Frage Brauche ich wirklich MS Active Directory? [geschlossen]


Ich verwalte einen Laden mit rund 30 Maschinen und zwei Terminalservern (eine Produktion, eine Standby-Station). Sollte ich wirklich Active Directory in unserem Netzwerk einsetzen?

Gibt es wirklich Vorteile, die die Existenz eines anderen AD-Servers beeinträchtigen könnten? Unser Terminal Server soll unabhängig sein, ohne weitere Dienste, außer unserer Unternehmens-APP.

Was für großartige Features fehle ich, wenn ich es immer noch ohne AD laufen lassen würde?

aktualisierenAber läuft irgendjemand von euch ohne AD ein erfolgreiches Geschäft?


28
2018-05-27 15:38


Ursprung


Wie gehen Sie mit E-Mail und File-Sharing um? - tomjedrz
E-Mail wird mit einer gehosteten E-Mail-Lösung (auch unser Webserver wird gehostet), POP und SMTP und Zugriff mit Outlook Express behandelt. File-Sharing wird mit einem freigegebenen Ordner auf dem Backup-Server durchgeführt (es ist ein Hot-Backup, Benutzer ändern nur die IP-Adresse des Servers und dann verbinden sie sich mit dem Backup-System) - s.mihai
Wie bereits erwähnt, zahlt es sich wirklich aus, weitere 2 Server als DC mit den entsprechenden Kosten zu haben - Hardware, Lizenzen, Power ??? - s.mihai
Wie behandeln Sie Benutzerberechtigungen mit der Dateifreigabe? Sie haben 30 Benutzerkonten auf der Box? - Nick Kavadias
Also, wenn eine neue Person beginnt oder jemand aufhört, müssen Sie alle diese Maschinen manuell durchlaufen und Konten reparieren? Oder zumindest mehr als an einem Ort? - Oskar Duveborn


Antworten:


Für 30 Maschinen? Es ist völlig optional.

Ich verwalte mehrere große Standorte (durchschnittlich 30 ~ 125 Systeme / Workstations pro Standort), die ohne AD mit Samba und Batch / Autoit-Skripten laufen. Sie funktionieren gut und abgesehen von den ein oder anderen Softwareupdates, die Dinge kaputt gemacht haben, waren sie problemlos.


0
2017-08-18 22:11



Wow, diese Antwort hat sich in den Revisionen sehr verändert ... - Chris S
@ Chris S - heh, yup. Das habe ich auch bemerkt. - EEAA
Wenn ich den Kommentar entfernen könnte, würde ich. Ich bin kein großer Fan von AD und benutze es nur nach Bedarf. Der Wortlaut der ursprünglichen Frage wurde schließlich geändert, was meine Antwort (und die anderer) off-topic und noch schlimmer macht, die großen negativen Stimmen von Leuten würdig ist, die AD als einzige Lösung sehen; Daher habe ich die nicht länger gültigen Alternativen und Rhetorik gezogen. Ich bin kein Troll; Wenn also meine Antworten so nutzlos sind, dass sie als falsch markiert werden, sollten sie einfach gelöscht werden. - voltaire
Die ursprüngliche Frage war im Grunde: Brauche ich es wirklich? - voltaire


Die Verwendung von Active Directory bringt Ihrem Netzwerk eine Reihe von Vorteilen, von denen mir einige von ganzem Herzen einfallen:

  • Zentralisierte Benutzerkontenverwaltung
  • Zentralisierte Richtlinienverwaltung (Gruppenrichtlinie)
  • Besseres Sicherheitsmanagement
  • Replikation von Informationen zwischen DCs

Natürlich bringen diese Vorteile auch einige Gemeinkosten mit sich, und es ist viel Arbeit und Zeit erforderlich, um eine AD-Umgebung einzurichten, insbesondere wenn Sie bereits über ein Setup verfügen. Die Vorteile der zentralisierten Verwaltung, die AD bringt, sind meiner Meinung nach jedoch wert .


32
2018-05-27 15:44





Einige "Drive-by" -Antworten ...

