Brauche ich wirklich MS Active Directory? [geschlossen]

Ich verwalte einen Shop mit ca. 30 Computern und 2 Terminalservern (eine Produktion, eine Bereitschaft). Sollte ich Active Directory wirklich in unserem Netzwerk bereitstellen?

Gibt es wirklich Vorteile, die die Existenz eines anderen AD-Servers ausgleichen könnten? Unser Terminalserver soll unabhängig und ohne weitere Dienste ausgeführt werden, mit Ausnahme unserer Unternehmens-APP.

Was für großartige Funktionen fehlen mir, wenn ich sie trotzdem ohne AD ausführen werde?

update : aber betreibt einer von euch einen erfolgreichen shop ohne anzeige?

Für 30 Maschinen? Es ist völlig optional.

Ich verwalte mehrere große Standorte (durchschnittlich 30 bis 125 Systeme / Workstations pro Standort), die ohne AD ausgeführt werden, mithilfe von Samba und Batch- / Autoit-Skripten. Sie funktionieren einwandfrei und waren, abgesehen von dem einen oder anderen Software-Update, problemlos.

Die Verwendung von Active Directory bringt eine Reihe von Vorteilen für Ihr Netzwerk mit sich, von denen ich einige auf den Kopf stellen kann:

• Zentrale Benutzerkontoverwaltung
• Zentralisierte Richtlinienverwaltung (Gruppenrichtlinie)
• Besseres Sicherheitsmanagement
• Replikation von Informationen zwischen DCs

Offensichtlich bringen diese Vorteile auch einen gewissen Aufwand mit sich, und es ist viel Arbeit und Zeit erforderlich, um eine AD-Umgebung einzurichten, insbesondere, wenn Sie über eine vorhandene Einrichtung verfügen. Meiner Meinung nach lohnen sich die Vorteile der zentralen Verwaltung, die AD bietet .

Einige "Drive-by" Antworten ...

1- Wenn Sie Exchange für E-Mail verwenden, ist AD erforderlich. Wahrscheinlich verwenden Sie Exchange nicht, oder Sie wissen, dass dies der Fall ist, aber ich schlage es für diejenigen vor, die dies in Betracht ziehen.

2- AD verwaltet ein "zentralisiertes Authentifizierungssystem". Sie steuern Benutzer, Gruppen und Kennwörter an einem einzigen Ort. Wenn Sie nicht über AD verfügen, müssen Sie Ihre Benutzer wahrscheinlich auf jedem Terminalserver separat einrichten oder für den Zugriff und die Verwendung der Sicherheit in der Anwendung jeweils einen allgemeinen Benutzer festlegen.

3- Wenn Sie über andere Windows-Server verfügen, ermöglicht AD die direkte Sicherung von Ressourcen auf diesen Servern an einem einzigen Ort (AD).

4- AD enthält einige andere Dienste (DNS, DHCP), die ansonsten separat verwaltet werden müssen. Ich vermute, dass Sie sie möglicherweise nicht verwenden, wenn die einzigen Windows-Server, über die Sie verfügen, die Terminalserver sind.

5- Obwohl nicht erforderlich, ist es von Vorteil, die Arbeitsstationen in der Domäne zu haben. Dies ermöglicht einige (nicht umfassende) Single-Sign-On-Funktionen sowie eine umfassende Kontrolle und Verwaltung der Arbeitsstationen über "Gruppenrichtlinien".
-> Zum Beispiel können Sie über GP die Bildschirmschonereinstellungen steuern, wobei der Bildschirmschoner die Workstation nach x Minuten sperren und das Kennwort entsperren muss.

6- Sie sind möglicherweise ein guter Kandidat für Microsoft Small Business Server, wenn Sie E-Mail, Dateifreigabe, Remotezugriff und Web-Serving benötigen.

Ich stimme dem Hinweis zu, zwei Domänencontroller zu haben. Wenn Sie nur einen DC haben und dieser ausfällt, haben Sie echte Schmerzen, wenn Sie Zugang zu Dingen haben. Es ist (glaube ich) möglich, dass die Terminalserver auch Domänencontroller sind, obwohl ich vermute, dass viele es nicht empfehlen werden. In einem kleinen Netzwerk wie Ihrem ist die DC-Auslastung unbedeutend, sodass sie möglicherweise funktioniert.

BEARBEITEN: in einem kommentar an mihai gefragt: "es ist ihr interesse, uns dazu zu bringen, alles zu kaufen, was wir können. Aber kann ich ohne ad ok sein? Lokale konten, kein austausch ....?!"

