Apakah saya benar-benar membutuhkan MS Active Directory? [Tutup]

28

Saya mengelola toko yang terdiri dari 30 mesin dan 2 server terminal (satu produksi, satu siaga.) Haruskah saya benar-benar menyebarkan Active Directory di jaringan kami?

Apakah benar-benar ada manfaatnya, yang bisa menyamai keberadaan server AD lain? Server Terminal kami dijalankan secara independen, tanpa layanan lain di dalamnya, kecuali APP perusahaan kami.

Fitur hebat apa yang saya lewatkan jika saya tetap menjalankannya tanpa AD?

pembaruan : tetapi apakah ada di antara Anda yang menjalankan toko yang sukses tanpa iklan?

windows active-directory s.mihai
sumber
Bagaimana Anda menangani email dan berbagi file?
tomjedrz
Email akan ditangani dengan solusi email yang di-host (juga server web kami di-host) POP dan SMTP dan akses dengan Outlook Express. Berbagi file ditangani dengan folder bersama di server cadangan (ini adalah cadangan panas, pengguna cukup mengubah alamat IP server dan kemudian mereka terhubung ke sistem cadangan)
s.mihai
Seperti disebutkan di bawah, apakah benar-benar payup untuk memiliki 2 server lain sebagai DC dengan biaya tambahan - perangkat keras, lisensi, daya ???
s.mihai
Bagaimana Anda menangani izin pengguna dengan berbagi file? Anda memiliki 30 akun pengguna di dalam kotak?
Nick Kavadias
6
Jadi, jika orang baru mulai atau seseorang berhenti, Anda harus melalui semua mesin itu secara manual dan memperbaiki akun? Atau setidaknya lebih dari satu tempat?
Oskar Duveborn

Jawaban:

0

Untuk 30 mesin? Ini sepenuhnya opsional.

Saya mengelola beberapa lokasi besar (rata-rata 30 ~ 125 sistem / workstation per lokasi) berjalan tanpa AD menggunakan Samba dan skrip batch / autoit. Mereka bekerja dengan baik, dan terlepas dari pemutakhiran hal-hal aneh pada perangkat lunak, bebas dari masalah.

voltaire
sumber
3
Wow, jawaban itu telah banyak berubah atas revisi ...
Chris S
@ Chris S - heh, yup. Saya perhatikan itu juga.
EEAA
1
Jika saya dapat menghapus komentar, saya akan melakukannya. Saya bukan penggemar berat AD, dan menggunakannya hanya sesuai kebutuhan. Kata-kata dari pertanyaan awal akhirnya diubah, membuat jawaban saya (dan yang lain) di luar topik dan lebih buruk lagi, layak mendapat suara negatif besar dari orang-orang yang melihat AD sebagai satu-satunya solusi; Karena itu saya menarik alternatif dan retorika yang tidak lagi berlaku. Saya bukan troll; jadi jika jawaban saya sangat tidak berguna untuk menjamin penandaan sebagai salah, mereka harus dihapus.
voltaire
Pertanyaan aslinya pada dasarnya: Apakah saya benar-benar membutuhkannya?
voltaire
32

Menggunakan Active Directory membawa sejumlah keuntungan ke jaringan Anda, beberapa yang bisa saya pikirkan di atas kepala saya:

  • Manajemen akun pengguna terpusat
  • Manajemen kebijakan terpusat (kebijakan kelompok)
  • Manajemen keamanan yang lebih baik
  • Replikasi informasi antara DC

Jelas manfaat ini juga membawa beberapa biaya tambahan, dan banyak pekerjaan dan waktu diperlukan untuk mengatur lingkungan AD, terutama jika Anda memiliki pengaturan yang ada, namun manfaat dari manajemen terpusat yang membawa AD sangat sepadan, menurut saya .

Sam Cogan
sumber
20

Beberapa respons "drive-by" ...

1- Jika Anda menggunakan Exchange untuk email, maka AD diperlukan. Anda mungkin tidak menggunakan Exchange atau Anda akan tahu itu, tapi saya sertakan untuk mereka yang mungkin mempertimbangkan ini.