1- Wenn Sie Exchange für E-Mail verwenden, ist AD erforderlich. Sie verwenden wahrscheinlich nicht Exchange, oder Sie würden das wissen, aber ich schließe es für diejenigen ein, die dies in Betracht ziehen.

2- AD verwaltet ein "zentralisiertes Authentifizierungs" -System. Sie steuern Benutzer, Gruppen und Kennwörter an einem einzigen Ort. Wenn Sie kein Active Directory haben, müssen Sie Ihre Benutzer wahrscheinlich auf jedem Terminalserver separat einrichten oder über einen allgemeinen Benutzer verfügen, um auf die Sicherheit in der Anwendung zuzugreifen und sie zu verwenden.

3- Wenn Sie andere Windows-Server verwenden, ermöglicht AD die direkte Sicherung von Ressourcen auf diesen Servern an einem einzigen Ort (AD).

4- AD enthält einige andere Dienste (DNS, DHCP), die ansonsten separat verwaltet werden müssen. Ich vermute, dass Sie sie möglicherweise nicht verwenden, wenn die einzigen Windows-Server, die Sie haben, die Terminalserver sind.

5- Obwohl dies nicht erforderlich ist, ist es vorteilhaft, die Arbeitsstationen in der Domäne zu haben. Dies ermöglicht einige (nicht umfassende) Einzelanmeldungsfunktionen sowie eine wesentliche Kontrolle und Verwaltung der Arbeitsstationen durch "Gruppenrichtlinien".
-> Über GP können Sie beispielsweise die Einstellungen für den Bildschirmschoner steuern. Dazu muss der Bildschirmschoner die Arbeitsstation nach x Minuten sperren und das Kennwort muss entsperrt werden. 

6- Sie sind möglicherweise ein guter Kandidat für Microsoft Small Business Server, wenn Sie E-Mail, Dateifreigabe, Remotezugriff und Web-Serving benötigen.

Ich habe den Hinweis über zwei Domänencontroller. Wenn Sie nur einen DC haben und es scheitert, haben Sie echte Schmerzen, um Zugang zu den Dingen zu bekommen. Es ist (glaube ich) möglich, dass die Terminalserver auch Domänencontroller sind, obwohl ich vermute, dass viele es nicht empfehlen werden. In einem kleinen Netzwerk wie dem Ihren ist die DC-Arbeitslast unbedeutend, also könnte es funktionieren.


EDIT: in einem Kommentar s.mihai fragte: "Es ist ihr Interesse, uns dazu zu bringen, alles zu kaufen, was wir können. Aber kann ich OK ohne AD sein? Lokale Konten, kein Tausch ...?!"

Wenn ich in Ihren Schuhen wäre, würde ich das TS-Projekt als Entschuldigung dafür nutzen, AD für die Vorteile hinzuzufügen, besonders auf den Workstations. Aber es klingt, als wäre dein Verstand erfunden und du willst Deckung, also ist es hier.

ABSOLUT können Sie ohne AD OK sein.


20
2018-05-27 16:01



Nur auf der Stelle. Mit und AD beibehalten würden weitere 2 Server benötigen, da DC im Einsatz auf unseren TS aus den Fragen ist, ich das letzte Mal meine eine DC Einstellung überprüft würde, dass PC laufen würde eher langsamer, da der Sperr von Caching, verlangsamen Plattenzugriff und einige andere Sachen, die ich nicht verstanden habe (ich habe darüber mit den Machern unserer Unternehmens-App gesprochen, die auf TS läuft) - s.mihai
Ich bin skeptisch, wenn die TS-Hardware nicht schon zu schwach ist. Ich werde fragen! - tomjedrz
Nein, ich brauche keine Deckung, ich habe mich nur gefragt, ob es wirklich die Kosten wert ist und ich mache ein Gleichgewicht. Ich wollte nicht mit der Idee gehen: <i> "Wenn es funktioniert, warum es ändern" </ i> - s.mihai
Upvoted für die endgültige BOLD ASSERTION. - Joseph Kern
+1 zu Joseph Kern - Danke! Es ist nicht meine Empfehlung, aber es wird funktionieren. - tomjedrz


aus dem Kopf:

  1. zentralisiertes Benutzer- und Sicherheitsmanagement und Auditing
  2. Computergruppenrichtlinien zentralisiert
  3. Software-Deployment (über GPO)

AD wird auch für Anwendungen wie Exchange benötigt.

