it-swarm-pt.tech

Eu realmente preciso do MS Active Directory?

Eu gerencio uma loja de 30 máquinas espalhadas e 2 servidores de terminal (uma produção, uma espera). Devo realmente implantar o Active Directory em nossa rede?

Existem realmente alguns benefícios que poderiam equilibrar a existência de outro servidor AD? Nosso Terminal Server é executado de forma independente, sem outros serviços, exceto nosso APP corporativo.

Quais são os grandes recursos que faltam se eu ainda executá-lo sem o AD?

atualizar: mas algum de vocês está executando uma loja de sucesso sem o AD?

28
s.mihai

Para 30 máquinas? É totalmente opcional.

Eu gerencio vários locais grandes (30 ~ 125 sistemas/estações de trabalho por local, em média) executando sem o AD usando Samba e scripts em lote/autoit. Eles funcionam bem e, além da estranha atualização de software que quebra as coisas, não têm problemas.

0
voltaire

O uso do Active Directory traz uma série de vantagens para a sua rede, algumas das quais consigo pensar em primeira linha:

  • Gerenciamento centralizado de contas de usuário
  • Gerenciamento centralizado de políticas (política de grupo)
  • Melhor gerenciamento de segurança
  • Replicação de informações entre DCs

Obviamente, esses benefícios também trazem alguma sobrecarga e é necessário muito trabalho e tempo para configurar um ambiente do AD, especialmente se você já tiver uma configuração, no entanto, os benefícios do gerenciamento centralizado que o AD traz valem a pena, na minha opinião. .

32
Sam Cogan

Algumas respostas "drive-by" ...

1- Se você estiver usando o Exchange por email, o AD será necessário. Você provavelmente não está usando o Exchange ou você saberia disso, mas eu o incluo para aqueles que podem estar considerando isso.

2- O AD gerencia um sistema de "autenticação centralizada". Você controla usuários, grupos e senhas em um único local. Se você não possui o AD, provavelmente precisará configurar seus usuários separadamente em cada servidor de terminal ou ter um usuário genérico em cada um para acessar e usar a segurança no aplicativo.

3- Se você possui outros servidores Windows, o AD permite a proteção direta de recursos nesses servidores em um único local (AD).

4- O AD inclui alguns outros serviços (DNS, DHCP) que, de outra forma, precisam ser gerenciados separadamente. Eu suspeito que você pode não usá-los se os únicos servidores Windows que você possui são os servidores de terminal.

5- Embora não seja obrigatório, há vantagens em ter as estações de trabalho no domínio. Isso permite alguns recursos de logon único (não abrangentes), além de controle e gerenciamento significativos das estações de trabalho por meio de "políticas de grupo".
--> Por exemplo, através do GP, você pode controlar as configurações de proteção de tela, exigindo que a proteção de tela bloqueie a estação de trabalho após x minutos e exigindo a senha para desbloquear.

6- Você pode ser um bom candidato ao Microsoft Small Business Server se precisar de email, compartilhamento de arquivos, acesso remoto e serviço da web.

Eu apóio a nota sobre ter dois controladores de domínio. Se você tiver apenas um DC e ele falhar, você terá muita dificuldade em obter acesso às coisas. É (acredito)) possível que os servidores de terminal também sejam controladores de domínio, embora eu suspeite muitos não o recomendam.Em uma rede pequena como a sua, a carga de trabalho DC será insignificante, portanto pode funcionar.


EDIT: em um comentário s.mihai perguntou: "é do interesse deles nos fazer comprar tudo o que podemos. Mas posso ficar bem sem o AD? Contas locais, sem troca .... ?! "

Se você estivesse no seu lugar, usaria o projeto TS como uma desculpa para adicionar AD para os benefícios, principalmente nas estações de trabalho. Mas parece que sua mente está decidida e você quer se esconder, então aqui está.

ABSOLUTAMENTE você pode ficar bem sem AD.

20
tomjedrz

em cima da minha cabeça:

  1. gerenciamento e auditoria centralizados de usuários e segurança
  2. políticas de grupo de computadores centralizadas
  3. implantação de software (via GPO)

O AD também é necessário para aplicativos como troca.

A MS possui um whitepaper apenas para você sobre este tópico.