2- AD mengelola sistem "otentikasi terpusat". Anda mengontrol pengguna, grup, dan kata sandi di satu tempat. Jika Anda tidak memiliki AD, Anda mungkin harus mengatur pengguna Anda secara terpisah pada setiap server terminal, atau memiliki pengguna generik pada masing-masing untuk mengakses dan menggunakan keamanan dalam aplikasi.

3 - Jika Anda memiliki server Windows lainnya, AD memungkinkan pengamanan langsung sumber daya pada server tersebut di satu tempat (AD).

4- AD termasuk beberapa layanan lain (DNS, DHCP) yang seharusnya dikelola secara terpisah. Saya menduga Anda mungkin tidak menggunakannya jika server Windows yang Anda miliki hanyalah server terminal.

5- Meskipun tidak diperlukan, ada manfaatnya memiliki workstation di domain. Hal ini memungkinkan untuk beberapa kemampuan akses tunggal (tidak komprehensif) serta kontrol dan pengelolaan workstation yang signifikan melalui "kebijakan grup".
-> Misalnya, melalui GP Anda dapat mengontrol pengaturan screen saver, mengharuskan screen saver mengunci workstation setelah x menit dan membutuhkan kata sandi untuk membuka kunci.

6- Anda mungkin menjadi kandidat yang baik untuk Microsoft Small Business Server jika Anda memerlukan email, berbagi file, akses jarak jauh, dan penyajian web.

Saya kedua catatan tentang memiliki dua pengontrol domain. Jika Anda hanya memiliki satu DC dan gagal, Anda berada dalam kesulitan nyata mendapatkan akses ke berbagai hal. Hal ini (saya percaya) mungkin untuk memiliki terminal server juga menjadi pengontrol domain, meskipun saya kira banyak yang tidak akan merekomendasikannya. Dalam jaringan kecil seperti milik Anda, beban kerja DC tidak akan signifikan, sehingga mungkin berhasil.

EDIT: dalam komentar s.mihai bertanya: "ini kepentingan mereka untuk membuat kami membeli semua yang kami bisa. Tetapi bisakah saya baik-baik saja tanpa AD? Akun lokal, tanpa pertukaran ....?!"

Jika saya berada di posisi Anda, saya akan menggunakan proyek TS sebagai alasan untuk menambahkan AD untuk manfaat, terutama di workstation. Tetapi kedengarannya seperti pikiran Anda dibuat dan Anda ingin berlindung, jadi ini dia.

BENAR-BENAR Anda bisa baik-baik saja tanpa AD.

tomjedrz
sumber
Tepat di tempat. Memiliki dan memelihara AD akan membutuhkan 2 server lain, karena menjalankan DC pada TS kami tidak ada pertanyaan, terakhir kali saya memeriksa pengaturan DC akan berarti pc akan berjalan lebih lambat, karena penonaktifan caching, memperlambat akses disk dan beberapa hal lain yang saya tidak mengerti (saya sudah membicarakan hal ini dengan pembuat aplikasi perusahaan kami yang berjalan di TS)
s.mihai
Saya skeptis, kecuali perangkat keras TS sudah kurang bertenaga. Saya akan bertanya!
tomjedrz
tidak, tidak perlu untuk perlindungan, saya hanya ingin tahu apakah itu benar-benar sepadan dengan biaya dan saya membuat keseimbangan. saya tidak ingin pergi dengan ide: <i> "jika bekerja, mengapa perubahan itu" </ i>
s.mihai
2
Terpilih untuk ASSERTION BOLD terakhir.
Joseph Kern
+1 ke Joseph Kern - Terima kasih! Ini bukan rekomendasi saya, tetapi akan berhasil.
tomjedrz
16

Dari atas kepala saya:

  1. manajemen & audit pengguna & keamanan terpusat
  2. kebijakan grup komputer terpusat
  3. penyebaran perangkat lunak (via GPO)

AD juga diperlukan untuk aplikasi seperti pertukaran.

