nhiều công việc và thời gian để thiết lập môi trường AD, đặc biệt là nếu bạn có một thiết lập hiện có, tuy nhiên theo tôi, những lợi ích của quản lý tập trung mà AD mang lại rất xứng đáng .

Một số câu trả lời "lái xe" ...

1- Nếu bạn đang sử dụng Exchange cho email, thì cần phải có AD. Bạn có thể không sử dụng Exchange hoặc bạn sẽ biết điều đó, nhưng tôi bao gồm nó cho những người có thể đang cân nhắc điều này.

2- AD quản lý một hệ thống "xác thực tập trung". Bạn kiểm soát người dùng, nhóm và mật khẩu ở một nơi duy nhất. Nếu bạn không có AD, bạn có thể phải thiết lập riêng người dùng của mình trên mỗi máy chủ đầu cuối hoặc có một người dùng chung trên mỗi máy chủ để truy cập và sử dụng bảo mật trong ứng dụng.

3- Nếu bạn có các máy chủ Windows khác, AD cho phép bảo mật tài nguyên thẳng trên các máy chủ đó ở một nơi duy nhất (AD).

4- AD bao gồm một số dịch vụ khác (DNS, DHCP) mà phải được quản lý riêng. Tôi nghi ngờ bạn có thể không sử dụng chúng nếu máy chủ Windows duy nhất bạn có là máy chủ đầu cuối.

5- Mặc dù không bắt buộc, nhưng có lợi ích khi có các máy trạm trong miền. Điều này cho phép một số khả năng đăng nhập một lần (không toàn diện) cũng như kiểm soát và quản lý đáng kể các máy trạm thông qua "chính sách nhóm".
-> Chẳng hạn, thông qua GP, bạn có thể kiểm soát cài đặt trình bảo vệ màn hình, yêu cầu trình bảo vệ màn hình khóa máy trạm sau x phút và yêu cầu mật khẩu để mở khóa.

6- Bạn có thể là ứng cử viên sáng giá cho Máy chủ doanh nghiệp nhỏ của Microsoft nếu bạn cần email, chia sẻ tệp, truy cập từ xa và phục vụ web.

Tôi thứ hai lưu ý về việc có hai bộ điều khiển miền. Nếu bạn chỉ có một DC và nó thất bại, bạn sẽ cảm thấy đau đớn khi tiếp cận với mọi thứ. Có thể (tôi tin) có thể có các máy chủ đầu cuối cũng là bộ điều khiển miền, mặc dù tôi nghi ngờ nhiều người sẽ không khuyên dùng nó. Trong một mạng nhỏ như của bạn, khối lượng công việc DC sẽ không đáng kể, vì vậy nó có thể hoạt động.

EDIT: trong một bình luận s.mihai hỏi: "đó là sở thích của họ để khiến chúng tôi mua tất cả những gì chúng tôi có thể. Nhưng tôi có thể ổn nếu không có AD? Tài khoản địa phương, không trao đổi ....?!"

Tôi đã ở trong đôi giày của bạn, tôi sẽ sử dụng dự án TS như một cái cớ để thêm AD cho các lợi ích, đặc biệt là trên các máy trạm. Nhưng có vẻ như tâm trí của bạn được tạo nên và bạn muốn che đậy, vì vậy đây là.

TUYỆT ĐỐI bạn có thể ổn mà không cần AD.

Off đỉnh đầu của tôi:

1. quản lý và kiểm toán an ninh & người dùng tập trung
2. chính sách nhóm máy tính tập trung
3. triển khai phần mềm (thông qua GPO)

AD cũng được yêu cầu cho các ứng dụng như trao đổi.

MS có một whitepaper chỉ dành cho bạn về chủ đề này.

AD có nhiều tính năng mà bạn có thể thấy rất hữu ích. Đầu tiên trong số đó là Xác thực tập trung. Tất cả tài khoản người dùng được quản lý ở một vị trí. Điều này có nghĩa là bạn có thể sử dụng thông tin đăng nhập của mình trong số bất kỳ máy nào trong môi trường.

Một mục khác cho phép này là bảo mật tốt hơn để chia sẻ tài nguyên. Các nhóm bảo mật rất hữu ích để nhắm mục tiêu truy cập vào các tài nguyên như chia sẻ tệp.

Chính sách nhóm cho phép bạn thực thi cài đặt trên một số máy hoặc người dùng. Điều này sẽ cho phép bạn đặt các chính sách khác nhau cho người dùng đăng nhập vào máy chủ Terminal so với người dùng đăng nhập vào máy trạm của họ.

Nếu bạn thiết lập đúng máy chủ đầu cuối của mình và tùy thuộc vào ứng dụng, xác thực tập trung, quyền truy cập thông qua các chính sách Nhóm bảo mật và GPO sẽ cho phép bạn sử dụng cả hai máy chủ Terminal theo kiểu cụm hơn so với thiết lập hiện tại của bạn. thời gian này sẽ cho phép bạn mở rộng tối đa nhiều máy chủ đầu cuối (kiểu N + 1) khi nhu cầu tài nguyên tăng lên.

