¿Realmente necesito MS Active Directory? [cerrado]

Administro una tienda de alrededor de 30 máquinas y 2 servidores de terminal (uno de producción, uno en espera). ¿Debería realmente implementar Active Directory en nuestra red?

¿Hay algún beneficio real que pueda equilibrar la existencia de otro servidor AD? Nuestro Terminal Server debe funcionar de manera independiente, sin otros servicios, excepto nuestra aplicación corporativa.

¿Qué excelentes características me estoy perdiendo si aún lo ejecutaré sin AD?

actualización : pero ¿alguno de ustedes tiene una tienda exitosa sin AD?

¿Para 30 máquinas? Es completamente opcional.

Administro varias ubicaciones grandes (30 ~ 125 sistemas / estaciones de trabajo por ubicación en promedio) ejecutándose sin AD usando Samba y scripts de lotes / autoit. Funcionan bien y, aparte de la extraña actualización de software que rompe cosas, no han tenido problemas.

El uso de Active Directory brinda una serie de ventajas a su red, algunas de las cuales puedo pensar fuera de mi cabeza:

• Administración centralizada de cuentas de usuario
• Gestión centralizada de políticas (política de grupo)
• Mejor gestión de seguridad.
• Replicación de información entre DC's

Obviamente, estos beneficios también traen algunos gastos generales, y se necesita una gran cantidad de trabajo y tiempo para configurar un entorno de AD, especialmente si tiene una configuración existente, sin embargo, los beneficios de la administración centralizada que trae AD merecen la pena, en mi opinión. .

Algunas respuestas "drive-by" ...

1- Si está utilizando Exchange para correo electrónico, entonces se requiere AD. Es probable que no esté utilizando Exchange o lo sabría, pero lo incluyo para aquellos que puedan estar considerando esto.

2- AD gestiona un sistema de "autenticación centralizada". Usted controla usuarios, grupos y contraseñas en un solo lugar. Si no tiene AD, es probable que tenga que configurar a sus usuarios por separado en cada servidor de terminal, o tener un usuario genérico en cada uno para acceder y usar la seguridad en la aplicación.

3- Si tiene otros servidores de Windows, AD permite la seguridad directa de los recursos en esos servidores en un solo lugar (AD).

4- AD incluye algunos otros servicios (DNS, DHCP) que, de lo contrario, deben administrarse por separado. Sospecho que es posible que no los esté utilizando si los únicos servidores de Windows que tiene son los servidores de terminal.

5- Aunque no es obligatorio, es beneficioso tener las estaciones de trabajo en el dominio. Esto permite algunas capacidades (no completas) de inicio de sesión único, así como un control y gestión significativos de las estaciones de trabajo a través de "políticas grupales".
-> Por ejemplo, a través de GP puede controlar la configuración del protector de pantalla, requiriendo que el protector de pantalla bloquee la estación de trabajo después de x minutos y requiriendo la contraseña para desbloquear.

6- Puede ser un buen candidato para Microsoft Small Business Server si necesita correo electrónico, uso compartido de archivos, acceso remoto y servicio web.

Secundo la nota sobre tener dos controladores de dominio. Si solo tienes un DC y falla, te dolerá mucho tener acceso a las cosas. Es (creo) posible que los servidores de terminal también sean controladores de dominio, aunque sospecho que muchos no lo recomendarán. En una red pequeña como la suya, la carga de trabajo de DC será insignificante, por lo que podría funcionar.

EDITAR: en un comentario en mi pregunta: "es su interés hacernos comprar todo lo que podamos. ¿Pero puedo estar bien sin AD? Cuentas locales, sin cambio ...?!"

Si estuviera en su lugar, usaría el proyecto TS como una excusa para agregar AD para los beneficios, particularmente en las estaciones de trabajo. Pero parece que su mente está decidida y quiere cubrirse, así que aquí está.

ABSOLUTAMENTE puedes estar bien sin AD.

la parte superior de mi cabeza:

1. gestión y auditoría centralizadas de usuarios y seguridad
2. políticas de grupo informático centralizadas
3. implementación de software (a través de GPO)

AD también se requiere para aplicaciones como el intercambio.

