Apakah saya benar-benar membutuhkan MS Active Directory? [Tutup]

Saya mengelola toko yang terdiri dari 30 mesin dan 2 server terminal (satu produksi, satu siaga.) Haruskah saya benar-benar menyebarkan Active Directory di jaringan kami?

Apakah benar-benar ada manfaatnya, yang bisa menyamai keberadaan server AD lain? Server Terminal kami dijalankan secara independen, tanpa layanan lain di dalamnya, kecuali APP perusahaan kami.

Fitur hebat apa yang saya lewatkan jika saya tetap menjalankannya tanpa AD?

pembaruan : tetapi apakah ada di antara Anda yang menjalankan toko yang sukses tanpa iklan?

Untuk 30 mesin? Ini sepenuhnya opsional.

Saya mengelola beberapa lokasi besar (rata-rata 30 ~ 125 sistem / workstation per lokasi) berjalan tanpa AD menggunakan Samba dan skrip batch / autoit. Mereka bekerja dengan baik, dan terlepas dari pemutakhiran hal-hal aneh pada perangkat lunak, bebas dari masalah.

Menggunakan Active Directory membawa sejumlah keuntungan ke jaringan Anda, beberapa yang bisa saya pikirkan di atas kepala saya:

• Manajemen akun pengguna terpusat
• Manajemen kebijakan terpusat (kebijakan kelompok)
• Manajemen keamanan yang lebih baik
• Replikasi informasi antara DC

Jelas manfaat ini juga membawa beberapa biaya tambahan, dan banyak pekerjaan dan waktu diperlukan untuk mengatur lingkungan AD, terutama jika Anda memiliki pengaturan yang ada, namun manfaat dari manajemen terpusat yang membawa AD sangat sepadan, menurut saya .

Beberapa respons "drive-by" ...

1- Jika Anda menggunakan Exchange untuk email, maka AD diperlukan. Anda mungkin tidak menggunakan Exchange atau Anda akan tahu itu, tapi saya sertakan untuk mereka yang mungkin mempertimbangkan ini.

2- AD mengelola sistem "otentikasi terpusat". Anda mengontrol pengguna, grup, dan kata sandi di satu tempat. Jika Anda tidak memiliki AD, Anda mungkin harus mengatur pengguna Anda secara terpisah pada setiap server terminal, atau memiliki pengguna generik pada masing-masing untuk mengakses dan menggunakan keamanan dalam aplikasi.

3 - Jika Anda memiliki server Windows lainnya, AD memungkinkan pengamanan langsung sumber daya pada server tersebut di satu tempat (AD).

4- AD termasuk beberapa layanan lain (DNS, DHCP) yang seharusnya dikelola secara terpisah. Saya menduga Anda mungkin tidak menggunakannya jika server Windows yang Anda miliki hanyalah server terminal.

5- Meskipun tidak diperlukan, ada manfaatnya memiliki workstation di domain. Hal ini memungkinkan untuk beberapa kemampuan akses tunggal (tidak komprehensif) serta kontrol dan pengelolaan workstation yang signifikan melalui "kebijakan grup".
-> Misalnya, melalui GP Anda dapat mengontrol pengaturan screen saver, mengharuskan screen saver mengunci workstation setelah x menit dan membutuhkan kata sandi untuk membuka kunci.

6- Anda mungkin menjadi kandidat yang baik untuk Microsoft Small Business Server jika Anda memerlukan email, berbagi file, akses jarak jauh, dan penyajian web.

Saya kedua catatan tentang memiliki dua pengontrol domain. Jika Anda hanya memiliki satu DC dan gagal, Anda berada dalam kesulitan nyata mendapatkan akses ke berbagai hal. Hal ini (saya percaya) mungkin untuk memiliki terminal server juga menjadi pengontrol domain, meskipun saya kira banyak yang tidak akan merekomendasikannya. Dalam jaringan kecil seperti milik Anda, beban kerja DC tidak akan signifikan, sehingga mungkin berhasil.

EDIT: dalam komentar s.mihai bertanya: "ini kepentingan mereka untuk membuat kami membeli semua yang kami bisa. Tetapi bisakah saya baik-baik saja tanpa AD? Akun lokal, tanpa pertukaran ....?!"

Jika saya berada di posisi Anda, saya akan menggunakan proyek TS sebagai alasan untuk menambahkan AD untuk manfaat, terutama di workstation. Tetapi kedengarannya seperti pikiran Anda dibuat dan Anda ingin berlindung, jadi ini dia.

BENAR-BENAR Anda bisa baik-baik saja tanpa AD.

Dari atas kepala saya:

1. manajemen & audit pengguna & keamanan terpusat
2. kebijakan grup komputer terpusat
3. penyebaran perangkat lunak (via GPO)

AD juga diperlukan untuk aplikasi seperti pertukaran.

MS memiliki whitepaper hanya untuk Anda tentang topik ini.

