Brauche ich wirklich MS Active Directory? [geschlossen]

28

Ich verwalte einen Shop mit ca. 30 Computern und 2 Terminalservern (eine Produktion, eine Bereitschaft). Sollte ich Active Directory wirklich in unserem Netzwerk bereitstellen?

Gibt es wirklich Vorteile, die die Existenz eines anderen AD-Servers ausgleichen könnten? Unser Terminalserver soll unabhängig und ohne weitere Dienste ausgeführt werden, mit Ausnahme unserer Unternehmens-APP.

Was für großartige Funktionen fehlen mir, wenn ich sie trotzdem ohne AD ausführen werde?

update : aber betreibt einer von euch einen erfolgreichen shop ohne anzeige?

windows active-directory am mihai
quelle
Wie gehen Sie mit E-Mail und Filesharing um?
Tomjedrz
E-Mail wird mit einer gehosteten E-Mail-Lösung (auch unser Webserver wird gehostet), POP und SMTP und Zugriff mit Outlook Express abgewickelt. Die Dateifreigabe erfolgt über einen freigegebenen Ordner auf dem Sicherungsserver (es handelt sich um ein Hot-Backup, Benutzer ändern lediglich die IP-Adresse des Servers und stellen dann eine Verbindung zum Sicherungssystem her)
Uhr
Wie weiter unten erwähnt, lohnt es sich wirklich, zwei weitere Server als DC mit den anfallenden Kosten zu haben - Hardware, Lizenzen, Strom ???
27.
Wie gehen Sie mit Benutzerrechten bei der Dateifreigabe um? hast du 30 benutzerkonten auf der box?
Nick Kavadias
6
Wenn also eine neue Person startet oder jemand beendet, müssen Sie alle diese Maschinen manuell durchgehen und Konten reparieren? Oder zumindest mehr als an einem Ort?
Oskar Duveborn

Antworten:

0

Für 30 Maschinen? Es ist völlig optional.

Ich verwalte mehrere große Standorte (durchschnittlich 30 bis 125 Systeme / Workstations pro Standort), die ohne AD ausgeführt werden, mithilfe von Samba und Batch- / Autoit-Skripten. Sie funktionieren einwandfrei und waren, abgesehen von dem einen oder anderen Software-Update, problemlos.

Voltaire
quelle
3
Wow, diese Antwort hat sich im Laufe der Überarbeitungen sehr verändert ...
Chris S
@ Chris S - heh, yup. Das ist mir auch aufgefallen.
EEAA
1
Wenn ich den Kommentar entfernen könnte, würde ich. Ich bin kein großer Fan von AD und benutze es nur bei Bedarf. Der Wortlaut der ursprünglichen Frage wurde schließlich geändert, sodass meine Antwort (und die einer anderen) nicht mehr zum Thema gehörte und noch schlimmer war. Sie verdient große negative Stimmen von Leuten, die AD als die einzige Lösung ansehen. Daher habe ich die nicht mehr zutreffenden Alternativen und Rhetorik gezogen. Ich bin kein Troll; Wenn meine Antworten so nutzlos sind, dass eine Kennzeichnung als falsch gerechtfertigt ist, sollten sie einfach gelöscht werden.
Voltaire
Die ursprüngliche Frage war im Grunde: Brauche ich es wirklich?
Voltaire
32

Die Verwendung von Active Directory bringt eine Reihe von Vorteilen für Ihr Netzwerk mit sich, von denen ich einige auf den Kopf stellen kann:

  • Zentrale Benutzerkontoverwaltung
  • Zentralisierte Richtlinienverwaltung (Gruppenrichtlinie)
  • Besseres Sicherheitsmanagement
  • Replikation von Informationen zwischen DCs

Offensichtlich bringen diese Vorteile auch einen gewissen Aufwand mit sich, und es ist viel Arbeit und Zeit erforderlich, um eine AD-Umgebung einzurichten, insbesondere, wenn Sie über eine vorhandene Einrichtung verfügen. Meiner Meinung nach lohnen sich die Vorteile der zentralen Verwaltung, die AD bietet .

Sam Cogan
quelle
20

Einige "Drive-by" Antworten ...