MS memiliki whitepaper hanya untuk Anda tentang topik ini.

Nick Kavadias
sumber
+1, duplikat persis dari jawaban saya nantinya.
squillman
2
kita semua telah diindoktrinasi oleh pelatihan MS! baik untuk melihat
Nick Kavadias
itu kepentingan mereka untuk membuat kita membeli semua yang kita bisa. tetapi bisakah saya baik-baik saja tanpa AD? akun lokal, tidak ada pertukaran ....?!
s.mihai
1
Anda dapat hidup tanpa itu, tetapi apakah Anda mau? Tidak memilikinya berarti lebih banyak pekerjaan manajemen untuk Anda. Minimal Anda akan memerlukan lisensi server windows lain (cadangan TS Anda juga bisa menjadi server AD untuk redundansi?) Usaha kecil cenderung lupa bahwa tenaga kerja lebih mahal daripada perangkat lunak
Nick Kavadias
10

AD memiliki banyak fitur yang menurut Anda sangat berguna. Yang pertama adalah Otentikasi Terpusat. Semua akun pengguna dikelola dalam satu lokasi. Ini berarti Anda dapat menggunakan kredensial Anda di antara mesin apa pun di lingkungan.

Item lain yang dibolehkan adalah keamanan yang lebih baik untuk berbagi sumber daya. Grup keamanan sangat berguna untuk menargetkan akses ke sumber daya seperti berbagi file.

Kebijakan grup memungkinkan Anda menerapkan pengaturan di sejumlah mesin atau pengguna. Ini akan memungkinkan Anda untuk menetapkan kebijakan yang berbeda untuk pengguna yang masuk ke server Terminal vs pengguna yang masuk ke workstation mereka.

Jika Anda mengatur server terminal dengan benar dan tergantung pada aplikasi, otentikasi terpusat, hak akses melalui Grup Keamanan dan kebijakan GPO akan memungkinkan Anda untuk menggunakan kedua server Terminal dengan lebih dari gaya yang dikelompokkan daripada dalam pengaturan Anda saat ini di mana ada yang menganggur semua waktu ini akan memungkinkan Anda untuk meningkatkan server terminal (gaya N +1) karena kebutuhan akan sumber daya meningkat.

Kelemahannya adalah Anda hanya memikirkan 1 Domain Controller. Saya sangat menyarankan 2. Ini memastikan bahwa Anda tidak memiliki satu titik kegagalan untuk Domain Direktori Aktif Anda.

Seperti disebutkan dalam beberapa komentar. Biaya kemungkinan menjadi faktor penting di sini. Jika penanya asli memiliki pengaturan yang berfungsi penuh, mungkin di luar anggarannya untuk membawa perangkat keras dan perangkat lunak yang diperlukan untuk berdiri di lingkungan domain Direktori Aktif tanpa kasus besar untuk membenarkan biaya. Jika semuanya berfungsi, AD tentu tidak diperlukan untuk lingkungan untuk bekerja. Kita yang telah menggunakannya di lingkungan perusahaan di masa lalu adalah pendukung yang sangat kuat. Ini sebagian besar disebabkan oleh fakta bahwa itu membuat pekerjaan Administrator jauh lebih mudah dalam jangka panjang.