AD memiliki banyak fitur yang menurut Anda sangat berguna. Yang pertama adalah Otentikasi Terpusat. Semua akun pengguna dikelola dalam satu lokasi. Ini berarti Anda dapat menggunakan kredensial Anda di antara mesin apa pun di lingkungan.

Item lain yang dibolehkan adalah keamanan yang lebih baik untuk berbagi sumber daya. Grup keamanan sangat berguna untuk menargetkan akses ke sumber daya seperti berbagi file.

Kebijakan grup memungkinkan Anda menerapkan pengaturan di sejumlah mesin atau pengguna. Ini akan memungkinkan Anda untuk menetapkan kebijakan yang berbeda untuk pengguna yang masuk ke server Terminal vs pengguna yang masuk ke workstation mereka.

Jika Anda mengatur server terminal dengan benar dan tergantung pada aplikasi, otentikasi terpusat, hak akses melalui Grup Keamanan dan kebijakan GPO akan memungkinkan Anda untuk menggunakan kedua server Terminal dengan lebih dari gaya yang dikelompokkan daripada dalam pengaturan Anda saat ini di mana ada yang menganggur semua waktu ini akan memungkinkan Anda untuk meningkatkan server terminal (gaya N +1) karena kebutuhan akan sumber daya meningkat.

Kelemahannya adalah Anda hanya memikirkan 1 Domain Controller. Saya sangat menyarankan 2. Ini memastikan bahwa Anda tidak memiliki satu titik kegagalan untuk Domain Direktori Aktif Anda.

Seperti disebutkan dalam beberapa komentar. Biaya kemungkinan menjadi faktor penting di sini. Jika penanya asli memiliki pengaturan yang berfungsi penuh, mungkin di luar anggarannya untuk membawa perangkat keras dan perangkat lunak yang diperlukan untuk berdiri di lingkungan domain Direktori Aktif tanpa kasus besar untuk membenarkan biaya. Jika semuanya berfungsi, AD tentu tidak diperlukan untuk lingkungan untuk bekerja. Kita yang telah menggunakannya di lingkungan perusahaan di masa lalu adalah pendukung yang sangat kuat. Ini sebagian besar disebabkan oleh fakta bahwa itu membuat pekerjaan Administrator jauh lebih mudah dalam jangka panjang.

Saya baru-baru ini pindah ke toko (relatif besar / sukses) tanpa MS AD. Tentu, Anda kehilangan Microsoft / Windows Single Sign On tetapi ada solusi lain untuk itu seperti Otentikasi Proksi (SiteMinder, webseal dll.) Untuk manajemen pengguna terpusat, LDAP (atau SiteMinder) mana pun bisa menjadi pilihan.

Jadi ya, Anda bisa menjadi toko yang sukses tanpa (MS) AD, Anda hanya perlu menemukan alternatifnya.

Saya pikir pertanyaan yang lebih besar adalah mengapa tidak?

Apakah Anda meninggalkan akun Pengguna terpisah untuk keamanan? Apakah pengguna setiap mesin hanya menggunakan mesin itu?

Jika pengguna yang sama perlu menggunakan semua mesin, AD akan memberi mereka manfaat ini: Jika login ke domain mereka dipercayai di semua tempat mereka dan kelompok mereka dipercaya. Jika mereka mengubah kata sandi, itu sama di mana-mana; mereka tidak harus ingat untuk mengubahnya di semua 10 mesin (atau lebih buruk lupakan saja dan perlu Anda mengatur ulang untuk mereka, setiap minggu).

Bagi Anda itu memberi manfaat kontrol pusat / global izin. Jika Anda memiliki folder yang memiliki izin khusus untuk grup dan orang baru dipekerjakan, Anda cukup menambahkannya ke grup dan selesai. Anda tidak harus melampirkan ke setiap mesin dan membuat pengguna yang sama berulang-ulang dan mengatur izin.

Juga setiap mesin pengguna akan berada di domain, sehingga dapat dikontrol oleh domain.

Saya pikir manfaat terbesarnya adalah GPO's Ketika mereka masuk ke domain untuk dapat mengirim kebijakan ke PC mereka yang dapat melindungi keamanan seluruh jaringan Anda.

Itu dikatakan kantor saya kecil (sekitar 15), dan kami tidak memiliki departemen TI resmi. Jadi kami (over) menggunakan MS Groove sebagai Infrastruktur kami, dan tidak memiliki AD atau server pusat apa pun; Kami berbasis Laptop.

Menurut saya salah satu yang terbesar adalah sistem masuk tunggal. Meskipun kedengarannya seperti pengguna akhir Anda mungkin tidak menyadarinya, itu jelas merupakan hal yang baik dari sudut pandang admin. Anda hanya memiliki satu kata sandi untuk dilacak, dan ketika harus diubah, Anda hanya perlu melakukannya di satu tempat, bukan 32. Ada banyak hal yang dapat Anda lakukan untuk mengelola lingkungan Anda jika Anda tidak takut skrip .