1- Wenn Sie Exchange für E-Mail verwenden, ist AD erforderlich. Wahrscheinlich verwenden Sie Exchange nicht, oder Sie wissen, dass dies der Fall ist, aber ich schlage es für diejenigen vor, die dies in Betracht ziehen.

2- AD verwaltet ein "zentralisiertes Authentifizierungssystem". Sie steuern Benutzer, Gruppen und Kennwörter an einem einzigen Ort. Wenn Sie nicht über AD verfügen, müssen Sie Ihre Benutzer wahrscheinlich auf jedem Terminalserver separat einrichten oder für den Zugriff und die Verwendung der Sicherheit in der Anwendung jeweils einen allgemeinen Benutzer festlegen.

3- Wenn Sie über andere Windows-Server verfügen, ermöglicht AD die direkte Sicherung von Ressourcen auf diesen Servern an einem einzigen Ort (AD).

4- AD enthält einige andere Dienste (DNS, DHCP), die ansonsten separat verwaltet werden müssen. Ich vermute, dass Sie sie möglicherweise nicht verwenden, wenn die einzigen Windows-Server, über die Sie verfügen, die Terminalserver sind.

5- Obwohl nicht erforderlich, ist es von Vorteil, die Arbeitsstationen in der Domäne zu haben. Dies ermöglicht einige (nicht umfassende) Single-Sign-On-Funktionen sowie eine umfassende Kontrolle und Verwaltung der Arbeitsstationen über "Gruppenrichtlinien".
-> Zum Beispiel können Sie über GP die Bildschirmschonereinstellungen steuern, wobei der Bildschirmschoner die Workstation nach x Minuten sperren und das Kennwort entsperren muss.

6- Sie sind möglicherweise ein guter Kandidat für Microsoft Small Business Server, wenn Sie E-Mail, Dateifreigabe, Remotezugriff und Web-Serving benötigen.

Ich stimme dem Hinweis zu, zwei Domänencontroller zu haben. Wenn Sie nur einen DC haben und dieser ausfällt, haben Sie echte Schmerzen, wenn Sie Zugang zu Dingen haben. Es ist (glaube ich) möglich, dass die Terminalserver auch Domänencontroller sind, obwohl ich vermute, dass viele es nicht empfehlen werden. In einem kleinen Netzwerk wie Ihrem ist die DC-Auslastung unbedeutend, sodass sie möglicherweise funktioniert.

BEARBEITEN: in einem kommentar an mihai gefragt: "es ist ihr interesse, uns dazu zu bringen, alles zu kaufen, was wir können. Aber kann ich ohne ad ok sein? Lokale konten, kein austausch ....?!"

Wäre ich in Ihren Schuhen, würde ich das TS-Projekt als Ausrede verwenden, um AD für die Vorteile hinzuzufügen, insbesondere auf den Workstations. Aber es hört sich so an, als wären Sie entschlossen und möchten Deckung, also ist es hier.

ABSOLUT können Sie ohne AD OK sein.

tomjedrz
quelle
Einfach vor Ort. Wenn Sie AD haben und warten möchten, benötigen Sie weitere 2 Server, da das Ausführen von DCs auf unserem TS nicht in Frage kommt. Wenn Sie das letzte Mal die Einstellung eines DCs aktiviert haben, bedeutet dies, dass der PC aufgrund der Deaktivierung des Cachings langsamer läuft und den Festplattenzugriff verlangsamt einige andere sachen, die ich nicht verstanden habe (ich habe mit den herstellern unserer corporate app auf
ts darüber gesprochen
Ich bin skeptisch, es sei denn, die TS-Hardware ist bereits unterlastet. Ich werde fragen!
Tomjedrz
nein, keine Deckung nötig, ich habe mich nur gefragt, ob es die Kosten wirklich wert war und ich mache einen Ausgleich. Ich wollte nicht mit der Idee gehen: <i> "Wenn es funktioniert, warum es ändern" </ i>
Uhr
2
Upvoted for the final BOLD ASSERTION.
Joseph Kern
+1 an Joseph Kern - Danke! Es ist nicht meine Empfehlung, aber es wird funktionieren.
Tomjedrz
16

aus meinem Kopf:

  1. Zentrales Benutzer- und Sicherheitsmanagement und Auditing
  2. Computergruppenrichtlinien zentralisiert
  3. Softwarebereitstellung (über GPO)

AD wird auch für Anwendungen wie den Austausch benötigt.

