Ho davvero bisogno di MS Active Directory? [chiuso]

Gestisco un negozio di circa 30 macchine e 2 terminal server (una produzione, uno standby). Devo davvero distribuire Active Directory nella nostra rete?

Ci sono davvero dei vantaggi che potrebbero bilanciare l'esistenza di un altro server AD? Il nostro Terminal Server deve essere indipendente, senza altri servizi, ad eccezione della nostra APP aziendale.

Quali grandi funzionalità mi mancano se lo eseguirò ancora senza annuncio?

aggiornamento : ma qualcuno di voi gestisce un negozio di successo senza AD?

Per 30 macchine? È del tutto facoltativo.

Gestisco diverse posizioni di grandi dimensioni (30 ~ 125 sistemi / workstation per posizione in media) in esecuzione senza AD utilizzando Samba e script batch / autoit. Funzionano bene e, a parte gli strani aggiornamenti del software che hanno rotto le cose, sono stati senza problemi.

L'uso di Active Directory offre numerosi vantaggi alla tua rete, alcuni dei quali mi vengono in mente:

• Gestione centralizzata dell'account utente
• Gestione centralizzata delle politiche (politica di gruppo)
• Migliore gestione della sicurezza
• Replica delle informazioni tra DC

Ovviamente questi vantaggi comportano anche un certo sovraccarico, e sono necessari un sacco di lavoro e tempo per configurare un ambiente AD, specialmente se si dispone di una configurazione esistente, tuttavia i vantaggi della gestione centralizzata che offre AD valgono la pena, secondo me .

Alcune risposte "drive-by" ...

1- Se si utilizza Exchange per la posta elettronica, è necessario AD. Probabilmente non stai usando Exchange o lo sapresti, ma lo includo per coloro che potrebbero prendere in considerazione questo.

2- AD gestisce un sistema di "autenticazione centralizzata". Puoi controllare utenti, gruppi e password in un unico posto. Se non disponi di annunci AD, dovrai probabilmente configurare i tuoi utenti separatamente su ciascun terminal server o disporre di un utente generico su ciascuno per accedere e utilizzare la sicurezza nell'applicazione.

3- Se si dispone di altri server Windows, AD consente la protezione diretta delle risorse su tali server in un unico posto (AD).

4- AD include alcuni altri servizi (DNS, DHCP) che altrimenti devono essere gestiti separatamente. Sospetto che potresti non usarli se i soli server Windows che hai sono i server terminal.

5- Sebbene non sia necessario, è vantaggioso disporre delle workstation nel dominio. Ciò consente alcune funzionalità di single sign-on (non esaustive) nonché un controllo e una gestione significativi delle stazioni di lavoro tramite "criteri di gruppo".
-> Ad esempio, tramite GP è possibile controllare le impostazioni dello screen saver, richiedendo che lo screen saver blocchi la workstation dopo x minuti e richieda lo sblocco della password.

6- Potresti essere un buon candidato per Microsoft Small Business Server se hai bisogno di e-mail, condivisione di file, accesso remoto e servizio web.

In secondo luogo la nota sull'avere due controller di dominio. Se hai solo una DC e fallisce, sei nel vero dolore per avere accesso alle cose. È (credo) possibile che anche i server terminal siano controller di dominio, anche se sospetto che molti non lo consiglieranno. In una piccola rete come la tua il carico di lavoro DC sarà insignificante, quindi potrebbe funzionare.

EDIT: in un commento s.mihai ha chiesto: "è il loro interesse a farci comprare tutto ciò che possiamo. Ma posso stare bene senza AD? Conti locali, nessuno scambio ....?!"

Se fossi nei tuoi panni, userei il progetto TS come scusa per aggiungere AD per i benefici, in particolare sulle stazioni di lavoro. Ma sembra che la tua mente sia decisa e tu voglia una copertura, quindi eccola qui.

ASSOLUTAMENTE puoi stare bene senza AD.

dalla cima della mia testa:

1. gestione e controllo centralizzati di utenti e sicurezza
2. criteri di gruppo di computer centralizzati
3. distribuzione software (tramite GPO)

AD è richiesto anche per applicazioni come lo scambio.

MS ha un white paper solo per te su questo argomento.

