Eu realmente preciso do MS Active Directory? [fechadas]

28

Eu gerencio uma loja de 30 máquinas espalhadas e 2 servidores de terminal (uma produção, uma espera). Devo realmente implantar o Active Directory em nossa rede?

Existe realmente algum benefício que poderia equilibrar a existência de outro servidor AD? Nosso Terminal Server é executado de forma independente, sem outros serviços, exceto nosso APP corporativo.

Quais são os grandes recursos que faltam se eu ainda executá-lo sem o AD?

update : mas algum de vocês está executando uma loja de sucesso sem o AD?

windows active-directory s.mihai
fonte
Como você lida com email e compartilhamento de arquivos?
#
O email está sendo tratado com uma solução de email hospedado (também nosso servidor da Web está hospedado) POP e SMTP e acesso com o Outlook Express. A partilha de ficheiros é tratada com uma pasta compartilhada no servidor de backup (é um hot backup, os usuários simplesmente alterar o endereço IP do servidor e, em seguida, eles se conectam ao sistema de backup)
s.mihai
Como mencionado abaixo, é realmente necessário ter outros 2 servidores como DC com os custos adicionais - hardware, licenças, energia ???
s.mihai 27/05/2009
Como você lida com permissões de usuário com compartilhamento de arquivos? você tem 30 contas de usuário na caixa?
27410 Nick Kavadias
6
Então, se uma nova pessoa inicia ou alguém sai, você precisa passar por todas essas máquinas manualmente e consertar contas? Ou pelo menos mais do que em um só lugar?
Oskar Duveborn

Respostas:

0

Para 30 máquinas? É totalmente opcional.

Eu gerencio vários locais grandes (30 a 125 sistemas / estações de trabalho por local, em média) executando sem o AD usando Samba e scripts em lote / autoit. Eles funcionam bem e, além da estranha atualização de software que quebra as coisas, não têm problemas.

voltaire
fonte
3
Uau, essa resposta tem mudado muito ao longo das revisões ...
Chris S
@ Chris S - heh, sim. Eu percebi isto também.
EEAA
1
Se eu pudesse remover o comentário, eu o faria. Eu não sou um grande fã do AD e use-o apenas quando necessário. A redação da pergunta original acabou sendo alterada, tornando minha resposta (e outra) fora de tópico e, pior ainda, digna de grandes votos negativos de pessoas que veem o AD como a única solução; Por isso, puxei as alternativas e a retórica não mais aplicáveis. Eu não sou um troll; portanto, se minhas respostas são tão inúteis que justificam a marcação como errada, elas devem simplesmente ser excluídas.
voltaire
A pergunta original era basicamente: eu realmente preciso disso?
voltaire
32

O uso do Active Directory traz uma série de vantagens para a sua rede, algumas das quais consigo pensar em primeira linha:

  • Gerenciamento centralizado de contas de usuário
  • Gerenciamento centralizado de políticas (política de grupo)
  • Melhor gerenciamento de segurança
  • Replicação de informações entre DCs

Obviamente, esses benefícios também trazem alguma sobrecarga, e é necessário muito trabalho e tempo para configurar um ambiente do AD, especialmente se você tiver uma configuração existente; no entanto, os benefícios do gerenciamento centralizado que o AD traz valem a pena, na minha opinião. .

Sam Cogan
fonte
20

Algumas respostas "drive-by" ...

1- Se você estiver usando o Exchange por email, o AD será necessário. Você provavelmente não está usando o Exchange ou você saberia disso, mas eu o incluo para aqueles que podem estar considerando isso.

2- O AD gerencia um sistema de "autenticação centralizada". Você controla usuários, grupos e senhas em um único local. Se você não possui o AD, provavelmente precisará configurar seus usuários separadamente em cada servidor de terminal ou ter um usuário genérico em cada um para acessar e usar a segurança no aplicativo.

3- Se você possui outros servidores Windows, o AD permite a proteção direta de recursos nesses servidores em um único local (AD).