MS hat ein Whitepaper zu diesem Thema für Sie .

Nick Kavadias
quelle
+1, genaues Duplikat meiner Antwort.
squillman
2
wir wurden alle von ms training indoktriniert! gut zu sehen
Nick Kavadias
Es ist ihr Interesse, uns dazu zu bringen, alles zu kaufen, was wir können. Aber kann ich ohne AD in Ordnung sein? lokale Accounts, kein Umtausch ....?!
27.
1
Du kannst damit leben, aber willst du das? Wenn Sie es nicht haben, bedeutet dies mehr Managementarbeit für Sie. Zumindest würden Sie eine weitere Windows-Serverlizenz benötigen (Ihre TS-Sicherung könnte auch ein AD-Server für Redundanz werden?). Kleine Unternehmen neigen dazu zu vergessen, dass Arbeit teurer ist als Software
Nick Kavadias
10

AD hat viele Funktionen, die Sie möglicherweise sehr nützlich finden. Die erste davon ist die zentralisierte Authentifizierung. Alle Benutzerkonten werden an einem einzigen Ort verwaltet. Dies bedeutet, dass Sie Ihre Anmeldeinformationen auf jedem Computer in der Umgebung verwenden können.

Ein weiteres Element, das dies ermöglicht, ist eine bessere Sicherheit für die gemeinsame Nutzung von Ressourcen. Sicherheitsgruppen sind sehr nützlich, um auf Ressourcen wie Dateifreigaben zuzugreifen.

Mithilfe von Gruppenrichtlinien können Sie Einstellungen für eine Reihe von Computern oder Benutzern erzwingen. Auf diese Weise können Sie für Benutzer, die sich an den Terminalservern anmelden, andere Richtlinien festlegen als für Benutzer, die sich an ihren Arbeitsstationen anmelden.

Wenn Sie Ihre Terminalserver ordnungsgemäß und abhängig von den Anwendungen einrichten, können Sie mithilfe der zentralisierten Authentifizierung, der Zugriffsrechte über Sicherheitsgruppen und der Gruppenrichtlinien beide Terminalserver in einem eher gruppierten Stil als in Ihrem aktuellen Setup verwenden, in dem sich nur einer im Leerlauf befindet In dieser Zeit können Sie mit zunehmendem Ressourcenbedarf auf mehr Terminalserver (N + 1) skalieren.

Der Nachteil ist, dass Sie nur an 1 Domänencontroller denken. Ich empfehle dringend 2. Dadurch wird sichergestellt, dass für Ihre Active Directory-Domäne keine einzige Fehlerquelle vorhanden ist.

Wie in mehreren Kommentaren erwähnt. Die Kosten dürften hier ein wesentlicher Faktor sein. Wenn der ursprüngliche Fragesteller über ein voll funktionsfähiges Setup verfügt, ist es möglicherweise nicht in seinem Budget, die Hardware und Software bereitzustellen, die für die Aufrechterhaltung einer Active Directory-Domänenumgebung erforderlich sind, ohne dass ein überwältigender Fall vorliegt, der die Kosten rechtfertigt. Wenn alles funktioniert, ist AD sicherlich nicht erforderlich, damit eine Umgebung funktioniert. Diejenigen von uns, die es in der Vergangenheit in Unternehmensumgebungen verwendet haben, sind jedoch sehr starke Befürworter. Dies liegt hauptsächlich an der Tatsache, dass dies den Administratoren auf lange Sicht die Arbeit erleichtert.