MS tiene un documento técnico solo para usted sobre este tema.

AD tiene muchas características que pueden resultarle muy útiles. El primero de ellos es la autenticación centralizada. Todas las cuentas de usuario se administran en una única ubicación. Esto significa que puede usar sus credenciales entre cualquiera de las máquinas del entorno.

Otro elemento que esto permite es una mejor seguridad para compartir recursos. Los grupos de seguridad son muy útiles para apuntar al acceso a recursos como los archivos compartidos.

La política de grupo le permite aplicar la configuración en varias máquinas o usuarios. Esto le permitiría establecer diferentes políticas para los usuarios que inician sesión en los servidores Terminal frente a los usuarios que inician sesión en sus estaciones de trabajo.

Si configura sus servidores de Terminal Server correctamente y, dependiendo de las aplicaciones, la autenticación centralizada, los derechos de acceso a través de los Grupos de seguridad y las políticas de GPO le permitirían utilizar ambos servidores de Terminal Server en un estilo más agrupado que en su configuración actual donde uno está inactivo. el tiempo esto le permitirá escalar a más servidores de terminal (estilo N + 1) a medida que aumente la necesidad de recursos.

La desventaja es que solo está pensando en 1 controlador de dominio. Recomiendo encarecidamente 2. Esto asegura que no tenga un solo punto de falla para su dominio de Active Directory.

Como se menciona en varios comentarios. Es probable que el costo sea un factor significativo aquí. Si el interrogador original tiene una configuración totalmente funcional, puede estar fuera de su presupuesto traer el hardware y el software necesarios para mantener un entorno de dominio de Active Directory sin un caso abrumador para justificar los costos. Si todo funciona, AD no es un requisito para que funcione un entorno. Sin embargo, aquellos de nosotros que lo hemos usado en entornos corporativos en el pasado somos defensores muy fuertes. Esto se debe en gran parte al hecho de que hace que el trabajo de los administradores sea mucho más fácil a largo plazo.

Recientemente me mudé a una tienda (relativamente grande / exitosa) sin MS AD. Claro, se pierde el inicio de sesión único de Microsoft / Windows, pero hay otras soluciones para eso, como Proxies de autenticación (SiteMinder, webseal, etc.). En cuanto a la administración centralizada de usuarios, cualquier LDAP (o SiteMinder) también podría ser una opción.

Entonces, sí, puede ser una tienda exitosa sin (MS) AD, solo necesita encontrar la alternativa.

Creo que la pregunta más importante es ¿por qué no?

¿Estás dejando las cuentas de usuario separadas por seguridad? ¿Los usuarios de cada máquina solo usan esa máquina?

Si los mismos usuarios necesitan usar todas las máquinas, AD les dará estos beneficios: si inician sesión en el dominio en el que confían en todos los lugares en los que confían ellos y sus grupos. Si cambian su contraseña, es lo mismo en todas partes; no tienen que acordarse de cambiarlo en las 10 máquinas (o peor aún, olvidarlo y necesitan que lo reinicien cada dos semanas).

Para usted le brinda el control central / global de los permisos. Si tiene carpetas que tienen permisos especiales para grupos y se contrata a una nueva persona, simplemente agréguelas al grupo y listo. no tiene que adjuntar a cada máquina y crear el mismo usuario una y otra vez y establecer los permisos.

Además, la máquina de cada usuario estará en el dominio, por lo que puede ser controlada por el dominio.

Creo que el mayor beneficio son los GPO cuando inician sesión en el dominio para enviar políticas a su PC que pueden proteger la seguridad de toda su red.

Dicho esto, mi oficina es pequeña (alrededor de 15) y no tenemos un departamento oficial de TI. Así que (sobre) usamos MS Groove como nuestra infraestructura, y realmente no tenemos AD ni ningún servidor central; Estamos basados ​​en computadora portátil.

En mi opinión, uno de los más grandes es el inicio de sesión único. Si bien parece que sus usuarios finales probablemente no lo noten, ciertamente es algo bueno desde el punto de vista del administrador. Solo tiene una contraseña para realizar un seguimiento, y cuando se trata de cambiarla, solo tiene que hacerlo en un solo lugar, no 32. Hay muchas cosas que puede hacer para administrar su entorno si no tiene miedo de las secuencias de comandos .

