Eu gerencio uma loja de aproximadamente 30 máquinas e 2 servidores de terminal (uma produção, uma em espera). Devo realmente implantar o Active Directory em nossa rede?
Há realmente algum benefício que possa equilibrar a existência de outro servidor do AD? Nosso Terminal Server deve ser executado de forma independente, sem outros serviços, exceto nosso aplicativo corporativo.
Quais são os grandes recursos que estão faltando se eu ainda os executar sem AD?
update : mas algum de vocês está executando uma loja de sucesso sem o AD?
Para 30 máquinas? É totalmente opcional.
Eu gerencio vários locais grandes (30 ~ 125 sistemas / estações de trabalho por localização, em média) rodando sem o AD usando scripts Samba e batch / autoit. Eles funcionam bem e, além da estranha atualização de software que quebrou as coisas, não tiveram problemas.
O uso do Active Directory traz uma série de vantagens para sua rede, algumas das quais posso pensar em cima da minha cabeça:
Obviamente, esses benefícios também trazem alguma sobrecarga, e uma boa quantidade de trabalho e tempo são necessários para configurar um ambiente AD, especialmente se você tiver uma configuração existente, mas os benefícios do gerenciamento centralizado que o AD traz valerão a pena, na minha opinião.
Algumas respostas "drive-by" ...
1- Se você estiver usando o Exchange para email, o AD será necessário. Você provavelmente não está usando o Exchange ou você saberia disso, mas incluí-lo para aqueles que podem estar considerando isso.
2- AD gerencia um sistema de "autenticação centralizada". Você controla usuários, grupos e senhas em um único lugar. Se você não tiver o AD, provavelmente precisará configurar seus usuários separadamente em cada servidor de terminal ou ter um usuário genérico em cada um deles para acessar e usar a segurança no aplicativo.
3- Se você tiver outros servidores Windows, o AD permite a proteção direta de recursos nesses servidores em um único local (AD).
4- O AD inclui alguns outros serviços (DNS, DHCP) que, de outra forma, precisam ser gerenciados separadamente. Eu suspeito que você pode não estar usando-os se os únicos servidores Windows que você tem são os servidores de terminal.
5- Embora não seja obrigatório, há benefício em ter as estações de trabalho no domínio. Isso permite alguns recursos de logon único (não abrangentes), bem como controle e gerenciamento significativos das estações de trabalho por meio de "políticas de grupo". - > Por exemplo, através da GP você pode controlar as configurações de proteção de tela, exigindo que a proteção de tela bloqueie a estação de trabalho após x minutos e exigindo que a senha seja desbloqueada.
6- Você pode ser um bom candidato para o Microsoft Small Business Server se precisar de e-mail, compartilhamento de arquivos, acesso remoto e web service.
Eu sigo a nota sobre ter dois controladores de domínio. Se você tiver apenas um CD e ele falhar, você terá uma dor real para acessar as coisas. É (acredito) possível que os servidores de terminal também sejam controladores de domínio, embora eu suspeite que muitos não o recomendem. Em uma rede pequena como a sua, a carga de trabalho de DC será insignificante, por isso pode funcionar.
EDIT: em um comentário s. mihai perguntou: "é interesse deles nos fazer comprar tudo o que podemos. mas posso ficar bem sem a AD? contas locais, sem troca ...?!"
Se eu estivesse no seu lugar, eu usaria o projeto TS como uma desculpa para adicionar o AD aos benefícios, particularmente nas estações de trabalho. Mas parece que sua mente é inventada e você quer cobertura, então aqui está.
ABSOLUTAMENTE você pode ficar bem sem a AD.
fora do topo da minha cabeça:
O AD também é necessário para aplicativos como troca.
MS tem um whitepaper apenas para você neste tópico.
O AD tem muitos recursos que você pode achar muito úteis. O primeiro dos quais é Autenticação Centralizada. Todas as contas de usuários são gerenciadas em um único local. Isso significa que você pode usar suas credenciais entre qualquer uma das máquinas no ambiente.
Outro item que isso permite é uma segurança melhor para compartilhar recursos. Os grupos de segurança são muito úteis para direcionar o acesso a recursos, como compartilhamentos de arquivos.
A política de grupo permite impor configurações em vários computadores ou usuários. Isso permitiria que você definisse políticas diferentes para os usuários que fazem login nos servidores de terminal em vez de usuários que fazem login em suas estações de trabalho.
Se você configurar seus servidores de terminal adequadamente e dependendo dos aplicativos, a autenticação centralizada, os direitos de acesso por meio de grupos de segurança e políticas de GPO permitirão que você utilize os dois servidores de terminal em um estilo de cluster maior do que em sua configuração atual. ocioso o tempo todo, isso permitirá que você amplie para mais servidores de terminal (estilo N + 1) à medida que a necessidade de recursos aumenta.
A desvantagem é que você está pensando apenas em 1 controlador de domínio. Eu recomendo strongmente 2. Isso garante que você não tenha um ponto único de falha para o seu domínio do Active Directory.