Kevin Colby
sumber
seperti yang disebutkan dalam komentar lain, pengaturan 2 DC dan 2 server lainnya tidak akan membenarkan uang yang diperlukan untuk lisensi dan perangkat keras dan daya yang diperlukan untuk menjalankan 34/7
s.mihai
1
Saya ragu perangkat keras tambahan diperlukan.
tomjedrz
1
Biaya perangkat keras dan perangkat lunak tentu menjadi masalah. Namun, server terminalnya tidak dapat bertindak sebagai Pengontrol Domain karena fakta bahwa pengguna yang tidak berada dalam grup Admin Domain tidak memiliki hak untuk masuk ke Kontroler Domain. Ini akan menjadi masalah keamanan utama jika tidak demikian. Dimungkinkan untuk memberikan hak masuk pada DC ke pengguna lain tetapi Tidak Didukung oleh Microsoft dalam pengalaman saya.
Kevin Colby
Bahkan Server Usaha Kecil menggunakan AD, dan untuk Layanan Terminal sejak SBS2008 sekarang akan membutuhkan 2 server total. Microsoft mengambil ini adalah bahwa bahkan satu server dengan 5 pengguna mendapat manfaat dari AD. Saya akan mengatakan, Anda akan mendapat manfaat dari direktori global apa pun bahkan di rumah pribadi Anda sebenarnya - hanya saja TIDAK HARUS ADA, tetapi saya akan mengatakan Anda harus menggunakan BEBERAPA direktori global untuk dapat mengelola pengguna dan memiliki jejak audit yang bekerja di sekitar. Dan jika Anda sudah menjalankan Windows, maka AD tampak logis.
Oskar Duveborn
Bahkan Server Foundation yang hampir gratis, "edisi pemula" dari 15 pengguna Windows Server menggunakan AD - dan itu dimaksudkan untuk orang-orang yang berpikir SBS terlalu banyak.
Oskar Duveborn
6

Saya baru-baru ini pindah ke toko (relatif besar / sukses) tanpa MS AD. Tentu, Anda kehilangan Microsoft / Windows Single Sign On tetapi ada solusi lain untuk itu seperti Otentikasi Proksi (SiteMinder, webseal dll.) Untuk manajemen pengguna terpusat, LDAP (atau SiteMinder) mana pun bisa menjadi pilihan.

Jadi ya, Anda bisa menjadi toko yang sukses tanpa (MS) AD, Anda hanya perlu menemukan alternatifnya.

kolonell
sumber
3
Satu-satunya alternatif realistis untuk MS AD mungkin Samba dengan OpenLDAP. Saya masih tidak berpikir Anda bisa mengalahkan MS pada ROI bahkan jika alternatif opensource gratis. Monyet buta dapat mensetup AD!
Nick Kavadias
6
Bisakah Anda mendefinisikan "toko besar"? Apakah kita berbicara 100-1000 sistem? Tanpa GPO (melalui AD) Anda harus memiliki satu ton entropi (yaitu sistem dengan konfigurasi yang berbeda). Apakah saat ini Anda menggunakan sesuatu untuk menggantikan AD (selain dari minyak siku)? Jujur, saat menjalankan jaringan jendela, aku terlalu malas untuk tidak menjalankan AD ...
Joseph Kern
Bagi saya kedengarannya seperti menciptakan kembali bycyle. Apa alternatif nyata untuk Iklan yang Anda gunakan?
Taras Chuhay
1
Bagiku OP sepertinya hanya mencari seseorang untuk mendukung idenya bahwa AD tidak berguna karena semua orang membuatnya terdengar. Sebenarnya tidak ada pengganti yang matang untuk "toko besar" meskipun saya kira besar itu subjektif.
MDMarra
1
@Nick Kavadias: Siapa yang kamu sebut monyet buta ?? ;)
GregD
6

Saya pikir pertanyaan yang lebih besar adalah mengapa tidak?

Apakah Anda meninggalkan akun Pengguna terpisah untuk keamanan? Apakah pengguna setiap mesin hanya menggunakan mesin itu?

Jika pengguna yang sama perlu menggunakan semua mesin, AD akan memberi mereka manfaat ini: Jika login ke domain mereka dipercayai di semua tempat mereka dan kelompok mereka dipercaya. Jika mereka mengubah kata sandi, itu sama di mana-mana; mereka tidak harus ingat untuk mengubahnya di semua 10 mesin (atau lebih buruk lupakan saja dan perlu Anda mengatur ulang untuk mereka, setiap minggu).

Bagi Anda itu memberi manfaat kontrol pusat / global izin. Jika Anda memiliki folder yang memiliki izin khusus untuk grup dan orang baru dipekerjakan, Anda cukup menambahkannya ke grup dan selesai. Anda tidak harus melampirkan ke setiap mesin dan membuat pengguna yang sama berulang-ulang dan mengatur izin.