Kevin Colby
quelle
Wie in einem anderen Kommentar erwähnt, würde das Setzen von 2 DC und weiteren 2 Servern nicht das Geld rechtfertigen, das für Lizenzen und Hardware und Strom benötigt wird, um diese 34/7
Shanghai
1
Ich bin skeptisch, dass zusätzliche Hardware benötigt wird.
tomjedrz
1
Hardware- und Softwarekosten sind sicherlich ein Thema. Die Terminalserver können jedoch nicht als Domänencontroller fungieren, da Benutzer, die nicht zur Gruppe der Domänenadministratoren gehören, keine Anmelderechte für einen Domänencontroller haben. Dies wäre ein großes Sicherheitsproblem, wenn dies nicht der Fall wäre. Es ist möglich, anderen Benutzern Anmelderechte für den Domänencontroller zu gewähren, wird jedoch nach meiner Erfahrung von Microsoft nicht unterstützt.
Kevin Colby
Sogar ein Small Business Server nutzt AD und für Terminaldienste werden seit SBS2008 insgesamt 2 Server benötigt. Microsoft geht davon aus, dass selbst ein einzelner Server mit 5 Benutzern von AD profitiert. Ich würde sagen, Sie würden von jedem globalen Verzeichnis sogar in Ihrem privaten Zuhause profitieren - es MUSS einfach nicht AD sein, aber ich würde sagen, Sie sollten ein EINIGES globales Verzeichnis verwenden, um Benutzer verwalten und verwalten zu können Ein funktionierender Audit-Trail. Wenn Sie bereits Windows ausführen, erscheint AD als logisch.
Oskar Duveborn
Sogar der Foundation Server, der fast kostenlos ist, verwendet die "Starter Edition" von Windows Server für 15 Benutzer AD - und das ist für Leute gedacht, die SBS für zu viel halten.
Oskar Duveborn
6

Ich bin kürzlich in einen (relativ großen / erfolgreichen) Laden ohne MS AD gezogen. Sicher, Sie verpassen Microsoft / Windows Single Sign On, aber es gibt auch andere Lösungen wie Authentifizierungs-Proxies (SiteMinder, Webseal usw.). Für die zentrale Benutzerverwaltung kann auch LDAP (oder SiteMinder) in Frage kommen.

Also ja, Sie können ein erfolgreicher Shop ohne (MS) AD sein, Sie müssen nur die Alternative finden.

Kolonell
quelle
3
Die einzig realistische Alternative zu MS AD ist wahrscheinlich Samba mit OpenLDAP. Ich denke immer noch nicht, dass Sie MS in Bezug auf den ROI schlagen können, selbst wenn die OpenSource-Alternative kostenlos ist. Ein blinder Affe kann AD einrichten!
Nick Kavadias
6
Könnten Sie "großer Laden" definieren? Sprechen wir über 100-1000 Systeme? Ohne GPO (über AD) müssen Sie eine Menge Entropie haben (dh Systeme mit unterschiedlichen Konfigurationen). Verwenden Sie derzeit etwas als Ersatz für AD (außer Ellbogenfett)? Ehrlich gesagt, während ich ein Windows-Netzwerk betreibe, bin ich zu faul, AD NICHT zu betreiben ...
Joseph Kern
Für mich klingt es so, als würde man ein Fahrrad neu erfinden. Welche echte Alternative zu Ad verwenden Sie?
Taras Chuhay
1
Mir scheint, dass das OP nur jemanden gesucht hat, der seine Idee unterstützt, dass AD nicht so nützlich ist, wie es alle klingen lassen. Es gibt wirklich keinen ausgereiften Ersatz für einen "großen Laden", obwohl ich denke, dass groß subjektiv ist.
MDMarra
1
@ Nick Kavadias: Wen nennst du einen blinden Affen? ;)
GregD
6

Ich denke, die größere Frage ist, warum nicht?

Verlassen Sie die Benutzerkonten aus Sicherheitsgründen getrennt? Verwenden die Benutzer jeder Maschine nur diese Maschine?

Wenn die gleichen Benutzer alle Computer verwenden müssen, bietet AD ihnen die folgenden Vorteile: Wenn sie sich in der Domäne anmelden, werden sie an allen Orten als vertrauenswürdig eingestuft, an denen ihnen und ihren Gruppen vertraut wird. Wenn sie ihr Passwort ändern, ist es überall gleich. Sie müssen nicht daran denken, es auf allen 10 Rechnern zu ändern (oder, schlimmer noch, vergessen Sie es und müssen es alle zwei Wochen für sie zurücksetzen).

Für Sie bietet es den Vorteil einer zentralen / globalen Kontrolle der Berechtigungen. Wenn Sie Ordner mit speziellen Berechtigungen für Gruppen haben und eine neue Person eingestellt wird, fügen Sie diese einfach der Gruppe hinzu und fertig. Sie müssen nicht an jeden Computer eine Verbindung herstellen und immer wieder denselben Benutzer erstellen und die Berechtigungen festlegen.