16
Nick Kavadias

O AD possui muitos recursos que você pode achar muito úteis. O primeiro deles é a autenticação centralizada. Todas as contas de usuário são gerenciadas em um único local. Isso significa que você pode usar suas credenciais entre qualquer uma das máquinas no ambiente.

Outro item que isso permite é maior segurança no compartilhamento de recursos. Grupos de segurança são muito úteis para direcionar o acesso a recursos como compartilhamentos de arquivos.

A política de grupo permite impor configurações em vários computadores ou usuários. Isso permitiria definir políticas diferentes para usuários que efetuam login nos servidores de terminal e usuários que fazem login em suas estações de trabalho.

Se você configurar os servidores de terminal corretamente e dependendo dos aplicativos, a autenticação centralizada, os direitos de acesso via Grupos de Segurança e as políticas GPO permitirão que você utilize os dois servidores de terminal em mais estilos de cluster do que em sua configuração atual, onde um fica ocioso o tempo todo, permite escalar até mais servidores de terminal (estilo N + 1) à medida que a necessidade de recursos aumenta.

A desvantagem é que você está pensando apenas em 1 controlador de domínio. Eu recomendo fortemente 2. Isso garante que você não tenha um único ponto de falha para o seu domínio do Active Directory.

Como mencionado em vários comentários. O custo provavelmente será um fator significativo aqui. Se o interlocutor original tiver uma configuração totalmente funcional, pode estar fora do seu orçamento trazer o hardware e o software necessários para manter um ambiente de domínio do Active Directory sem um caso esmagador para justificar os custos. Se tudo estiver funcionando, o AD certamente não é necessário para que um ambiente funcione. Aqueles de nós que o usaram em ambientes corporativos no passado são fortes defensores. Isso se deve em grande parte ao fato de facilitar o trabalho dos administradores a longo prazo.

10
Kevin Colby

Eu acho que a questão maior é por que não?

Você está deixando as contas de usuário separadas por segurança? Os usuários de cada máquina usam apenas essa máquina?

Se os mesmos usuários precisarem usar todas as máquinas, o AD oferecerá os seguintes benefícios: Se o logon no domínio em que são confiáveis, em todos os locais em que eles e seus grupos são confiáveis. Se eles mudarem sua senha, é a mesma em todos os lugares; eles não precisam se lembrar de alterá-lo nas dez máquinas (ou pior, esquecê-lo e precisar que você o redefina para eles, a cada duas semanas).

Para você, oferece o benefício do controle central/global de permissões. Se você tiver pastas com permissões especiais para grupos e uma nova pessoa for contratada, basta adicioná-las ao grupo e pronto. você não precisa se conectar a cada máquina e criar o mesmo usuário repetidamente e definir as permissões.

Além disso, a máquina de cada usuário estará no domínio, portanto poderá ser controlada pelo domínio.

Eu acho que o maior benefício são os GPOs. Quando eles se conectam ao domínio, podem enviar políticas para o PC que podem proteger a segurança de toda a sua rede.

Dito isto, meu escritório é pequeno (cerca de 15) e não temos um departamento oficial de TI. Portanto, usamos (excessivamente) o MS Groove como nossa infraestrutura e, na verdade, não temos AD ou nenhum servidor central; Somos baseados em laptop.

6
John Christman

Recentemente, mudei-me para uma loja (relativamente grande/bem-sucedida) sem o MS AD. Claro, você perde o Logon Único da Microsoft/Windows, mas há outras soluções, como Proxies de Autenticação (SiteMinder, webseal etc.) Quanto ao gerenciamento centralizado de usuários, qualquer LDAP (ou SiteMinder) também pode ser uma opção.

Então, sim, você pode ser uma loja de sucesso sem o (MS) AD, você só precisa encontrar a alternativa.

6
kolonell

Na minha opinião, um dos maiores é o logon único. Embora pareça que seus usuários finais provavelmente não percebem, certamente é uma coisa agradável do ponto de vista do administrador. Você só tem uma senha para acompanhar, e quando se trata de alterá-la, você precisa fazer apenas um local, não 32. Existem várias coisas que você pode fazer para gerenciar seu ambiente, se não tiver medo de usar scripts. .

5
sysadmin1138

O benefício do AD precedente é obviamente custo.