Como mencionado em vários comentários. O custo é provavelmente um fator significativo aqui. Se o questionador original tiver uma configuração totalmente funcional, pode estar fora do orçamento dele trazer o hardware e o software necessários para manter um ambiente de domínio do Active Directory sem um caso avassalador para justificar os custos. Se tudo estiver funcionando, o AD certamente não é necessário para que um ambiente funcione. Aqueles de nós que usaram em ambientes corporativos no passado, no entanto, são defensores muito strongs. Isso se deve em grande parte ao fato de facilitar muito o trabalho dos administradores a longo prazo.
Recentemente, mudei-me para uma loja (relativamente grande / bem-sucedida) sem o MS AD. Claro, você perdeu o Microsoft / Windows Single Sign On, mas existem outras soluções para isso, como Proxy de Autenticação (SiteMinder, webseal etc) Quanto ao gerenciamento centralizado de usuários, qualquer LDAP (ou SiteMinder) pode ser uma opção também.
Então, sim, você pode ser uma loja de sucesso sem (MS) AD, você só precisa encontrar a alternativa.
Eu acho que a grande questão é por que não?
Você está deixando as contas do usuário separadas por segurança? Os usuários de cada máquina só usam essa máquina?
Se os mesmos usuários precisarem usar todas as máquinas, o AD dará a eles os seguintes benefícios: Se o login no domínio em que são confiáveis em todos os lugares que eles e seus grupos são confiáveis. Se eles mudarem sua senha, ela será a mesma em todo lugar; eles não precisam se lembrar de alterá-lo em todas as 10 máquinas (ou pior ainda, e precisam que você o redefina para eles, a cada duas semanas).
Para você, isso oferece o benefício do controle central / global de permissões. Se você tiver pastas que tenham permissões especiais para grupos e uma nova pessoa for contratada, basta adicioná-las ao grupo e pronto. você não precisa se conectar a cada máquina e criar o mesmo usuário várias vezes e definir as permissões.
Além disso, a máquina de cada usuário estará no domínio e, portanto, poderá ser controlada pelo domínio.
Acho que o maior benefício é o GPO Quando eles fazem login no domínio para enviar políticas ao seu PC que podem proteger a segurança de toda a sua rede.
Dito isto, o meu escritório é pequeno (cerca de 15) e não temos um departamento oficial de TI. Então, nós (mais) usamos o MS Groove como nossa infraestrutura, e não temos AD ou qualquer servidor central realmente; Somos baseados em laptop.
Na minha opinião, um dos maiores é o single-sign-on. Embora pareça que seus usuários finais provavelmente não percebem, certamente é uma coisa legal do ponto de vista do administrador. Você só tem uma senha para acompanhar e, quando se trata de alterá-la, você só precisa fazer isso em um único ponto, não em 32. Há muitas coisas que você pode fazer para gerenciar seu ambiente se não tiver medo de criar scripts .
O benefício do AN anterior é obviamente custo.
Os benefícios do AD resumem-se a 2 fatores, se você não se importa com eles, a resposta é "Não".
Acho que o melhor conselho é examinar a tag do diretório ativo aqui no SF conforme ela é preenchida - para ver se você consegue identificar recursos suficientes (por exemplo, Hyper V com servidor 2008) que beneficiarão sua loja para fazer a compra valer a pena .
Todas as boas respostas aqui. Vou colocar meus polegares para ter dois controladores de domínio também. Em um ambiente pequeno, até mesmo colocar os dois como VMs na mesma peça de hardware seria - OK. Alguém provavelmente pode entrar em contato com isso com mais autoridade, mas se você usar o MS Hyper-V (servidor 2K8) como host, poderá ter alguns benefícios de licenciamento do sistema operacional.
Ter o SSO (Single Sign On) / autenticação unificada poupará muito trabalho na criação de contas e na configuração de permissões de pasta em todo o lugar. Claro que colocar a AD no lugar e adicionar os sistemas & os usuários do domínio precisarão de algum esforço.
Jeff
Você precisa de autenticação e gerenciamento centralizados, caso pretenda expandir esse ambiente. Mesmo que você não pretenda expandir o ambiente, você verá economias em tempo real na operação do dia a dia implementando a autenticação e a autorização centralizadas agora.
Se for um ambiente Windows, o AD é a solução fácil, mas cara. Se o custo é o ponto de atrito para o AD, implemente o Samba.
Vai parecer mais difícil no começo, mas você vai se acostumar com as ferramentas e você vai olhar para trás e se perguntar como não foi completamente óbvio para você que você precisava fazer isso.
Você NÃO precisa de AD. *
Grande escritório de advocacia. Nós variou de ~ 103 a ~ 117 usuários, com 4 sites em 3 estados nos últimos 2 anos, com a rotatividade de estagiários e balconistas. Nós executamos toda a empresa com 1 caixa de servidor para dominó / notas e contabilidade, um par de servidores dedicados w2k8 para software especializado, cerca de 5 ou 6 caixas genéricas dedicadas para vários aplicativos e ... 2 caixas linux para todas as necessidades de servidor de arquivos e backup, além de uma terceira caixa para um firewall. Tudo funciona como o coelhinho energizador, e não tivemos muitos problemas com fornecedores ou softwares.
Razões para usar o Active Directory
Eu executei com sucesso um sistema sem o Active Directory; no entanto, você precisa compensar as demandas por meio de ferramentas alternativas. Eu mudei para o AD em cerca de 150 usuários em três organizações diferentes.