MS hat nur ein Whitepaper für dich Zu diesem Thema.


16
2018-05-27 15:43



+1, genaues Duplikat dessen, was meine Antwort sein würde. - squillman
Wir wurden alle von ms Training indoktriniert! gut zu sehen - Nick Kavadias
Es ist ihr Interesse, dass wir alles kaufen, was wir können. aber kann ich ohne AD OK sein? lokale Konten, kein Austausch ....?! - s.mihai
Du kannst ohne es leben, aber willst du? Es bedeutet nicht mehr Managementarbeit für Sie. Zumindest benötigen Sie eine andere Windows Server-Lizenz (Ihr TS-Backup könnte auch ein AD-Server für Redundanz werden?) Kleine Unternehmen neigen dazu zu vergessen, dass Arbeit teurer als Software ist - Nick Kavadias


AD hat viele Funktionen, die Sie sehr nützlich finden können. Die erste ist die zentralisierte Authentifizierung. Alle Benutzerkonten werden an einem einzigen Ort verwaltet. Dies bedeutet, dass Sie Ihre Anmeldeinformationen unter allen Computern in der Umgebung verwenden können.

Ein weiteres Element, das dies ermöglicht, ist eine bessere Sicherheit für die Freigabe von Ressourcen. Sicherheitsgruppen sind sehr nützlich für den Zugriff auf Ressourcen wie Dateifreigaben.

Mit Gruppenrichtlinien können Sie Einstellungen für mehrere Computer oder Benutzer erzwingen. Auf diese Weise können Sie für Benutzer, die sich an den Terminalservern anmelden, andere Richtlinien festlegen als für Benutzer, die sich an ihren Arbeitsstationen anmelden.

Wenn Sie Ihre Terminalserver ordnungsgemäß und abhängig von den Anwendungen einrichten, können Sie die zentralisierte Authentifizierung, Zugriffsrechte über Sicherheitsgruppen und GPO-Richtlinien verwenden, um beide Terminalserver in einem mehr gruppierten Stil als in Ihrer aktuellen Konfiguration zu verwenden Die Zeit, die es Ihnen ermöglicht, auf mehr Terminalserver (N + 1-Stil) zu skalieren, wenn der Bedarf an Ressourcen steigt.

Der Nachteil ist, dass Sie nur über 1 Domain Controller nachdenken. Ich empfehle dringend 2. Dies stellt sicher, dass Sie keinen einzigen Fehlerpunkt für Ihre Active Directory-Domäne haben.

Wie in mehreren Kommentaren erwähnt. Die Kosten dürften hier eine Rolle spielen. Wenn der ursprüngliche Fragesteller über ein funktionierendes Setup verfügt, kann es sein Budget übersteigen, die erforderliche Hardware und Software für eine Active Directory-Domänenumgebung einzubringen, ohne dass ein überwältigender Fall die Kosten rechtfertigen würde. Wenn alles funktioniert, ist AD sicher nicht erforderlich, damit eine Umgebung funktioniert. Diejenigen von uns, die sie in Unternehmen in der Vergangenheit verwendet haben, sind jedoch sehr starke Befürworter. Dies ist vor allem auf die Tatsache zurückzuführen, dass es die Aufgabe des Administrators auf lange Sicht viel einfacher macht.