Außerdem befindet sich der Computer jedes Benutzers in der Domäne, sodass er von der Domäne gesteuert werden kann.

Ich denke, der größte Vorteil sind Gruppenrichtlinienobjekte, die sich bei der Domäne anmelden, um Richtlinien an ihren PC zu senden, die die Sicherheit Ihres gesamten Netzwerks schützen.

Abgesehen davon ist mein Büro klein (ungefähr 15) und wir haben keine offizielle IT-Abteilung. Daher verwenden wir MS Groove (über) als Infrastruktur und haben weder AD noch wirklich zentrale Server. Wir sind Laptop-basiert.

John Christman
quelle
+1 für Groove! Großartige Software!
Campbell
5

Einer der größten ist meiner Meinung nach Single-Sign-On. Es hört sich zwar so an, als würden Ihre Endbenutzer es wahrscheinlich nicht bemerken, aber vom Standpunkt des Administrators aus ist es sicherlich eine nette Sache. Sie haben nur ein Kennwort, das Sie im Auge behalten müssen, und wenn Sie es ändern möchten, müssen Sie es nur an einer Stelle tun, nicht an der 32. Es gibt eine Menge Dinge, die Sie tun können, um Ihre Umgebung zu verwalten, wenn Sie keine Angst vor Skripten haben .

sysadmin1138
quelle
3
Insbesondere, wenn Sie möchten, dass Benutzer ihre Kennwörter von Zeit zu Zeit ändern. Dies ist der Hauptgrund, warum wir zu AD gewechselt haben.
Peter Turner
Nun ... das ist nicht gut genug für uns. Wir haben keine Benutzer, die sich in unserer Einrichtung
aufhalten
Wenn Sie nur einmal angemeldet sind, können Sie stattdessen auch eine deutlich günstigere LDAP-Lösung erwerben.
gbjbaanb
Wird alles andere als AD in Ihre C + A + D-Referenzen integriert?
James Risto
4

Der Vorteil des Verzichts auf AD sind offensichtlich die Kosten.

Die Vorteile von AD lassen sich auf zwei Faktoren reduzieren. Wenn Sie sich nicht darum kümmern, lautet die Antwort "Nein".

  • Zentralisierte Verwaltung: von Benutzern, Computerkonten, Lots, automatischen Updates, Softwarebereitstellung, Gruppenrichtlinien usw. (Damit ich dies nicht zu stark vereinfache, sollten Sie die Auswirkungen des "Denkens klein" in grundlegenden Angelegenheiten verstehen. Ein einziges Beispiel: 30 statische IP-Adressen ist wartbar. Wie wäre es mit 100? 256?)
  • Expansionsgrundlage: 2 AD-Controller scheinen übermäßig (obwohl immer noch notwendig) für ein Netzwerk von 30 zu sein, aber sie reichen für 1000-1500 Benutzer aus, glaube ich? Richtig eingerichtet, AD muss erst geändert werden, wenn Sie viel größer werden.

Ich denke, der beste Rat ist, das Active Directory-Tag hier auf SF zu lesen, während es ausgefüllt wird - um zu prüfen, ob Sie genügend Funktionen (z. B. Hyper V mit Server 2008) finden, die Ihrem Shop zugute kommen, damit sich der Kauf lohnt.

Kara Marfia
quelle
3
Ich bin nicht einverstanden, dass zwei Domänencontroller für ein domänenwürdiges Netzwerk (mehr als 5-10 Computer, IMHO) jemals übermäßig sein könnten. Die Sekunde, die es wert ist, einen DC zu haben, ist es wert, zwei zu haben.
gWaldo
1
Du hast recht - es ist kaum zu glauben, dass ich mich mit nur einem jemals sicher gefühlt habe. ;)
Kara Marfia
2

Alles gute Antworten hier. Ich werde mich dafür einsetzen, dass ich auch zwei Domänencontroller habe. In einer kleinen Umgebung wäre es sogar in Ordnung, beide als VMs auf dieselbe Hardware zu setzen. Jemand kann dies wahrscheinlich autorisierender einschalten, aber wenn Sie MS Hyper-V (Server 2K8) als Host verwenden, haben Sie möglicherweise einige Lizenzvorteile für das Betriebssystem?