Juga setiap mesin pengguna akan berada di domain, sehingga dapat dikontrol oleh domain.

Saya pikir manfaat terbesarnya adalah GPO's Ketika mereka masuk ke domain untuk dapat mengirim kebijakan ke PC mereka yang dapat melindungi keamanan seluruh jaringan Anda.

Itu dikatakan kantor saya kecil (sekitar 15), dan kami tidak memiliki departemen TI resmi. Jadi kami (over) menggunakan MS Groove sebagai Infrastruktur kami, dan tidak memiliki AD atau server pusat apa pun; Kami berbasis Laptop.

John Christman
sumber
+1 untuk Groove! Perangkat lunak hebat!
p.campbell
5

Menurut saya salah satu yang terbesar adalah sistem masuk tunggal. Meskipun kedengarannya seperti pengguna akhir Anda mungkin tidak menyadarinya, itu jelas merupakan hal yang baik dari sudut pandang admin. Anda hanya memiliki satu kata sandi untuk dilacak, dan ketika harus diubah, Anda hanya perlu melakukannya di satu tempat, bukan 32. Ada banyak hal yang dapat Anda lakukan untuk mengelola lingkungan Anda jika Anda tidak takut skrip .

sysadmin1138
sumber
3
Terutama jika Anda ingin pengguna sering mengubah kata sandi mereka. Ini adalah alasan utama kami berubah menjadi AD.
Peter Turner
Yah ... itu tidak cukup baik untuk kita. Kami tidak memiliki pengguna yang berkeliaran di sekitar fasilitas kami, dan mengenai pengguna baru ... kami memiliki pribadi yang mantap (tidak banyak yang datang / pergi atau keluar dari perusahaan kami)
s.mihai
jika Anda hanya menggunakan single-signon, Anda mungkin mendapatkan solusi LDAP yang jauh lebih murah.
gbjbaanb
Akankah AD selain mengintegrasikan dengan kredensial C + A + D Anda?
James Risto
4

Manfaat dari iklan di atas jelas biaya.

Manfaat AD bermuara pada 2 faktor, jika Anda tidak mempedulikannya, jawabannya adalah "Tidak".

  • Manajemen terpusat: pengguna, akun komputer, lot, pembaruan otomatis, penyebaran perangkat lunak, kebijakan grup, dll. (Agar saya tidak terlalu menyederhanakan ini, pastikan Anda memahami efek "berpikir kecil" dalam hal-hal mendasar. Contoh tunggal: 30 alamat IP statis dapat dipertahankan. Bagaimana dengan 100? 256?)
  • Landasan ekspansi: 2 pengontrol AD ​​tampaknya berlebihan (meskipun masih perlu) untuk jaringan 30, tetapi cukup untuk 1000-1500 pengguna, saya percaya? Atur dengan benar, AD tidak perlu diubah sampai Anda menjadi lebih besar.

Saya pikir saran terbaik adalah dengan membaca dengan teliti tag direktori aktif di sini di SF saat mengisi - untuk melihat apakah Anda dapat melihat fitur yang cukup (misalnya Hyper V dengan server 2008) yang akan menguntungkan toko Anda untuk melakukan pembelian yang berharga.

Kara Marfia
sumber
3
Saya tidak setuju bahwa dua DC untuk setiap jaringan yang layak Domain (lebih dari 5-10 komputer, IMHO) dapat menjadi berlebihan. Yang kedua layak memiliki DC, layak memiliki dua.
gWaldo
1
Anda benar - sulit untuk percaya bahwa saya pernah merasa aman hanya dengan satu. ;)
Kara Marfia
2

Semua jawaban bagus di sini. Saya akan mengacungkan jempol karena memiliki dua pengontrol domain juga. Dalam lingkungan kecil bahkan menempatkan keduanya sebagai VM pada perangkat keras yang sama akan - OK. Seseorang mungkin dapat mengikuti ini dengan lebih otoritatif, tetapi jika Anda menggunakan MS Hyper-V (server 2K8) sebagai tuan rumah, Anda mungkin memiliki beberapa manfaat lisensi OS?