4- O AD inclui alguns outros serviços (DNS, DHCP) que, de outra forma, precisam ser gerenciados separadamente. Eu suspeito que você pode não usá-los se os únicos servidores Windows que você possui são os servidores de terminal.

5- Embora não seja necessário, há vantagens em ter as estações de trabalho no domínio. Isso permite alguns recursos de logon único (não abrangentes), além de controle e gerenciamento significativos das estações de trabalho por meio de "políticas de grupo".
-> Por exemplo, através do GP, você pode controlar as configurações de proteção de tela, exigindo que a proteção de tela bloqueie a estação de trabalho após x minutos e exigindo a senha para desbloquear.

6- Você pode ser um bom candidato ao Microsoft Small Business Server se precisar de email, compartilhamento de arquivos, acesso remoto e serviço da web.

Eu apóio a nota sobre ter dois controladores de domínio. Se você tiver apenas um CD e ele falhar, você terá uma dor real ao ter acesso às coisas. É (acredito) possível que os servidores de terminal também sejam controladores de domínio, embora eu suspeite que muitos não o recomendem. Em uma rede pequena como a sua, a carga de trabalho do DC será insignificante, portanto pode funcionar.

EDIT: em um comentário s.mihai perguntou: "é do interesse deles nos fazer comprar tudo o que pudermos. Mas posso ficar bem sem o AD? Contas locais, sem troca ....?!"

Se você estivesse no seu lugar, usaria o projeto TS como uma desculpa para adicionar AD para os benefícios, principalmente nas estações de trabalho. Mas parece que sua mente está decidida e você quer se esconder, então aqui está.

ABSOLUTAMENTE, você pode ficar bem sem o AD.

tomjedrz
fonte
Apenas no local. Ter e manter o AD precisaria de mais 2 servidores, já que a execução do DC em nosso TS está fora de questão, a última vez que verifiquei a configuração de um DC significaria que o PC seria mais lento, devido à desativação do armazenamento em cache, lentidão no acesso ao disco e algumas outras coisas que eu não compreendeu (i já falei sobre isso com os fabricantes de nosso aplicativo corporativo rodando em TS)
s.mihai
Eu sou cético, a menos que o hardware TS já esteja com pouca potência. Eu vou perguntar!
#
não, não há necessidade de cobertura, eu só estava me perguntando se realmente valia o custo e estou fazendo um balanço. eu não queria ir com a idéia: <i> "se funciona, por que mudar" </i>
s.mihai
2
Voto positivo para a BOLD ASSERTION final.
27413 Joseph Kern
+1 para Joseph Kern - Obrigado! Não é minha recomendação, mas funcionará.
tomjedrz
16

Em cima da minha cabeça:

  1. gerenciamento e auditoria centralizados de usuários e segurança
  2. políticas de grupo de computadores centralizadas
  3. implantação de software (via GPO)

O AD também é necessário para aplicativos como troca.

A MS possui um white paper para você sobre este tópico.

Nick Kavadias
fonte
+1, duplicata exata de qual seria minha resposta.
21415 squillman
2
todos nós fomos doutrinados pelo treinamento da ms! bom ver
Nick Kavadias
é o interesse deles nos fazer comprar tudo o que pudermos. mas posso ficar bem sem o AD? contas locais, sem troca ....?!
27610 s.mihai
1
Você pode viver sem isso, mas você quer? Não tê-lo significa mais trabalho de gerenciamento para você. No mínimo você exigir outra licença de servidor do Windows (o backup TS poderia também tornar-se um servidor AD para redundância?) As pequenas empresas tendem a esquecer que o trabalho é mais caro do software
Nick Kavadias
10

O AD possui muitos recursos que você pode achar muito úteis. O primeiro deles é a autenticação centralizada. Todas as contas de usuário são gerenciadas em um único local. Isso significa que você pode usar suas credenciais entre qualquer uma das máquinas no ambiente.

Outro item que isso permite é maior segurança no compartilhamento de recursos. Grupos de segurança são muito úteis para direcionar o acesso a recursos como compartilhamentos de arquivos.