Mit Single Sign On (SSO) / Unified Authentication sparen Sie so viel Arbeit beim Erstellen von Konten und Festlegen von Ordnerberechtigungen. Das Einrichten von AD und das Hinzufügen der Systeme und Benutzer zur Domäne ist natürlich mit einigem Aufwand verbunden.

Jeff

Jeff Hengesbach
quelle
2

Sie benötigen eine zentralisierte Authentifizierung und Verwaltung, wenn Sie diese Umgebung überhaupt erweitern möchten. Selbst wenn Sie nicht beabsichtigen, die Umgebung zu vergrößern, können Sie im täglichen Betrieb durch die Implementierung der zentralen Authentifizierung und Autorisierung Zeitersparnisse erzielen.

Wenn es sich um eine Windows-Umgebung handelt, ist AD die einfache, aber kostspielige Lösung. Wenn die Kosten der Knackpunkt für AD sind, implementieren Sie Samba.

Zuerst wird es schwieriger erscheinen, aber Sie werden sich an die Werkzeuge gewöhnen und sich fragen, wie es für Sie nicht ganz offensichtlich war, dass Sie dies tun mussten.

Brian
quelle
1

Sie brauchen keine AD. *

Große Anwaltskanzlei. Wir haben in den letzten 2 Jahren eine Bandbreite von ~ 103 bis ~ 117 Nutzern mit 4 Standorten in 3 Bundesstaaten und einem Umsatz von Praktikanten und Angestellten. Wir führen die gesamte Firma mit 1 Server-Box für Domino / Notizen und Buchhaltung, ein paar dedizierten w2k8-Servern für Spezialsoftware, ca. 5 oder 6 dedizierten generischen Windows-Boxen für verschiedene Apps und ... 2 Linux-Boxen für alle Dateiserver-Bedürfnisse und Backup sowie eine dritte Box für eine Firewall. Es läuft alles wie der Energizer-Hase, und wir hatten nicht viele Probleme mit Anbietern oder Software.

  • aber Sie können es trotzdem bekommen. Microsoft beabsichtigt, sich dem Kollektiv anzuschließen, und abgesehen von der vollständigen Migration von Windows sind Sie auf lange Sicht so gut wie dazu bestimmt, mit AD zu enden.
Voltaire
quelle
Was ist mit Anwaltskanzleien und Lotus Domino / Notes? Fast jeder, den ich gesehen habe, benutzt es ...
SilentW
Es war zu dieser Zeit die "richtige Lösung", so dass es weithin angenommen wurde, zum Mainstream wurde und sich dann in einen Bootsanker verwandelte, den niemand mehr liebte. Es ist so ziemlich so, wie Technologie immer funktioniert ...
Voltaire
0

Gründe für die Verwendung von Active Directory

  1. Sicherheitsgruppe für geschützte Benutzer
  2. Zentrale Benutzerkontoverwaltung
  3. Zentralisierte Richtlinienverwaltung über Gruppenrichtlinienobjekte
  4. Zusätzliche verwaltete Dienste
  5. Besseres Sicherheitsmanagement
  6. Profilreplikation
  7. Authentifizierungsrichtlinien
  8. AD-Papierkorb
  9. CAL-Aktivierung
  10. Patch-Verteilung
  11. AD-Webdienste
  12. Passwort zurücksetzen
  13. Einmalige Anmeldung
  14. Zwei-Faktor-Authentifizierung
  15. Verzeichniskonsolidierung
  16. Anwendungsverzeichnispartitionen
  17. Universelles Gruppen-Caching
  18. Hybrid-Profil-Login
  19. Skalierbarkeit ohne Komplexität
  20. Leistungsstarke Entwicklungsumgebung
  21. Sitzungsduplikationen

Ich habe ein System ohne Active Directory erfolgreich ausgeführt. Sie müssen jedoch die Anforderungen durch alternative Tools ausgleichen. Ich bin bei ungefähr 150 Benutzern in drei verschiedenen Organisationen auf AD umgestiegen.

LJones
quelle