AD ha molte funzionalità che potresti trovare molto utili. Il primo dei quali è l'autenticazione centralizzata. Tutti gli account utente sono gestiti in un'unica posizione. Ciò significa che è possibile utilizzare le proprie credenziali tra le macchine presenti nell'ambiente.

Un altro elemento che consente è una migliore sicurezza per la condivisione delle risorse. I gruppi di sicurezza sono molto utili per indirizzare l'accesso a risorse come le condivisioni di file.

I criteri di gruppo consentono di applicare le impostazioni su un numero di macchine o utenti. Ciò consentirebbe di impostare criteri diversi per gli utenti che accedono ai Terminal Server rispetto agli utenti che accedono alle proprie workstation.

Se i server terminal vengono configurati correttamente e in base alle applicazioni, l'autenticazione centralizzata, i diritti di accesso tramite i gruppi di sicurezza e le politiche degli oggetti Criteri di gruppo consentono di utilizzare entrambi i server terminal in uno stile più cluster rispetto alla configurazione corrente in cui si è inattivi tutti il tempo questo ti permetterà di scalare su più terminal server (stile N + 1) man mano che aumenta la necessità di risorse.

L'aspetto negativo è che stai pensando solo a 1 controller di dominio. Consiglio vivamente 2. Ciò garantisce che non si abbia un singolo punto di errore per il dominio di Active Directory.

Come menzionato in diversi commenti. Il costo sarà probabilmente un fattore significativo qui. Se l'interrogatore originale ha una configurazione completamente funzionante, potrebbe essere fuori dal suo budget portare l'hardware e il software necessari per sostenere un ambiente di dominio Active Directory senza un caso schiacciante per giustificare i costi. Se tutto funziona, AD non è certamente necessario per far funzionare un ambiente. Quelli di noi che lo hanno utilizzato in passato in ambienti aziendali sono tuttavia sostenitori molto forti. Ciò è in gran parte dovuto al fatto che rende il lavoro degli amministratori molto più facile a lungo termine.

Di recente mi sono trasferito in un negozio (relativamente grande / di successo) senza MS AD. Certo, ti perdi su Single Sign-On Microsoft / Windows ma ci sono altre soluzioni come i proxy di autenticazione (SiteMinder, webseal ecc.) Per quanto riguarda la gestione centralizzata degli utenti qualsiasi LDAP (o SiteMinder) potrebbe essere un'opzione.

Quindi sì, puoi essere un negozio di successo senza (MS) AD, devi solo trovare l'alternativa.

Penso che la domanda più grande sia: perché no?

Stai lasciando gli account utente separati per motivi di sicurezza? Gli utenti di ogni macchina usano solo quella macchina?

Se gli stessi utenti devono utilizzare tutte le macchine, AD offrirà loro questi vantaggi: Se si accede al dominio, si fidano di tutti i luoghi in cui si fidano di loro e dei loro gruppi. Se cambiano la loro password, è la stessa ovunque; non devono ricordarsi di cambiarlo su tutte e 10 le macchine (o peggio dimenticarlo e hanno bisogno che lo ripristini per loro, ogni due settimane).

Per te offre il vantaggio del controllo centrale / globale delle autorizzazioni. Se si dispone di cartelle con autorizzazioni speciali per gruppi e viene assunta una nuova persona, è sufficiente aggiungerle al gruppo e il gioco è fatto. non è necessario collegarsi a ogni macchina e creare lo stesso utente più e più volte e impostare le autorizzazioni.

Anche la macchina di ciascun utente sarà nel dominio, quindi può essere controllata dal dominio.

Penso che il più grande vantaggio, siano gli oggetti Criteri di gruppo quando accedono al dominio per inviare criteri al proprio PC in grado di proteggere la sicurezza dell'intera rete.

Detto questo, il mio ufficio è piccolo (circa 15) e non abbiamo un dipartimento IT ufficiale. Quindi usiamo (oltre) MS Groove come nostra infrastruttura e in realtà non abbiamo AD o server centrali; Siamo basati su laptop.

Secondo me uno dei più grandi è il single sign-on. Anche se sembra che gli utenti finali probabilmente non se ne accorgano, è certamente una cosa carina dal punto di vista dell'amministratore. Hai solo una password da tenere traccia e quando si tratta di cambiarla devi farlo solo in un punto, non 32. Ci sono molte cose che puoi fare per gestire il tuo ambiente se non hai paura degli script .