A política de grupo permite impor configurações em vários computadores ou usuários. Isso permitiria definir políticas diferentes para usuários que efetuam login nos servidores de terminal e usuários que fazem login em suas estações de trabalho.

Se você configurar seus servidores de terminal corretamente e dependendo dos aplicativos, a autenticação centralizada, os direitos de acesso por meio de Grupos de Segurança e políticas de GPO permitirão que você utilize os dois servidores de Terminal em um estilo mais agrupado do que na sua configuração atual, onde todos estão ociosos. o tempo que isso permitirá escalar até mais servidores de terminal (estilo N + 1) à medida que a necessidade de recursos aumenta.

A desvantagem é que você está pensando apenas em 1 controlador de domínio. Eu recomendo fortemente 2. Isso garante que você não tenha um único ponto de falha para o seu domínio do Active Directory.

Como mencionado em vários comentários. O custo provavelmente será um fator significativo aqui. Se o interlocutor original tiver uma configuração totalmente funcional, pode estar fora do seu orçamento trazer o hardware e o software necessários para manter um ambiente de domínio do Active Directory sem um caso esmagador para justificar os custos. Se tudo estiver funcionando, o AD certamente não é necessário para que um ambiente funcione. Aqueles de nós que o usaram em ambientes corporativos no passado são, no entanto, fortes defensores. Isso se deve em grande parte ao fato de facilitar o trabalho dos administradores a longo prazo.

Kevin Colby
fonte
como mencionado em outro comentário, a definição 2 DC e mais 2 servidores não justificaria o dinheiro necessário para licenças e hardware e energia necessária para executar aqueles 34/7
s.mihai
1
Sou cético quanto à necessidade de hardware adicional.
#
1
O custo de hardware e software é certamente um problema. No entanto, ele não pode ter seus servidores de terminal atuando como controladores de domínio, devido ao fato de os usuários que não pertencem ao grupo Administradores de Domínio não terem direitos para efetuar login em um Controlador de Domínio. Este seria um grande problema de segurança, se não fosse assim. É possível conceder direitos de logon no controlador de domínio a outros usuários, mas não é suportado pela Microsoft em minha experiência.
21415 Kevin Colby
Até um Small Business Server utiliza o AD e, para os Serviços de Terminal, desde o SBS2008, agora é necessário 2 servidores no total. Os microsofts consideram que mesmo um único servidor com 5 usuários se beneficia do AD. Eu diria que você se beneficiaria de qualquer diretório global, mesmo na sua própria casa particular - na verdade, ele NÃO precisa ser AD, mas eu diria que você deve usar ALGUM diretório global para poder gerenciar usuários e ter uma trilha de auditoria em funcionamento. E se você já está executando o Windows, o AD parece lógico.
Oskar Duveborn
Mesmo o Foundation Server, que é quase gratuito, 15 "edições iniciais" do Windows Server usam o AD - e isso é destinado a pessoas que pensam que o SBS é demais.
Oskar Duveborn
6

Recentemente, mudei-me para uma loja (relativamente grande / bem-sucedida) sem o MS AD. Claro, você perde o Logon Único da Microsoft / Windows, mas existem outras soluções, como Proxies de Autenticação (SiteMinder, webseal etc.) Quanto ao gerenciamento centralizado de usuários, qualquer LDAP (ou SiteMinder) também pode ser uma opção.

Então, sim, você pode ser uma loja de sucesso sem o (MS) AD, você só precisa encontrar a alternativa.

Kolonell
fonte
3
A única alternativa realista ao MS AD é provavelmente o Samba com o OpenLDAP. Ainda acho que você não pode vencer o MS no ROI, mesmo que a alternativa de código aberto seja gratuita. Um macaco cego pode configurar o AD!
Nick Kavadias
6
Você poderia definir "loja grande"? Estamos falando de 100-1000 sistemas? Sem o GPO (através do AD), você deve ter uma tonelada de entropia (ou seja, sistemas com configurações diferentes). Atualmente, você usa alguma coisa para substituir o AD (exceto a graxa de cotovelo)? Honestamente, durante a execução de uma rede Windows, eu sou muito preguiçoso para não correr AD ...
Joseph Kern
Para mim, parece reinventar um bycyle. Que alternativa real ao anúncio você está usando?
Taras Chuhay 17/11/2009
1
Parece-me que o OP estava apenas procurando alguém para apoiar sua ideia de que o AD não é tão útil quanto todo mundo faz parecer. Realmente não existe um substituto maduro para uma "loja grande", embora eu ache que o grande seja subjetivo.
MDMarra
1
@Nick Kavadias: Quem você chama de macaco cego? ;)
GregD
6

Eu acho que a questão maior é por que não?

