Eu realmente preciso do MS Active Directory? [fechadas]

Eu gerencio uma loja de 30 máquinas espalhadas e 2 servidores de terminal (uma produção, uma espera). Devo realmente implantar o Active Directory em nossa rede?

Existe realmente algum benefício que poderia equilibrar a existência de outro servidor AD? Nosso Terminal Server é executado de forma independente, sem outros serviços, exceto nosso APP corporativo.

Quais são os grandes recursos que faltam se eu ainda executá-lo sem o AD?

update : mas algum de vocês está executando uma loja de sucesso sem o AD?

Para 30 máquinas? É totalmente opcional.

Eu gerencio vários locais grandes (30 a 125 sistemas / estações de trabalho por local, em média) executando sem o AD usando Samba e scripts em lote / autoit. Eles funcionam bem e, além da estranha atualização de software que quebra as coisas, não têm problemas.

O uso do Active Directory traz uma série de vantagens para a sua rede, algumas das quais consigo pensar em primeira linha:

• Gerenciamento centralizado de contas de usuário
• Gerenciamento centralizado de políticas (política de grupo)
• Melhor gerenciamento de segurança
• Replicação de informações entre DCs

Obviamente, esses benefícios também trazem alguma sobrecarga, e é necessário muito trabalho e tempo para configurar um ambiente do AD, especialmente se você tiver uma configuração existente; no entanto, os benefícios do gerenciamento centralizado que o AD traz valem a pena, na minha opinião. .

Algumas respostas "drive-by" ...

1- Se você estiver usando o Exchange por email, o AD será necessário. Você provavelmente não está usando o Exchange ou você saberia disso, mas eu o incluo para aqueles que podem estar considerando isso.

2- O AD gerencia um sistema de "autenticação centralizada". Você controla usuários, grupos e senhas em um único local. Se você não possui o AD, provavelmente precisará configurar seus usuários separadamente em cada servidor de terminal ou ter um usuário genérico em cada um para acessar e usar a segurança no aplicativo.

3- Se você possui outros servidores Windows, o AD permite a proteção direta de recursos nesses servidores em um único local (AD).

4- O AD inclui alguns outros serviços (DNS, DHCP) que, de outra forma, precisam ser gerenciados separadamente. Eu suspeito que você pode não usá-los se os únicos servidores Windows que você possui são os servidores de terminal.

5- Embora não seja necessário, há vantagens em ter as estações de trabalho no domínio. Isso permite alguns recursos de logon único (não abrangentes), além de controle e gerenciamento significativos das estações de trabalho por meio de "políticas de grupo".
-> Por exemplo, através do GP, você pode controlar as configurações de proteção de tela, exigindo que a proteção de tela bloqueie a estação de trabalho após x minutos e exigindo a senha para desbloquear.

6- Você pode ser um bom candidato ao Microsoft Small Business Server se precisar de email, compartilhamento de arquivos, acesso remoto e serviço da web.

Eu apóio a nota sobre ter dois controladores de domínio. Se você tiver apenas um CD e ele falhar, você terá uma dor real ao ter acesso às coisas. É (acredito) possível que os servidores de terminal também sejam controladores de domínio, embora eu suspeite que muitos não o recomendem. Em uma rede pequena como a sua, a carga de trabalho do DC será insignificante, portanto pode funcionar.

EDIT: em um comentário s.mihai perguntou: "é do interesse deles nos fazer comprar tudo o que pudermos. Mas posso ficar bem sem o AD? Contas locais, sem troca ....?!"

Se você estivesse no seu lugar, usaria o projeto TS como uma desculpa para adicionar AD para os benefícios, principalmente nas estações de trabalho. Mas parece que sua mente está decidida e você quer se esconder, então aqui está.

ABSOLUTAMENTE, você pode ficar bem sem o AD.

Em cima da minha cabeça:

1. gerenciamento e auditoria centralizados de usuários e segurança
2. políticas de grupo de computadores centralizadas
3. implantação de software (via GPO)

O AD também é necessário para aplicativos como troca.

A MS possui um white paper para você sobre este tópico.