10
2018-05-27 15:46



Wie in einem anderen Kommentar erwähnt, würde die Einstellung von 2 DC und 2 weiteren Servern nicht das Geld rechtfertigen, das für Lizenzen und Hardware und Strom benötigt wird, um diese 34/7 laufen zu lassen - s.mihai
Ich bin skeptisch, dass zusätzliche Hardware benötigt wird. - tomjedrz
Hardware- und Softwarekosten sind sicherlich ein Problem. Er kann jedoch seine Terminalserver nicht als Domänencontroller einsetzen, da Benutzer, die nicht zur Gruppe der Domänenadministratoren gehören, nicht berechtigt sind, sich bei einem Domänencontroller anzumelden. Dies wäre ein großes Sicherheitsproblem, wenn es nicht so wäre. Es ist möglich, anderen Benutzern Anmeldungsrechte auf dem Domänencontroller zu erteilen, wird aber nach meiner Erfahrung nicht von Microsoft unterstützt. - Kevin Colby
Selbst ein Small Business Server nutzt AD und für die Terminaldienste seit SBS2008 werden nun insgesamt 2 Server benötigt. Microsofts nehmen an, dass sogar ein einzelner Server mit 5 Benutzern von AD profitiert. Ich würde sagen, Sie würden von jedem globalen Verzeichnis sogar in Ihrem eigenen privaten Haus tatsächlich profitieren - es muss einfach nicht AD sein, aber ich würde sagen, Sie sollten ein globales Verzeichnis verwenden, um Benutzer verwalten zu können und zu haben ein funktionierender Audit-Trail herum. Und wenn Sie Windows bereits ausführen, scheint AD logisch zu sein. - Oskar Duveborn
Sogar der Foundation Server, der fast kostenlos ist, verwendet 15 Benutzer "Starter Edition" von Windows Server AD - und das ist für Leute gedacht, die denken, SBS ist zu viel. - Oskar Duveborn


Ich bin kürzlich in einen (relativ großen / erfolgreichen) Laden ohne MS AD gezogen. Sicher, Sie vermissen Microsoft / Windows Single Sign On, aber es gibt andere Lösungen dafür, wie Authentication Proxies (SiteMinder, Webseal usw.) Für die zentralisierte Benutzerverwaltung könnte auch ein LDAP (oder SiteMinder) eine Option sein.

Also ja, Sie können ein erfolgreiches Geschäft ohne (MS) AD sein, Sie müssen nur die Alternative finden.


6
2018-05-27 19:13



Die einzige realistische Alternative zu MS AD ist wahrscheinlich Samba mit OpenLDAP. Ich denke immer noch nicht, dass Sie MS auf ROI schlagen können, selbst wenn die OpenSource-Alternative frei ist. Ein blinder Affe kann AD einrichten! - Nick Kavadias
Könnten Sie "großen Laden" definieren? Sprechen wir 100-1000 Systeme? Ohne GPO (über AD) müssen Sie eine Tonne Entropie haben (dh Systeme mit unterschiedlichen Konfigurationen). Verwenden Sie derzeit etwas, um AD (außer Ellenbogenfett) zu ersetzen? Ehrlich gesagt, während ich ein Windows-Netzwerk betreibe, bin ich zu faul, um AD nicht auszuführen ... - Joseph Kern
Für mich klingt das nach einem Bycyle neu zu erfinden. Welche echte Alternative zu Ad verwenden Sie? - Taras Chuhay
Scheint mir so, als ob der OP nur nach jemandem sucht, der seine Idee unterstützt, dass AD nicht so nützlich ist, wie jeder es klingen lässt. Es gibt wirklich keinen reifen Ersatz für einen "großen Laden", obwohl ich denke, dass groß ist subjektiv. - MDMarra
@Nick Kavadias: Wen rufst du einen blinden Affen? ;) - GregD


Ich denke, die größere Frage ist warum nicht?

Lassen Sie die Benutzerkonten zur Sicherheit getrennt? Verwenden die Benutzer jeder Maschine nur diese Maschine?

Wenn dieselben Benutzer alle Computer verwenden müssen, bietet AD ihnen diese Vorteile: Wenn Sie sich an der Domäne anmelden, der sie vertraut sind, an allen Stellen, an denen sie und ihre Gruppen vertrauenswürdig sind. Wenn sie ihr Passwort ändern, ist es überall gleich; Sie müssen nicht daran denken, es auf allen 10 Maschinen zu ändern (oder schlimmer, vergessen Sie es und müssen Sie für jede zweite Woche zurücksetzen).