Os benefícios do AD se resumem a 2 fatores; se você não se importa com eles, a resposta é "Não".

  • Gerenciamento centralizado: de usuários, contas de computador, lotes, atualizações automáticas, implantação de software, política de grupo etc. (Para não simplificar demais isso, certifique-se de entender os efeitos de "pensar pequeno" em questões fundamentais. Um único exemplo: 30 endereços IP estáticos é sustentável. Como cerca de 100? 256?)
  • Base de expansão: 2 controladores AD parecem excessivos (embora ainda sejam necessários) para uma rede de 30, mas são suficientes para 1.000 a 1.500 usuários, acredito? Configurado corretamente, o AD não precisa ser alterado até você ficar muito maior.

Eu acho que o melhor conselho é ler a tag do Active Directory aqui no SF à medida que ela for concluída - para ver se você consegue identificar recursos suficientes (por exemplo, Hyper V com servidor 2008) que beneficiarão sua loja para fazer a compra valer a pena.

4
Kara Marfia

Todas as boas respostas aqui. Vou colocar meu polegar para cima por ter dois controladores de domínio também. Em um ambiente pequeno, mesmo colocando ambos como VMs no mesmo pedaço de hardware seria - OK. Alguém provavelmente pode comentar isso com mais autoridade, mas se você usar o MS Hyper-V (servidor 2K8) como o host, poderá ter alguns benefícios de licenciamento do sistema operacional?

A autenticação unificada (SSO)/unificada poupa muito trabalho na criação de contas e na configuração de permissões de pasta em todo o lugar. É claro que colocar o AD no lugar e adicionar sistemas e usuários ao domínio exigirá algum esforço.

Jeff

2
Jeff Hengesbach

Você precisa de autenticação e gerenciamento centralizados se pretender expandir esse ambiente. Mesmo que você não pretenda aumentar o ambiente, verá economias em tempo real no dia-a-dia, implementando autenticação e autorização centralizadas agora.

Se for um ambiente Windows, o AD é a solução fácil, mas cara. Se o custo é o ponto de discórdia do AD, implemente o Samba.

No começo, parecerá mais difícil, mas você se acostumará às ferramentas e olhará para trás e se perguntará como não era completamente óbvio para você que precisava fazer isso.

2
Brian

Você NÃO precisa de AD.*

Grande escritório de advocacia. Variamos de ~ 103 a ~ 117 usuários, com 4 sites em 3 estados nos últimos 2 anos, com rotatividade de estagiários e funcionários. Nós administramos toda a empresa com 1 caixa de servidor para dominó/notas e contabilidade, alguns servidores w2k8 dedicados a software especializado, cerca de 5 ou 6 caixas genéricas dedicadas do Windows para vários aplicativos e ... 2 caixas linux para todas as necessidades do servidor de arquivos e backup, além de uma terceira caixa para um firewall. Tudo funciona como o coelho energizador, e não tivemos muitos problemas com fornecedores ou software.

  • mas você pode obtê-lo de qualquer maneira. A Microsoft pretende que você participe do coletivo e, além de migrar para fora do Windows, está praticamente destinado a acabar com o AD a longo prazo.
1
voltaire

Razões para usar o Active Directory

  1. Grupo de segurança do usuário protegido
  2. Gerenciamento centralizado de contas de usuário
  3. Gerenciamento centralizado de políticas por meio de objetos de políticas de grupo
  4. Serviços gerenciados adicionais
  5. Melhor gerenciamento de segurança
  6. Replicação de perfil
  7. Políticas de autenticação
  8. Lixeira do AD
  9. Ativação de CAL
  10. Distribuição de patches
  11. Serviços web AD
  12. Redefinição de senha
  13. Logon único
  14. Autenticação de dois fatores
  15. Consolidação de diretório
  16. Partições de diretório de aplicativos
  17. Cache de grupo universal
  18. Login de perfil híbrido
  19. Escalabilidade sem complexidade
  20. Ambiente de desenvolvimento poderoso
  21. Duplicações de sessão

Eu executei um sistema sem o Active Directory; no entanto, você precisa compensar as demandas por meio de ferramentas alternativas. Eu mudei para o AD em cerca de 150 usuários em três organizações diferentes.

0
LJones