Manfaat dari iklan di atas jelas biaya.

Manfaat AD bermuara pada 2 faktor, jika Anda tidak mempedulikannya, jawabannya adalah "Tidak".

• Manajemen terpusat: pengguna, akun komputer, lot, pembaruan otomatis, penyebaran perangkat lunak, kebijakan grup, dll. (Agar saya tidak terlalu menyederhanakan ini, pastikan Anda memahami efek "berpikir kecil" dalam hal-hal mendasar. Contoh tunggal: 30 alamat IP statis dapat dipertahankan. Bagaimana dengan 100? 256?)
• Landasan ekspansi: 2 pengontrol AD ​​tampaknya berlebihan (meskipun masih perlu) untuk jaringan 30, tetapi cukup untuk 1000-1500 pengguna, saya percaya? Atur dengan benar, AD tidak perlu diubah sampai Anda menjadi lebih besar.

Saya pikir saran terbaik adalah dengan membaca dengan teliti tag direktori aktif di sini di SF saat mengisi - untuk melihat apakah Anda dapat melihat fitur yang cukup (misalnya Hyper V dengan server 2008) yang akan menguntungkan toko Anda untuk melakukan pembelian yang berharga.

Semua jawaban bagus di sini. Saya akan mengacungkan jempol karena memiliki dua pengontrol domain juga. Dalam lingkungan kecil bahkan menempatkan keduanya sebagai VM pada perangkat keras yang sama akan - OK. Seseorang mungkin dapat mengikuti ini dengan lebih otoritatif, tetapi jika Anda menggunakan MS Hyper-V (server 2K8) sebagai tuan rumah, Anda mungkin memiliki beberapa manfaat lisensi OS?

Memiliki Sistem Masuk Tunggal (SSO) / otentikasi terpadu akan menghemat banyak pekerjaan Anda dalam membuat akun dan mengatur izin folder di semua tempat. Tentu saja menempatkan AD dan menambahkan sistem & pengguna ke domain akan membutuhkan usaha.

Jeff

Anda perlu otentikasi dan manajemen terpusat jika Anda bermaksud menumbuhkan lingkungan ini sama sekali. Bahkan jika Anda tidak berniat menumbuhkan lingkungan, Anda akan melihat penghematan waktu nyata dalam operasi sehari-hari dengan menerapkan otentikasi dan otorisasi terpusat sekarang.

Jika ini adalah lingkungan Windows, AD adalah perbaikan yang mudah, tetapi mahal. Jika biaya adalah titik lengket untuk AD, maka implementasikan Samba.

Pada mulanya akan terasa lebih sulit, tetapi Anda akan terbiasa dengan alat-alat itu dan Anda akan menoleh ke belakang dan bertanya-tanya bagaimana tidak sepenuhnya jelas bagi Anda bahwa Anda perlu melakukan ini.

Anda TIDAK perlu iklan. *

Firma hukum besar. Kami telah berkisar dari ~ 103 hingga ~ 117 pengguna, dengan 4 situs di 3 negara selama 2 tahun terakhir, dengan pergantian karyawan magang dan pegawai. Kami menjalankan seluruh perusahaan dengan 1 kotak server untuk domino / catatan dan akuntansi, beberapa server khusus w2k8 untuk perangkat lunak khusus, sekitar 5 atau 6 kotak jendela generik khusus untuk berbagai aplikasi dan ... 2 kotak linux untuk semua kebutuhan server file dan cadangan, ditambah kotak ke-3 untuk firewall. Semuanya berjalan seperti kelinci energizer, dan kami belum memiliki banyak masalah dengan vendor atau perangkat lunak.

• tetapi Anda tetap bisa mendapatkannya. Microsoft bermaksud bahwa Anda AKAN bergabung dengan kolektif, dan selain bermigrasi dari Windows sama sekali, Anda cukup ditakdirkan untuk berakhir dengan AD dalam jangka panjang.

Alasan menggunakan Active Directory

1. Grup keamanan pengguna yang dilindungi
2. Manajemen akun pengguna terpusat
3. Manajemen kebijakan terpusat melalui objek kebijakan grup
4. Layanan terkelola tambahan
5. Manajemen keamanan yang lebih baik
6. Replikasi profil
7. Kebijakan otentikasi
8. AD recycle bin
9. Aktivasi CAL
10. Distribusi tambalan
11. Layanan web AD
12. Reset kata sandi
13. Masuk tunggal
14. Otentikasi dua faktor
15. Konsolidasi direktori
16. Partisi direktori aplikasi
17. Caching grup universal
18. Login profil hibrid
19. Skalabilitas tanpa kompleksitas
20. Lingkungan pengembangan yang kuat
21. Duplikasi sesi

Saya berhasil menjalankan sistem tanpa Active Directory; Namun, Anda perlu mengkompensasi tuntutan melalui alat alternatif. Saya beralih ke AD di sekitar 150 pengguna di tiga organisasi berbeda.