O AD possui muitos recursos que você pode achar muito úteis. O primeiro deles é a autenticação centralizada. Todas as contas de usuário são gerenciadas em um único local. Isso significa que você pode usar suas credenciais entre qualquer uma das máquinas no ambiente.

Outro item que isso permite é maior segurança no compartilhamento de recursos. Grupos de segurança são muito úteis para direcionar o acesso a recursos como compartilhamentos de arquivos.

A política de grupo permite impor configurações em vários computadores ou usuários. Isso permitiria definir políticas diferentes para usuários que efetuam login nos servidores de terminal e usuários que fazem login em suas estações de trabalho.

Se você configurar seus servidores de terminal corretamente e dependendo dos aplicativos, a autenticação centralizada, os direitos de acesso por meio de Grupos de Segurança e políticas de GPO permitirão que você utilize os dois servidores de Terminal em um estilo mais agrupado do que na sua configuração atual, onde todos estão ociosos. o tempo que isso permitirá escalar até mais servidores de terminal (estilo N + 1) à medida que a necessidade de recursos aumenta.

A desvantagem é que você está pensando apenas em 1 controlador de domínio. Eu recomendo fortemente 2. Isso garante que você não tenha um único ponto de falha para o seu domínio do Active Directory.

Como mencionado em vários comentários. O custo provavelmente será um fator significativo aqui. Se o interlocutor original tiver uma configuração totalmente funcional, pode estar fora do seu orçamento trazer o hardware e o software necessários para manter um ambiente de domínio do Active Directory sem um caso esmagador para justificar os custos. Se tudo estiver funcionando, o AD certamente não é necessário para que um ambiente funcione. Aqueles de nós que o usaram em ambientes corporativos no passado são, no entanto, fortes defensores. Isso se deve em grande parte ao fato de facilitar o trabalho dos administradores a longo prazo.

Recentemente, mudei-me para uma loja (relativamente grande / bem-sucedida) sem o MS AD. Claro, você perde o Logon Único da Microsoft / Windows, mas existem outras soluções, como Proxies de Autenticação (SiteMinder, webseal etc.) Quanto ao gerenciamento centralizado de usuários, qualquer LDAP (ou SiteMinder) também pode ser uma opção.

Então, sim, você pode ser uma loja de sucesso sem o (MS) AD, você só precisa encontrar a alternativa.

Eu acho que a questão maior é por que não?

Você está deixando as contas de usuário separadas por segurança? Os usuários de cada máquina usam apenas essa máquina?

Se os mesmos usuários precisarem usar todas as máquinas, o AD oferecerá os seguintes benefícios: Se o logon no domínio em que são confiáveis, em todos os locais em que eles e seus grupos são confiáveis. Se eles mudarem sua senha, é a mesma em todos os lugares; eles não precisam se lembrar de alterá-lo em todas as 10 máquinas (ou pior, esquecê-lo e precisar que você o redefina para eles, a cada duas semanas).

Para você, oferece o benefício do controle central / global de permissões. Se você tiver pastas com permissões especiais para grupos e uma nova pessoa for contratada, basta adicioná-las ao grupo e pronto. você não precisa se conectar a cada máquina e criar o mesmo usuário repetidamente e definir as permissões.

Além disso, a máquina de cada usuário estará no domínio, portanto poderá ser controlada pelo domínio.

Eu acho que o maior benefício são os GPOs. Quando eles se conectam ao domínio, podem enviar políticas para o PC que podem proteger a segurança de toda a sua rede.

Dito isto, meu escritório é pequeno (cerca de 15) e não temos um departamento oficial de TI. Portanto, nós (mais) usamos o MS Groove como nossa infraestrutura e não temos realmente nenhum servidor central ou AD; Nós somos baseados em laptop.

Na minha opinião, um dos maiores é o logon único. Embora pareça que seus usuários finais provavelmente não percebem, certamente é uma coisa agradável do ponto de vista do administrador. Você só tem uma senha para acompanhar, e quando se trata de alterá-la, você precisa fazer apenas um local, não 32. Existem várias coisas que você pode fazer para gerenciar seu ambiente, se não tiver medo de usar scripts. .

