MS Active Directory'ye gerçekten ihtiyacım var mı? [kapalı]

Etrafında 30 makine ve 2 terminal sunucusundan (bir üretim, bir bekleme) alışveriş yapıyorum. Gerçekten de Active Directory'yi ağımıza yerleştirmeli miyim?

Başka bir AD sunucusunun varlığını dengeleyebilecek herhangi bir faydası var mı? Terminal Sunucumuz, kurumsal APP'miz dışında, başka hiçbir hizmeti yapmadan bağımsız olarak çalışmaktadır.

AD olmadan çalıştırmaya devam edersem, hangi harika özellikleri kaçıracağım?

güncelleme : ancak herhangi biriniz AD'siz başarılı bir mağaza işletiyor musunuz?

30 makina için mi? Tamamen isteğe bağlı.

Samba ve batch / autoit scriptlerini kullanarak AD kullanmadan birkaç büyük lokasyon (ortalama konum başına 30 ~ 125 sistem / iş istasyonu) yönetiyorum. İyi çalışıyorlar ve garip yazılım güncellemelerinin dışında işleri bozmak da sorunsuz oldu.

Active Directory'yi kullanmak ağınıza bir kaç avantaj sağlar, birkaçını kafamın üstünden düşünebilirim:

• Merkezi kullanıcı hesabı yönetimi
• Merkezi politika yönetimi (grup politikası)
• Daha iyi güvenlik yönetimi
• DC'ler arasındaki bilgilerin çoğaltılması

Açıkçası, bu faydalar da biraz ek yük getiriyor ve özellikle mevcut bir kurulumunuz varsa, bir AD ortamı oluşturmak için çok fazla çalışma ve zaman gerekiyor, ancak bence AD'nin getirdiği merkezi yönetimin faydası buna değer. .

Bazı "arabayla atla" yanıtları ...

1- E-posta için Exchange kullanıyorsanız, AD gereklidir. Muhtemelen Exchange kullanmıyorsunuzdur veya bunu biliyorsunuzdur, ancak bunu düşünenlere dahil ediyorum.

2- AD, "merkezi kimlik doğrulama" sistemini yönetir. Kullanıcıları, grupları ve şifreleri tek bir yerde kontrol edersiniz. AD'niz yoksa, kullanıcılarınızı her terminal sunucusunda ayrı olarak ayarlamanız veya uygulamadaki güvenliği erişmek ve kullanmak için her birine genel bir kullanıcı eklemeniz gerekir.

3- Başka bir Windows sunucunuz varsa, AD, bu sunuculardaki kaynakların tek bir yerde (AD) doğrudan güvenli bir şekilde korunmasına izin verir.

4- AD, başka şekilde ayrı olarak yönetilmesi gereken bazı diğer hizmetleri (DNS, DHCP) içerir. Sahip olduğunuz tek Windows sunucusu terminal sunucularsa, bunları kullanmayacağınızdan şüpheleniyorum.

5- Zorunlu olmamakla birlikte, iş istasyonlarının etki alanında olması yararlıdır. Bu, bazı (kapsamlı değil) tek oturum açma yeteneklerinin yanı sıra "grup politikaları" aracılığıyla iş istasyonlarının önemli kontrol ve yönetimine olanak tanır.
-> Örneğin, GP aracılığıyla, ekran koruyucunun iş istasyonunu x dakika sonra kilitlemesini ve kilidini açmak için şifrenin istenmesini gerektiren ekran koruyucu ayarlarını kontrol edebilirsiniz.

6- Eğer e-posta, dosya paylaşımı, uzaktan erişim ve web sunumu gerekiyorsa Microsoft Small Business Server için iyi bir aday olabilirsiniz.

İki etki alanı denetleyicisine sahip olmak hakkında notu ikinci. Yalnızca bir DC'niz varsa ve başarısız olursa, gerçek acıların olaylara erişmesi için varsınız. Terminal sunucuların aynı zamanda etki alanı denetleyicileri olması da mümkün (inanıyorum), ancak çoğu kişinin bunu tavsiye etmeyeceğinden şüpheliyim. Sizinki gibi küçük bir ağda DC iş yükü önemsiz olacak, bu yüzden işe yarayabilir.

EDIT: bir yorumda s.mihai sordu: "elimizden gelen her şeyi satın almamızı sağlamak onların çıkarları. AD olmadan yerel olabilir miyim? Yerel hesaplar, takaslar yok ...?!"

Ayakkabılarınız yerinde olsaydı, TS projesini, özellikle iş istasyonlarında, faydalar için AD eklemek için bir bahane olarak kullanırdım. Ama zihnin tamamlanmış ve örtünmek istiyormuşsun gibi geliyor, işte burada.

KESİNLİKLE AD olmadan Tamam olabilir.

kafamın üstünden:

1. merkezi kullanıcı ve güvenlik yönetimi ve denetimi
2. merkezi bilgisayar grubu politikaları
3. yazılım dağıtımı (GPO aracılığıyla)

AD, takas gibi uygulamalar için de gereklidir.

MS'in bu konuda sadece sizin için bir tanıtım belgesi var .