Você está deixando as contas de usuário separadas por segurança? Os usuários de cada máquina usam apenas essa máquina?

Se os mesmos usuários precisarem usar todas as máquinas, o AD oferecerá os seguintes benefícios: Se o logon no domínio em que são confiáveis, em todos os locais em que eles e seus grupos são confiáveis. Se eles mudarem sua senha, é a mesma em todos os lugares; eles não precisam se lembrar de alterá-lo em todas as 10 máquinas (ou pior, esquecê-lo e precisar que você o redefina para eles, a cada duas semanas).

Para você, oferece o benefício do controle central / global de permissões. Se você tiver pastas com permissões especiais para grupos e uma nova pessoa for contratada, basta adicioná-las ao grupo e pronto. você não precisa se conectar a cada máquina e criar o mesmo usuário repetidamente e definir as permissões.

Além disso, a máquina de cada usuário estará no domínio, portanto poderá ser controlada pelo domínio.

Eu acho que o maior benefício são os GPOs. Quando eles se conectam ao domínio, podem enviar políticas para o PC que podem proteger a segurança de toda a sua rede.

Dito isto, meu escritório é pequeno (cerca de 15) e não temos um departamento oficial de TI. Portanto, nós (mais) usamos o MS Groove como nossa infraestrutura e não temos realmente nenhum servidor central ou AD; Nós somos baseados em laptop.

John Christman
fonte
+1 para o Groove! Ótimo software!
P.campbell 28/05
5

Na minha opinião, um dos maiores é o logon único. Embora pareça que seus usuários finais provavelmente não percebem, certamente é uma coisa agradável do ponto de vista do administrador. Você só tem uma senha para acompanhar, e quando se trata de alterá-la, você precisa fazer apenas um local, não 32. Existem várias coisas que você pode fazer para gerenciar seu ambiente, se não tiver medo de usar scripts. .

sysadmin1138
fonte
3
Especialmente se você quiser que os usuários alterem suas senhas de vez em quando. Esta é a principal razão pela qual mudamos para o AD.
27340 Peter Turner
Bem ... isso não é bom o suficiente para nós. Não temos quaisquer usuários que vagueiam em torno de nossas instalações, e em relação a novos usuários ... temos um pessoal estável (não muitos vinda / indo dentro ou fora de nossa empresa)
s.mihai
se você estiver apenas buscando uma conexão única, poderá obter uma solução LDAP significativamente mais barata.
Gbjbaanb 28/05/09
Tudo, menos o AD, se integrará às suas credenciais de C + A + D?
26611 James Risto
4

O benefício do AD precedente é obviamente custo.

Os benefícios do AD se resumem a 2 fatores; se você não se importa com eles, a resposta é "Não".

  • Gerenciamento centralizado: de usuários, contas de computador, lotes, atualizações automáticas, implantação de software, diretiva de grupo etc. (Para não simplificar demais isso, verifique se você entende os efeitos de "pensar pequeno" em questões fundamentais. Um exemplo: 30 endereços IP estáticos é sustentável. Como cerca de 100? 256?)
  • Base de expansão: 2 controladores AD parecem excessivos (embora ainda necessários) para uma rede de 30, mas são suficientes para 1.000 a 1.500 usuários, acredito? Configurado corretamente, o AD não precisa ser alterado até você ficar muito maior.

Eu acho que o melhor conselho é ler a tag do diretório ativo aqui no SF à medida que ela é concluída - para ver se você consegue identificar recursos suficientes (por exemplo, Hyper V com servidor 2008) que beneficiarão sua loja para fazer a compra valer a pena.