Wäre ich in Ihren Schuhen, würde ich das TS-Projekt als Ausrede verwenden, um AD für die Vorteile hinzuzufügen, insbesondere auf den Workstations. Aber es hört sich so an, als wären Sie entschlossen und möchten Deckung, also ist es hier.

ABSOLUT können Sie ohne AD OK sein.

aus meinem Kopf:

1. Zentrales Benutzer- und Sicherheitsmanagement und Auditing
2. Computergruppenrichtlinien zentralisiert
3. Softwarebereitstellung (über GPO)

AD wird auch für Anwendungen wie den Austausch benötigt.

MS hat ein Whitepaper zu diesem Thema für Sie .

AD hat viele Funktionen, die Sie möglicherweise sehr nützlich finden. Die erste davon ist die zentralisierte Authentifizierung. Alle Benutzerkonten werden an einem einzigen Ort verwaltet. Dies bedeutet, dass Sie Ihre Anmeldeinformationen auf jedem Computer in der Umgebung verwenden können.

Ein weiteres Element, das dies ermöglicht, ist eine bessere Sicherheit für die gemeinsame Nutzung von Ressourcen. Sicherheitsgruppen sind sehr nützlich, um auf Ressourcen wie Dateifreigaben zuzugreifen.

Mithilfe von Gruppenrichtlinien können Sie Einstellungen für eine Reihe von Computern oder Benutzern erzwingen. Auf diese Weise können Sie für Benutzer, die sich an den Terminalservern anmelden, andere Richtlinien festlegen als für Benutzer, die sich an ihren Arbeitsstationen anmelden.

Wenn Sie Ihre Terminalserver ordnungsgemäß und abhängig von den Anwendungen einrichten, können Sie mithilfe der zentralisierten Authentifizierung, der Zugriffsrechte über Sicherheitsgruppen und der Gruppenrichtlinien beide Terminalserver in einem eher gruppierten Stil als in Ihrem aktuellen Setup verwenden, in dem sich nur einer im Leerlauf befindet In dieser Zeit können Sie mit zunehmendem Ressourcenbedarf auf mehr Terminalserver (N + 1) skalieren.

Der Nachteil ist, dass Sie nur an 1 Domänencontroller denken. Ich empfehle dringend 2. Dadurch wird sichergestellt, dass für Ihre Active Directory-Domäne keine einzige Fehlerquelle vorhanden ist.

Wie in mehreren Kommentaren erwähnt. Die Kosten dürften hier ein wesentlicher Faktor sein. Wenn der ursprüngliche Fragesteller über ein voll funktionsfähiges Setup verfügt, ist es möglicherweise nicht in seinem Budget, die Hardware und Software bereitzustellen, die für die Aufrechterhaltung einer Active Directory-Domänenumgebung erforderlich sind, ohne dass ein überwältigender Fall vorliegt, der die Kosten rechtfertigt. Wenn alles funktioniert, ist AD sicherlich nicht erforderlich, damit eine Umgebung funktioniert. Diejenigen von uns, die es in der Vergangenheit in Unternehmensumgebungen verwendet haben, sind jedoch sehr starke Befürworter. Dies liegt hauptsächlich an der Tatsache, dass dies den Administratoren auf lange Sicht die Arbeit erleichtert.

Ich bin kürzlich in einen (relativ großen / erfolgreichen) Laden ohne MS AD gezogen. Sicher, Sie verpassen Microsoft / Windows Single Sign On, aber es gibt auch andere Lösungen wie Authentifizierungs-Proxies (SiteMinder, Webseal usw.). Für die zentrale Benutzerverwaltung kann auch LDAP (oder SiteMinder) in Frage kommen.

Also ja, Sie können ein erfolgreicher Shop ohne (MS) AD sein, Sie müssen nur die Alternative finden.

Ich denke, die größere Frage ist, warum nicht?

Verlassen Sie die Benutzerkonten aus Sicherheitsgründen getrennt? Verwenden die Benutzer jeder Maschine nur diese Maschine?

Wenn die gleichen Benutzer alle Computer verwenden müssen, bietet AD ihnen die folgenden Vorteile: Wenn sie sich in der Domäne anmelden, werden sie an allen Orten als vertrauenswürdig eingestuft, an denen ihnen und ihren Gruppen vertraut wird. Wenn sie ihr Passwort ändern, ist es überall gleich. Sie müssen nicht daran denken, es auf allen 10 Rechnern zu ändern (oder, schlimmer noch, vergessen Sie es und müssen es alle zwei Wochen für sie zurücksetzen).