AD, çok faydalı bulabileceğiniz birçok özelliğe sahiptir. Bunlardan ilki Merkezi Kimlik Doğrulama. Tüm kullanıcı hesapları tek bir konumda yönetilir. Bu, kimlik bilgilerinizi ortamdaki herhangi bir makinede kullanabileceğiniz anlamına gelir.

Buna izin veren bir diğer öğe, kaynakları paylaşmak için daha iyi güvenliktir. Güvenlik grupları, dosya paylaşımları gibi kaynaklara erişimi hedeflemede çok yararlıdır.

Grup ilkesi, birkaç makine veya kullanıcı için ayarları uygulamanıza olanak sağlar. Bu, Terminal sunucularına giriş yapan kullanıcılar ile iş istasyonlarına giriş yapan kullanıcılar için farklı politikalar belirlemenizi sağlar.

Terminal sunucularınızı doğru bir şekilde ayarlarsanız ve uygulamalara bağlı olarak, merkezi kimlik doğrulama, Güvenlik Grupları ve GPO ilkeleri yoluyla erişim hakları, her iki Terminal sunucusunu da, hepsinin boşta olduğu mevcut kurulumunuzdan daha fazla kümelenmiş bir stilde kullanmanızı sağlar. bu, kaynaklara olan ihtiyaç arttıkça daha fazla terminal sunucusuna (N + 1 stili) ölçeklendirme olanağı sağlar.

Dezavantajı ise sadece 1 Domain Controller hakkında düşünmek olmasıdır. Kesinlikle 2'yi tavsiye ederim. Bu, Active Directory Etki Alanınız için tek bir başarısızlık noktanızın olmamasını sağlar.

Çeşitli yorumlarda belirtildiği gibi. Maliyet burada önemli bir faktör olabilir. Orijinal sorgulayıcının tamamen çalışan bir kurulumu varsa, maliyetlerini haklı çıkarmak için ezici bir durum olmadan bir Active Directory etki alanı ortamını ayağa kaldırmak için gereken donanım ve yazılımı getirmek bütçe dışında olabilir. Her şey çalışıyorsa, AD kesinlikle bir ortamın çalışması için gerekli değildir. Ancak bunu geçmişte kurumsal ortamlarda kullanmış olduklarımız çok güçlü yandaşlardır. Bu, büyük ölçüde, uzun vadede Yöneticilerin işini çok kolaylaştırması nedeniyledir.

Geçenlerde MS AD olmadan (nispeten büyük / başarılı) bir dükkana taşındım. Tabii ki, Microsoft / Windows Single Sign On'u kaçırırsınız, ancak Kimlik Doğrulama Proxy'leri (SiteMinder, webseal vb.) Gibi başka çözümler de vardır. Merkezi kullanıcı yönetimi için olduğu gibi, herhangi bir LDAP (veya SiteMinder) de bir seçenek olabilir.

Yani evet, (MS) AD olmadan başarılı bir dükkan olabilir, sadece alternatif bulmanız gerekir.

Bence en büyük soru neden olmasın?

Kullanıcı hesaplarını güvenlik için ayrı mı bırakıyorsunuz? Her makinenin kullanıcıları yalnızca bu makineyi mi kullanıyor?

Aynı kullanıcıların tüm makineleri kullanması gerekiyorsa, AD onlara şu avantajları sağlar: Etki alanına giriş yaparlarsa, kendi gruplarına ve gruplarına güvenilen her yere güvenilir. Eğer şifrelerini değiştirirlerse, her yerde aynıdır; her 10 makinede de değiştirmeyi hatırlamaları gerekmez (ya da daha da kötüsü unutun ve her hafta onlar için sıfırlamanız gerekir).

Senin için izinlerin merkezi / küresel kontrolünün avantajını veriyor. Gruplar için özel izinlere sahip klasörleriniz varsa ve yeni bir kişi işe alınmışsa, bunları gruba ekleyip tamamlayabilirsiniz. Her bir makineye bağlamak ve aynı kullanıcıyı tekrar tekrar oluşturmak ve izinleri ayarlamak zorunda değilsiniz.

Ayrıca her kullanıcının makinesi etki alanında olacak, bu nedenle etki alanı tarafından kontrol edilebilir.

Bence en büyük yararı, GPO'lar. Etki alanına giriş yaptıklarında, bilgisayarlarına tüm ağınızın güvenliğini koruyabilecek politikalar gönderebilecekleri.

Ofisimin küçük olduğu söyleniyor (yaklaşık 15) ve resmi bir BT departmanımız yok. Bu yüzden MS Groove'u Altyapımız olarak kullanıyoruz ve gerçekten hiçbir AD ya da merkezi sunucumuz yok; Biz dizüstü bilgisayar kullanıyoruz.

Bence en büyüklerinden biri tek oturum açma. Son kullanıcılarınız muhtemelen farketmemiş gibi görünse de, yönetici açısından kesinlikle güzel bir şey. İzlemek için yalnızca bir parolanız var ve bunu değiştirmek söz konusu olduğunda, 32 değil, yalnızca tek bir nokta yapmanız gerekiyor. Komut dosyası kullanmaktan korkmazsanız ortamınızı yönetmek için yapabileceğiniz birçok şey var .