Kara Marfia
fonte
3
Não concordo que dois controladores de domínio para qualquer rede digna de domínio (mais de 5 a 10 computadores, IMHO) possam ser excessivos. O segundo que vale a pena ter um CD, vale a pena ter dois.
precisa saber é o seguinte
1
Você está certo - é difícil acreditar que eu já me senti seguro com apenas um. ;)
Kara Marfia
2

Todas as boas respostas aqui. Vou colocar meu polegar para cima por ter dois controladores de domínio também. Em um ambiente pequeno, mesmo colocando ambos como VMs no mesmo pedaço de hardware seria - OK. Alguém provavelmente pode comentar isso com mais autoridade, mas se você usar o MS Hyper-V (servidor 2K8) como host, poderá ter alguns benefícios de licenciamento do sistema operacional?

A autenticação unificada (SSO) / unificada poupa muito trabalho na criação de contas e na configuração de permissões de pasta em todo o lugar. É claro que colocar o AD no lugar e adicionar sistemas e usuários ao domínio exigirá algum esforço.

Jeff

Jeff Hengesbach
fonte
2

Você precisa de autenticação e gerenciamento centralizados se pretender expandir esse ambiente. Mesmo que não pretenda aumentar o ambiente, você economizará muito em tempo real no dia-a-dia, implementando autenticação e autorização centralizadas agora.

Se for um ambiente Windows, o AD é a solução fácil, mas cara. Se o custo for o ponto de discórdia do AD, implemente o Samba.

No começo, parecerá mais difícil, mas você se acostumará às ferramentas e olhará para trás e se perguntará como não era completamente óbvio para você que precisava fazer isso.

Brian
fonte
1

Você NÃO precisa de AD. *

Grande escritório de advocacia. Variamos de ~ 103 a ~ 117 usuários, com 4 sites em 3 estados nos últimos 2 anos, com rotatividade de estagiários e funcionários. Nós administramos toda a empresa com 1 caixa de servidor para dominó / notas e contabilidade, alguns servidores dedicados w2k8 para software especializado, cerca de 5 ou 6 caixas genéricas dedicadas do Windows para vários aplicativos e ... 2 caixas linux para todas as necessidades do servidor de arquivos e backup, além de uma terceira caixa para um firewall. Tudo funciona como o coelho energizador, e não tivemos muitos problemas com fornecedores ou software.

  • mas você pode conseguir assim mesmo. A Microsoft pretende que você participe do coletivo e, além de migrar para fora do Windows, você está destinado a acabar com o AD a longo prazo.
voltaire
fonte
Huh, o que há com escritórios de advocacia e Lotus Domino / Notes? Quase todos que eu vi usa-lo ...
SilentW
Era a "solução certa" na época, por isso foi amplamente adotada, tornou-se popular e depois se transformou em uma âncora de barco que ninguém mais amava. É praticamente como a tecnologia vai sempre ...
Voltaire
0

Razões para usar o Active Directory

  1. Grupo de segurança do usuário protegido
  2. Gerenciamento centralizado de contas de usuário
  3. Gerenciamento centralizado de políticas por meio de objetos de políticas de grupo
  4. Serviços gerenciados adicionais
  5. Melhor gerenciamento de segurança
  6. Replicação de perfil
  7. Políticas de autenticação
  8. Lixeira do AD
  9. Ativação de CAL
  10. Distribuição de patches
  11. Serviços web AD
  12. Resetar a senha
  13. Logon único ativado
  14. Autenticação de dois fatores
  15. Consolidação de diretório
  16. Partições de diretório de aplicativos
  17. Cache de grupo universal
  18. Login de perfil híbrido
  19. Escalabilidade sem complexidade
  20. Ambiente de desenvolvimento poderoso
  21. Duplicações de sessão

Eu executei um sistema sem o Active Directory; no entanto, você precisa compensar as demandas por meio de ferramentas alternativas. Eu mudei para o AD em cerca de 150 usuários em três organizações diferentes.

LJones
fonte