O benefício do AD precedente é obviamente custo.

Os benefícios do AD se resumem a 2 fatores; se você não se importa com eles, a resposta é "Não".

• Gerenciamento centralizado: de usuários, contas de computador, lotes, atualizações automáticas, implantação de software, diretiva de grupo etc. (Para não simplificar demais isso, verifique se você entende os efeitos de "pensar pequeno" em questões fundamentais. Um exemplo: 30 endereços IP estáticos é sustentável. Como cerca de 100? 256?)
• Base de expansão: 2 controladores AD parecem excessivos (embora ainda necessários) para uma rede de 30, mas são suficientes para 1.000 a 1.500 usuários, acredito? Configurado corretamente, o AD não precisa ser alterado até você ficar muito maior.

Eu acho que o melhor conselho é ler a tag do diretório ativo aqui no SF à medida que ela é concluída - para ver se você consegue identificar recursos suficientes (por exemplo, Hyper V com servidor 2008) que beneficiarão sua loja para fazer a compra valer a pena.

Todas as boas respostas aqui. Vou colocar meu polegar para cima por ter dois controladores de domínio também. Em um ambiente pequeno, mesmo colocando ambos como VMs no mesmo pedaço de hardware seria - OK. Alguém provavelmente pode comentar isso com mais autoridade, mas se você usar o MS Hyper-V (servidor 2K8) como host, poderá ter alguns benefícios de licenciamento do sistema operacional?

A autenticação unificada (SSO) / unificada poupa muito trabalho na criação de contas e na configuração de permissões de pasta em todo o lugar. É claro que colocar o AD no lugar e adicionar sistemas e usuários ao domínio exigirá algum esforço.

Jeff

Você precisa de autenticação e gerenciamento centralizados se pretender expandir esse ambiente. Mesmo que não pretenda aumentar o ambiente, você economizará muito em tempo real no dia-a-dia, implementando autenticação e autorização centralizadas agora.

Se for um ambiente Windows, o AD é a solução fácil, mas cara. Se o custo for o ponto de discórdia do AD, implemente o Samba.

No começo, parecerá mais difícil, mas você se acostumará às ferramentas e olhará para trás e se perguntará como não era completamente óbvio para você que precisava fazer isso.

Você NÃO precisa de AD. *

Grande escritório de advocacia. Variamos de ~ 103 a ~ 117 usuários, com 4 sites em 3 estados nos últimos 2 anos, com rotatividade de estagiários e funcionários. Nós administramos toda a empresa com 1 caixa de servidor para dominó / notas e contabilidade, alguns servidores dedicados w2k8 para software especializado, cerca de 5 ou 6 caixas genéricas dedicadas do Windows para vários aplicativos e ... 2 caixas linux para todas as necessidades do servidor de arquivos e backup, além de uma terceira caixa para um firewall. Tudo funciona como o coelho energizador, e não tivemos muitos problemas com fornecedores ou software.

• mas você pode conseguir assim mesmo. A Microsoft pretende que você participe do coletivo e, além de migrar para fora do Windows, você está destinado a acabar com o AD a longo prazo.

Razões para usar o Active Directory

1. Grupo de segurança do usuário protegido
2. Gerenciamento centralizado de contas de usuário
3. Gerenciamento centralizado de políticas por meio de objetos de políticas de grupo
4. Serviços gerenciados adicionais
5. Melhor gerenciamento de segurança
6. Replicação de perfil
7. Políticas de autenticação
8. Lixeira do AD
9. Ativação de CAL
10. Distribuição de patches
11. Serviços web AD
12. Resetar a senha
13. Logon único ativado
14. Autenticação de dois fatores
15. Consolidação de diretório
16. Partições de diretório de aplicativos
17. Cache de grupo universal
18. Login de perfil híbrido
19. Escalabilidade sem complexidade
20. Ambiente de desenvolvimento poderoso
21. Duplicações de sessão

Eu executei um sistema sem o Active Directory; no entanto, você precisa compensar as demandas por meio de ferramentas alternativas. Eu mudei para o AD em cerca de 150 usuários em três organizações diferentes.