Yukarıda belirtilen AD'nin faydası açık bir şekilde maliyettir.

AD faydaları 2 faktöre kadar kaynatır, eğer onları umursamıyorsanız, cevap "Hayır" dır.

• Merkezi yönetim: kullanıcılar, bilgisayar hesapları, lotlar, otomatik güncellemeler, yazılım dağıtımı, grup politikası vb. (Bunu basitleştireyim, temel konularda "küçük düşünmenin" etkilerini anladığınızdan emin olun. Tek bir örnek: 30 statik IP adresi bakımı yapılabilir. Nasıl 100? 256?)
• Genişleme temeli: 2 AD denetleyicisi 30'luk bir ağ için (hala gerekli olsa da) aşırı görünüyor, ancak 1000-1500 kullanıcı için yeterli, sanırım? Düzgün bir şekilde kurulmuşsa, siz büyüyene kadar AD'nin değiştirilmesi gerekmez.

En iyi tavsiyenin, etkin dizin etiketini SF üzerinde doldururken incelemek - mağazanızın satın almayı değerli kılmak için yeterli özelliklere sahip olup olmadığına bakmak (ör. 2008 sunuculu Hyper V).

Buradaki tüm güzel cevaplar. İki etki alanı denetleyicisine de sahip olduğum için baş parmaklarımı koyacağım. Küçük bir ortamda, her ikisini de aynı donanım parçasına VM'ler olarak koymak bile olur - Tamam. Birisi muhtemelen bu konuda daha fazla bilgi verebilir, ancak ana bilgisayar olarak MS Hyper-V (sunucu 2K8) kullanıyorsanız, bazı işletim sistemi lisanslama avantajlarınız olabilir mi?

Tekli Oturum Açma (SSO) / birleşik kimlik doğrulama işlemine sahip olmak, hesap oluşturma ve her yerde klasör izinlerini ayarlama işinde size çok fazla tasarruf sağlayacaktır. Elbette AD'yi uygulamaya koymak ve sistemleri ve kullanıcıları etki alanına eklemek biraz çaba sarf edecektir.

Jeff

Bu ortamı hiç büyütmeyi düşünüyorsanız merkezi bir kimlik doğrulama ve yönetime ihtiyacınız var. Eğer bile yok çevreyi büyümeyi amaçlıyoruz, artık merkezi kimlik denetimi ve yetkilendirme uygulayarak gün operasyon için gün içinde çok gerçek zaman tasarrufu göreceksiniz.

Bu bir Windows ortamıysa, AD kolay, ancak masraflı bir düzeltmedir. Maliyet AD için yapışma noktası ise, Samba uygulayın.

İlk başta daha zor görünecek, ancak araçlara alışacaksınız ve geriye bakacak ve bunu yapmanız için sizin için ne kadar açık olmadığını merak edeceksiniz.

AD gerekmez. *

Büyük hukuk bürosu. Stajyerlerin ve katiplerin cirosuyla, son 2 yılda 3 eyalette 4 site ile ~ 103 ila ~ 117 kullanıcı arasında değiştik. Tüm firmayı domino / notlar ve muhasebe için 1 sunucu kutusu, özel yazılımlar için birkaç w2k8 sunucusu, çeşitli uygulamalar için yaklaşık 5 veya 6 özel pencere kutusu ve ... Tüm dosya sunucusu ihtiyaçları için 2 linux kutusu ve yedek, artı bir güvenlik duvarı için 3. kutu. Her şey enerji verici tavşan gibi çalışır ve satıcılar veya yazılımlarla ilgili fazla sorun yaşamadık.

• ama yine de alabilirsiniz. Microsoft, topluluğa katılacağınızı ve Windows’u tamamen dışına çıkarmanın yanı sıra, uzun vadede AD’ye son vereceğinizden de emin olmalısınız.

Active Directory kullanma nedenleri

1. Korumalı kullanıcı güvenlik grubu
2. Merkezi kullanıcı hesabı yönetimi
3. Grup politikaları nesneleri aracılığıyla merkezi politika yönetimi
4. Ek yönetilen hizmetler
5. Daha iyi güvenlik yönetimi
6. Profil çoğaltma
7. Kimlik doğrulama politikaları
8. AD geri dönüşüm kutusu
9. CAL aktivasyonu
10. Yama dağıtımı
11. AD web hizmetleri
12. Parola sıfırlama
13. Tek seferlik
14. İki faktörlü kimlik doğrulama
15. Dizin birleştirme
16. Uygulama dizini bölümleri
17. Evrensel grup önbelleği
18. Hibrit profil girişi
19. Karmaşıklık olmadan ölçeklenebilirlik
20. Güçlü geliştirme ortamı
21. Oturum kopyaları

Active Directory olmadan bir sistemi başarıyla çalıştırdım; Ancak, talepleri alternatif araçlarla telafi etmeniz gerekir. Üç farklı organizasyonda yaklaşık 150 kullanıcı için AD'ye geçtim.