Für Sie bietet es den Vorteil der zentralen / globalen Kontrolle der Berechtigungen. Wenn Sie Ordner mit speziellen Berechtigungen für Gruppen haben und eine neue Person eingestellt wird, fügen Sie sie einfach der Gruppe hinzu und erledigen sie. Sie müssen nicht an jede Maschine anhängen und denselben Benutzer immer wieder erstellen und die Berechtigungen festlegen.

Außerdem befindet sich die Maschine jedes Benutzers in der Domäne und kann daher von der Domäne gesteuert werden.

Ich denke, der größte Vorteil ist, dass GPOs bei der Anmeldung an der Domäne Richtlinien an ihren PC senden können, die die Sicherheit Ihres gesamten Netzwerks schützen können.

Davon abgesehen ist mein Büro klein (ca. 15) und wir haben keine offizielle IT-Abteilung. Also verwenden wir (über) MS Groove als unsere Infrastruktur und haben wirklich keine AD oder irgendwelche zentralen Server; Wir sind auf dem Laptop basiert.


6
2018-05-28 01:01



+1 für Groove! Tolle Software! - p.campbell


Einer der größten ist meiner Meinung nach Single-Sign-On. Während es sich anhört, als würden Ihre Endbenutzer es wahrscheinlich nicht bemerken, ist es vom Standpunkt des Administrators sicherlich eine gute Sache. Sie haben nur ein Passwort, das Sie verfolgen müssen, und wenn Sie es ändern müssen, müssen Sie nur einen einzigen Punkt eingeben, nicht 32. Es gibt viele Dinge, die Sie tun können, um Ihre Umgebung zu verwalten, wenn Sie keine Angst vor Skripten haben .


5
2018-05-27 15:44



Vor allem, wenn Sie möchten, dass Benutzer ihre Passwörter immer wieder ändern. Dies ist der Hauptgrund, warum wir zu AD gewechselt haben. - Peter Turner
Nun ... das ist nicht gut genug für uns. Wir haben keine Nutzer, die sich in unserer Einrichtung bewegen, und neue Nutzer ... wir haben ein festes Personal (nicht viele kommen / gehen in oder aus unserer Firma) - s.mihai
Wenn Sie nur nach der einmaligen Anmeldung suchen, können Sie stattdessen auch eine deutlich günstigere LDAP-Lösung erhalten. - gbjbaanb
Wird alles außer AD mit Ihren C + A + D-Anmeldeinformationen integriert? - James Risto


Der Vorteil von AD ist natürlich der Preis.

AD Vorteile kochen auf 2 Faktoren, wenn Sie sich nicht darum kümmern, ist die Antwort "Nein".

  • Zentralisiertes Management: von Benutzern, Computerkonten, Losen, automatischen Updates, Software-Deployment, Gruppenrichtlinien usw. (Damit ich es nicht zu sehr vereinfache, sollten Sie die Auswirkungen von "klein denken" in grundlegenden Fragen verstehen. Ein Beispiel: 30 statische IP-Adressen ist wartbar. Wie wäre es mit 100? 256?)
  • Expansion-Fundament: 2 AD-Controller scheint übermäßig (obwohl immer noch notwendig) für ein Netzwerk von 30, aber sie sind ausreichend für 1000 bis 1500 Benutzer, glaube ich? Richtig eingerichtet, AD muss nicht geändert werden, bis Sie viel größer werden.

Ich denke, der beste Rat ist, das aktive Verzeichnis-Tag hier auf SF zu lesen, wie es sich ausfüllt - um zu sehen, ob Sie genügend Funktionen (z. B. Hyper V mit Server 2008) finden, die Ihrem Geschäft zugute kommen, um den Kauf lohnend zu machen.


4
2018-05-27 17:45



Ich stimme nicht zu, dass zwei Domänencontroller für jedes Domänen-würdige Netzwerk (mehr als 5-10 Computer, IMHO) jemals übermäßig sein könnten. Die zweite, dass es sich lohnt, einen DC zu haben, ist es wert, zwei zu haben. - gWaldo
Du hast Recht - es ist schwer zu glauben, dass ich mich jemals mit nur einem sicher fühlte. ;) - Kara Marfia