Nhược điểm là bạn chỉ nghĩ về 1 Bộ điều khiển miền. Tôi thực sự khuyên bạn nên 2. Điều này đảm bảo rằng bạn không có một điểm thất bại nào cho Miền Active Directory của mình.

Như đã đề cập trong một số ý kiến. Chi phí có thể là một yếu tố quan trọng ở đây. Nếu người hỏi ban đầu có một thiết lập hoạt động hoàn toàn, thì có thể nằm ngoài ngân sách của anh ta để mang phần cứng và phần mềm cần thiết để bảo vệ môi trường miền Active Directory mà không gặp trường hợp áp đảo để biện minh cho chi phí. Nếu mọi thứ đều hoạt động, AD chắc chắn không phải là một môi trường cần thiết để làm việc. Những người trong chúng ta đã sử dụng nó trong môi trường công ty trong quá khứ tuy nhiên là những người ủng hộ rất mạnh mẽ. Điều này phần lớn là do thực tế là nó làm cho công việc Quản trị viên dễ dàng hơn nhiều trong thời gian dài.

Gần đây tôi đã chuyển đến một cửa hàng (tương đối lớn / thành công) mà không có MS AD. Chắc chắn, bạn đã bỏ lỡ Đăng nhập một lần của Microsoft / Windows nhưng có một số giải pháp khác cho đó là Proxy xác thực (SiteMinder, webseal, v.v.) Đối với quản lý người dùng tập trung, mọi LDAP (hoặc SiteMinder) cũng có thể là một tùy chọn.

Vì vậy, có, bạn có thể là một cửa hàng thành công mà không cần (MS) AD, bạn chỉ cần tìm giải pháp thay thế.

Tôi nghĩ câu hỏi lớn hơn là tại sao không?

Bạn có để các tài khoản Người dùng riêng biệt để bảo mật không? Có phải người dùng của mỗi máy chỉ sử dụng máy đó?

Nếu cùng một người dùng cần sử dụng tất cả các máy, AD sẽ cung cấp cho họ những lợi ích sau: Nếu đăng nhập vào miền mà họ tin cậy ở tất cả những nơi mà họ và nhóm của họ được tin cậy. Nếu họ thay đổi mật khẩu, nó giống nhau ở mọi nơi; họ không phải nhớ thay đổi nó trên tất cả 10 máy (hoặc tệ hơn là quên nó và cần bạn đặt lại cho chúng, mỗi tuần).

Đối với bạn, nó mang lại lợi ích của việc kiểm soát quyền trung ương / toàn cầu. Nếu bạn có các thư mục có quyền đặc biệt cho các nhóm và một người mới được thuê, bạn chỉ cần thêm chúng vào nhóm và thực hiện. bạn không phải gắn vào mỗi máy và tạo cùng một người dùng và đặt quyền.

Ngoài ra, mỗi máy của người dùng sẽ ở trong miền, do đó tên miền có thể được kiểm soát.

Tôi nghĩ lợi ích lớn nhất là của GPO Khi họ đăng nhập vào miền để có thể gửi các chính sách tới PC của họ có thể bảo vệ an ninh của toàn bộ mạng của bạn.

Điều đó được nói rằng văn phòng của tôi nhỏ (khoảng 15), và chúng tôi không có bộ phận CNTT chính thức. Vì vậy, chúng tôi (hơn) sử dụng MS Groove làm Cơ sở hạ tầng của chúng tôi và không có AD hoặc bất kỳ máy chủ trung tâm nào thực sự; Chúng tôi là máy tính xách tay dựa.

Theo tôi, một trong những lớn nhất là đăng nhập một lần. Mặc dù nghe có vẻ như người dùng cuối của bạn có thể không nhận thấy, nhưng chắc chắn đó là một điều tốt đẹp từ quan điểm của quản trị viên. Bạn chỉ có một mật khẩu để theo dõi và khi cần thay đổi mật khẩu, bạn chỉ phải thực hiện một lần duy nhất chứ không phải 32. Có rất nhiều điều bạn có thể làm để quản lý môi trường của mình nếu bạn không sợ kịch bản .

Lợi ích của việc nói trên AD rõ ràng là chi phí.

Lợi ích của AD làm giảm đến 2 yếu tố, nếu bạn không quan tâm đến chúng, câu trả lời là "Không".