Memiliki Sistem Masuk Tunggal (SSO) / otentikasi terpadu akan menghemat banyak pekerjaan Anda dalam membuat akun dan mengatur izin folder di semua tempat. Tentu saja menempatkan AD dan menambahkan sistem & pengguna ke domain akan membutuhkan usaha.

Jeff

Jeff Hengesbach
sumber
2

Anda perlu otentikasi dan manajemen terpusat jika Anda bermaksud menumbuhkan lingkungan ini sama sekali. Bahkan jika Anda tidak berniat menumbuhkan lingkungan, Anda akan melihat penghematan waktu nyata dalam operasi sehari-hari dengan menerapkan otentikasi dan otorisasi terpusat sekarang.

Jika ini adalah lingkungan Windows, AD adalah perbaikan yang mudah, tetapi mahal. Jika biaya adalah titik lengket untuk AD, maka implementasikan Samba.

Pada mulanya akan terasa lebih sulit, tetapi Anda akan terbiasa dengan alat-alat itu dan Anda akan menoleh ke belakang dan bertanya-tanya bagaimana tidak sepenuhnya jelas bagi Anda bahwa Anda perlu melakukan ini.

Brian
sumber
1

Anda TIDAK perlu iklan. *

Firma hukum besar. Kami telah berkisar dari ~ 103 hingga ~ 117 pengguna, dengan 4 situs di 3 negara selama 2 tahun terakhir, dengan pergantian karyawan magang dan pegawai. Kami menjalankan seluruh perusahaan dengan 1 kotak server untuk domino / catatan dan akuntansi, beberapa server khusus w2k8 untuk perangkat lunak khusus, sekitar 5 atau 6 kotak jendela generik khusus untuk berbagai aplikasi dan ... 2 kotak linux untuk semua kebutuhan server file dan cadangan, ditambah kotak ke-3 untuk firewall. Semuanya berjalan seperti kelinci energizer, dan kami belum memiliki banyak masalah dengan vendor atau perangkat lunak.

  • tetapi Anda tetap bisa mendapatkannya. Microsoft bermaksud bahwa Anda AKAN bergabung dengan kolektif, dan selain bermigrasi dari Windows sama sekali, Anda cukup ditakdirkan untuk berakhir dengan AD dalam jangka panjang.
voltaire
sumber
Huh, ada apa dengan firma hukum dan Lotus Domino / Notes? Hampir setiap orang yang pernah saya lihat menggunakannya ...
SilentW
Itu adalah "solusi yang tepat" pada saat itu, jadi itu diadopsi secara luas, menjadi arus utama dan kemudian berubah menjadi jangkar perahu yang tidak ada yang mencintai lagi. Cukup banyak bagaimana teknologi selalu berjalan ...
voltaire
0

Alasan menggunakan Active Directory

  1. Grup keamanan pengguna yang dilindungi
  2. Manajemen akun pengguna terpusat
  3. Manajemen kebijakan terpusat melalui objek kebijakan grup
  4. Layanan terkelola tambahan
  5. Manajemen keamanan yang lebih baik
  6. Replikasi profil
  7. Kebijakan otentikasi
  8. AD recycle bin
  9. Aktivasi CAL
  10. Distribusi tambalan
  11. Layanan web AD
  12. Reset kata sandi
  13. Masuk tunggal
  14. Otentikasi dua faktor
  15. Konsolidasi direktori
  16. Partisi direktori aplikasi
  17. Caching grup universal
  18. Login profil hibrid
  19. Skalabilitas tanpa kompleksitas
  20. Lingkungan pengembangan yang kuat
  21. Duplikasi sesi

Saya berhasil menjalankan sistem tanpa Active Directory; Namun, Anda perlu mengkompensasi tuntutan melalui alat alternatif. Saya beralih ke AD di sekitar 150 pengguna di tiga organisasi berbeda.

LJones
sumber