El beneficio de la AD anterior es obviamente el costo.

Los beneficios de AD se reducen a 2 factores, si no le importan, la respuesta es "No".

• Administración centralizada: de usuarios, cuentas de computadora, lotes, actualizaciones automáticas, implementación de software, políticas grupales, etc. es mantenible. ¿Qué tal 100? 256?)
• Base de expansión: 2 controladores AD parecen excesivos (aunque todavía son necesarios) para una red de 30, pero creo que son suficientes para 1000-1500 usuarios. Configurado correctamente, AD no necesita ser alterado hasta que sea mucho más grande.

Creo que el mejor consejo es leer detenidamente la etiqueta del directorio activo aquí en SF a medida que se completa, para ver si puede detectar suficientes características (por ejemplo, Hyper V con el servidor 2008) que beneficiarán a su tienda para que la compra valga la pena.

Todas las buenas respuestas aquí. También levantaré los pulgares por tener dos controladores de dominio. En un entorno pequeño, incluso colocar ambos como VM en la misma pieza de hardware sería: OK. Alguien probablemente puede intervenir en esto con mayor autoridad, pero si usa MS Hyper-V (servidor 2K8) como el host, ¿puede tener algunos beneficios de licencia del sistema operativo?

Tener un inicio de sesión único (SSO) / autenticación unificada le ahorrará mucho trabajo creando cuentas y configurando permisos de carpeta por todas partes. Por supuesto, poner AD en su lugar y agregar los sistemas y usuarios al dominio tomará un poco de esfuerzo.

Jeff

Necesita autenticación y gestión centralizadas si tiene la intención de hacer crecer este entorno. Incluso si no tiene la intención de hacer crecer el entorno, verá ahorros en tiempo real en la operación diaria implementando la autenticación y autorización centralizadas ahora.

Si se trata de un entorno de Windows, AD es la solución fácil pero costosa. Si el costo es el punto de fricción para AD, entonces implemente Samba.

Al principio parecerá más difícil, pero te acostumbrarás a las herramientas y mirarás hacia atrás y te preguntarás cómo no era completamente obvio que necesitabas hacer esto.

NO necesitas AD. * *

Gran bufete de abogados. Hemos tenido un rango de ~ 103 a ~ 117 usuarios, con 4 sitios en 3 estados durante los últimos 2 años, con una rotación de pasantes y empleados. Tenemos toda la empresa con 1 caja de servidor para dominó / notas y contabilidad, un par de servidores w2k8 dedicados para software especializado, aproximadamente 5 o 6 cajas de ventanas genéricas dedicadas para varias aplicaciones y ... 2 cajas de Linux para todas las necesidades del servidor de archivos y copia de seguridad, más un tercer cuadro para un firewall. Todo funciona como el conejito energizador, y no hemos tenido muchos problemas con los proveedores o el software.

• pero puede obtenerlo de todos modos. Microsoft tiene la intención de que SE UNIRÁ al colectivo, y aparte de migrar completamente de Windows, está destinado a terminar con AD a largo plazo.

Razones para usar Active Directory

1. Grupo de seguridad de usuario protegido
2. Administración centralizada de cuentas de usuario
3. Gestión centralizada de políticas a través de objetos de políticas grupales
4. Servicios gestionados adicionales
5. Mejor gestión de seguridad.
6. Replicación de perfil
7. Políticas de autenticación
8. Papelera de reciclaje AD
9. Activación CAL
10. Distribución de parches
11. Servicios web de AD
12. Restablecimiento de contraseña
13. Inicio de sesión único
14. Autenticación de dos factores
15. Consolidación de directorios
16. Particiones de directorio de aplicaciones
17. Almacenamiento en grupo universal
18. Inicio de sesión de perfil híbrido
19. Escalabilidad sin complejidad
20. Potente entorno de desarrollo
21. Duplicaciones de sesión

Ejecuté con éxito un sistema sin Active Directory; sin embargo, debe compensar las demandas a través de herramientas alternativas. Me cambié a AD con aproximadamente 150 usuarios en tres organizaciones diferentes.