Il vantaggio di rinunciare all'AD è ovviamente il costo.

I vantaggi di AD si riducono a 2 fattori, se non ti interessa di loro, la risposta è "No".

• Gestione centralizzata: di utenti, account di computer, lotti, aggiornamenti automatici, distribuzione di software, criteri di gruppo ecc. (Per timore di non semplificare eccessivamente questo aspetto, assicurarsi di comprendere gli effetti del "pensare in piccolo" in questioni fondamentali. Un singolo esempio: 30 indirizzi IP statici è mantenibile. Che ne dici di 100? 256?)
• Base di espansione: 2 controller AD sembrano eccessivi (anche se ancora necessari) per una rete di 30, ma sono sufficienti per 1000-1500 utenti, credo? Impostato correttamente, AD non ha bisogno di essere modificato fino a quando non si diventa molto più grandi.

Penso che il miglior consiglio sia quello di esaminare il tag di active directory qui su SF mentre si riempie - per vedere se riesci a individuare abbastanza funzionalità (ad esempio Hyper V con server 2008) che gioveranno al tuo negozio per rendere utile l'acquisto.

Tutte le buone risposte qui. Metterò il pollice in alto per avere anche due controller di dominio. In un piccolo ambiente, mettere anche entrambi come macchine virtuali sullo stesso componente hardware sarebbe - OK. Qualcuno può probabilmente intervenire su questo in modo più autorevole, ma se usi MS Hyper-V (server 2K8) come host potresti avere alcuni vantaggi di licenza del sistema operativo?

Avere Single Sign On (SSO) / autenticazione unificata ti farà risparmiare così tanto lavoro nella creazione di account e nell'impostazione delle autorizzazioni per le cartelle ovunque. Ovviamente, mettere in atto l'AD e aggiungere i sistemi e gli utenti al dominio richiederà un certo sforzo.

Jeff

Hai bisogno di autenticazione e gestione centralizzata se intendi far crescere questo ambiente. Anche se non hai intenzione di far crescere l'ambiente, vedrai risparmi in tempo reale nell'operatività quotidiana implementando ora l'autenticazione e l'autorizzazione centralizzate.

Se si tratta di un ambiente Windows, AD è la soluzione semplice, ma costosa. Se il costo è il punto critico per AD, quindi implementare Samba.

All'inizio sembrerà più difficile, ma ti abituerai agli strumenti e ti guarderai indietro e ti chiederai come non fosse del tutto ovvio per te che dovevi farlo.

NON hai bisogno di annuncio. *

Grande studio legale. Abbiamo variato da ~ 103 a ~ 117 utenti, con 4 siti in 3 stati negli ultimi 2 anni, con un fatturato di stagisti e impiegati. Gestiamo l'intera azienda con 1 box server per domino / note e contabilità, un paio di server w2k8 dedicati per software speciali, circa 5 o 6 box windows generici dedicati per varie app e ... 2 box linux per tutte le esigenze del file server e backup, oltre a una terza casella per un firewall. Funziona come il coniglio energizzante e non abbiamo avuto molti problemi con i fornitori o il software.

• ma potresti averlo comunque. Microsoft intende che ti unirai al collettivo e, oltre a migrare da Windows del tutto, sei praticamente destinato a finire con AD a lungo termine.

Motivi per utilizzare Active Directory

1. Gruppo di sicurezza dell'utente protetto
2. Gestione centralizzata dell'account utente
3. Gestione centralizzata delle politiche tramite oggetti delle politiche di gruppo
4. Servizi gestiti aggiuntivi
5. Migliore gestione della sicurezza
6. Replica del profilo
7. Politiche di autenticazione
8. Cestino AD
9. Attivazione CAL
10. Distribuzione delle patch
11. Servizi web AD
12. Reimpostazione della password
13. Single sign on
14. Autenticazione a due fattori
15. Consolidamento delle directory
16. Partizioni della directory dell'applicazione
17. Memorizzazione nella cache di gruppo universale
18. Accesso al profilo ibrido
19. Scalabilità senza complessità
20. Ambiente di sviluppo potente
21. Duplicazione di sessioni

Ho eseguito con successo un sistema senza Active Directory; tuttavia, è necessario compensare le richieste mediante strumenti alternativi. Sono passato ad AD con circa 150 utenti in tre diverse organizzazioni.