• Quản lý tập trung: của người dùng, tài khoản máy tính, rất nhiều, cập nhật tự động, triển khai phần mềm, chính sách nhóm, v.v (Lest I overimify this, hãy chắc chắn bạn hiểu tác động của "suy nghĩ nhỏ" trong các vấn đề cơ bản. Một ví dụ: 30 địa chỉ IP tĩnh có thể duy trì được. Làm thế nào khoảng 100? 256?)
• Nền tảng mở rộng: 2 bộ điều khiển AD có vẻ quá mức (mặc dù vẫn cần thiết) cho mạng 30, nhưng chúng đủ cho 1000-1500 người dùng, tôi tin? Thiết lập đúng, AD không cần phải thay đổi cho đến khi bạn lớn hơn nhiều.

Tôi nghĩ lời khuyên tốt nhất là kiểm tra thẻ thư mục hoạt động ở đây trên SF khi nó đầy - để xem liệu bạn có thể phát hiện đủ các tính năng (ví dụ: Hyper V với máy chủ 2008) sẽ có lợi cho cửa hàng của bạn để mua hàng đáng giá hay không.

Tất cả các câu trả lời tốt ở đây. Tôi cũng sẽ giơ ngón tay cái lên vì có hai bộ điều khiển miền. Trong một môi trường nhỏ, thậm chí đặt cả hai chúng là VM trên cùng một phần cứng sẽ là - OK. Ai đó có thể có thể kêu gọi điều này một cách có thẩm quyền hơn, nhưng nếu bạn sử dụng MS Hyper-V (máy chủ 2K8) làm máy chủ, bạn có thể có một số lợi ích cấp phép hệ điều hành?

Việc đăng nhập một lần (SSO) / xác thực hợp nhất sẽ giúp bạn tiết kiệm rất nhiều công việc tạo tài khoản và thiết lập quyền truy cập thư mục ở mọi nơi. Tất nhiên, đặt AD vào vị trí và thêm hệ thống & người dùng vào miền sẽ mất một số nỗ lực.

Jeff

Bạn cần xác thực và quản lý tập trung nếu bạn có ý định phát triển môi trường này. Ngay cả khi bạn không có ý định phát triển môi trường, bạn sẽ thấy tiết kiệm thời gian thực trong hoạt động hàng ngày bằng cách triển khai xác thực và ủy quyền tập trung ngay bây giờ.

Nếu đó là môi trường Windows, AD là cách khắc phục dễ dàng nhưng tốn kém. Nếu chi phí là điểm gắn bó cho AD, thì hãy triển khai Samba.

Ban đầu có vẻ khó hơn, nhưng bạn sẽ quen với các công cụ và bạn sẽ nhìn lại và tự hỏi làm thế nào nó không hoàn toàn rõ ràng với bạn rằng bạn cần phải làm điều này.

Bạn KHÔNG cần AD. *

Công ty luật lớn. Chúng tôi đã dao động từ ~ 103 đến ~ 117 người dùng, với 4 trang web ở 3 tiểu bang trong 2 năm qua, với doanh thu của nhân viên thực tập và thư ký. Chúng tôi điều hành toàn bộ công ty với 1 hộp máy chủ cho domino / ghi chú và kế toán, một vài máy chủ w2k8 dành riêng cho phần mềm đặc biệt, khoảng 5 hoặc 6 hộp cửa sổ chung dành riêng cho các ứng dụng khác nhau và ... 2 hộp linux cho tất cả các nhu cầu máy chủ tệp và sao lưu, cộng với hộp thứ 3 cho tường lửa. Tất cả đều chạy như chú thỏ tiếp sức và chúng tôi không gặp nhiều vấn đề với nhà cung cấp hoặc phần mềm.

• nhưng dù sao bạn cũng có thể lấy nó Microsoft dự định rằng bạn SILL tham gia vào tập thể và ngoài việc di chuyển hoàn toàn khỏi Windows, bạn sẽ có nhiều cơ hội kết thúc với AD trong thời gian dài.

Lý do nên sử dụng Active Directory

1. Nhóm bảo mật người dùng được bảo vệ
2. Quản lý tài khoản người dùng tập trung
3. Quản lý chính sách tập trung thông qua các đối tượng chính sách nhóm
4. Dịch vụ quản lý bổ sung
5. Quản lý an ninh tốt hơn
6. Nhân rộng hồ sơ
7. Chính sách xác thực
8. Thùng rác AD
9. Kích hoạt CAL
10. Phân phối bản vá
11. Dịch vụ web quảng cáo
12. Đặt lại mật khẩu
13. Dấu hiệu duy nhất trên
14. Xác thực hai yếu tố
15. Hợp nhất thư mục
16. Phân vùng thư mục ứng dụng
17. Bộ nhớ đệm nhóm chung
18. Đăng nhập hồ sơ lai
19. Khả năng mở rộng mà không phức tạp
20. Môi trường phát triển mạnh mẽ
21. Sao chép phiên

Tôi đã chạy thành công một hệ thống không có Active Directory; tuy nhiên, bạn cần phải bù các yêu cầu thông qua các công cụ thay thế. Tôi đã chuyển sang AD ở khoảng 150 người dùng trong ba tổ chức khác nhau.