Für Sie bietet es den Vorteil einer zentralen / globalen Kontrolle der Berechtigungen. Wenn Sie Ordner mit speziellen Berechtigungen für Gruppen haben und eine neue Person eingestellt wird, fügen Sie diese einfach der Gruppe hinzu und fertig. Sie müssen nicht an jeden Computer eine Verbindung herstellen und immer wieder denselben Benutzer erstellen und die Berechtigungen festlegen.

Außerdem befindet sich der Computer jedes Benutzers in der Domäne, sodass er von der Domäne gesteuert werden kann.

Ich denke, der größte Vorteil sind Gruppenrichtlinienobjekte, die sich bei der Domäne anmelden, um Richtlinien an ihren PC zu senden, die die Sicherheit Ihres gesamten Netzwerks schützen.

Abgesehen davon ist mein Büro klein (ungefähr 15) und wir haben keine offizielle IT-Abteilung. Daher verwenden wir MS Groove (über) als Infrastruktur und haben weder AD noch wirklich zentrale Server. Wir sind Laptop-basiert.

Einer der größten ist meiner Meinung nach Single-Sign-On. Es hört sich zwar so an, als würden Ihre Endbenutzer es wahrscheinlich nicht bemerken, aber vom Standpunkt des Administrators aus ist es sicherlich eine nette Sache. Sie haben nur ein Kennwort, das Sie im Auge behalten müssen, und wenn Sie es ändern möchten, müssen Sie es nur an einer Stelle tun, nicht an der 32. Es gibt eine Menge Dinge, die Sie tun können, um Ihre Umgebung zu verwalten, wenn Sie keine Angst vor Skripten haben .

Der Vorteil des Verzichts auf AD sind offensichtlich die Kosten.

Die Vorteile von AD lassen sich auf zwei Faktoren reduzieren. Wenn Sie sich nicht darum kümmern, lautet die Antwort "Nein".

• Zentralisierte Verwaltung: von Benutzern, Computerkonten, Lots, automatischen Updates, Softwarebereitstellung, Gruppenrichtlinien usw. (Damit ich dies nicht zu stark vereinfache, sollten Sie die Auswirkungen des "Denkens klein" in grundlegenden Angelegenheiten verstehen. Ein einziges Beispiel: 30 statische IP-Adressen ist wartbar. Wie wäre es mit 100? 256?)
• Expansionsgrundlage: 2 AD-Controller scheinen übermäßig (obwohl immer noch notwendig) für ein Netzwerk von 30 zu sein, aber sie reichen für 1000-1500 Benutzer aus, glaube ich? Richtig eingerichtet, AD muss erst geändert werden, wenn Sie viel größer werden.

Ich denke, der beste Rat ist, das Active Directory-Tag hier auf SF zu lesen, während es ausgefüllt wird - um zu prüfen, ob Sie genügend Funktionen (z. B. Hyper V mit Server 2008) finden, die Ihrem Shop zugute kommen, damit sich der Kauf lohnt.

Alles gute Antworten hier. Ich werde mich dafür einsetzen, dass ich auch zwei Domänencontroller habe. In einer kleinen Umgebung wäre es sogar in Ordnung, beide als VMs auf dieselbe Hardware zu setzen. Jemand kann dies wahrscheinlich autorisierender einschalten, aber wenn Sie MS Hyper-V (Server 2K8) als Host verwenden, haben Sie möglicherweise einige Lizenzvorteile für das Betriebssystem?

Mit Single Sign On (SSO) / Unified Authentication sparen Sie so viel Arbeit beim Erstellen von Konten und Festlegen von Ordnerberechtigungen. Das Einrichten von AD und das Hinzufügen der Systeme und Benutzer zur Domäne ist natürlich mit einigem Aufwand verbunden.

Jeff

Sie benötigen eine zentralisierte Authentifizierung und Verwaltung, wenn Sie diese Umgebung überhaupt erweitern möchten. Selbst wenn Sie nicht beabsichtigen, die Umgebung zu vergrößern, können Sie im täglichen Betrieb durch die Implementierung der zentralen Authentifizierung und Autorisierung Zeitersparnisse erzielen.

Wenn es sich um eine Windows-Umgebung handelt, ist AD die einfache, aber kostspielige Lösung. Wenn die Kosten der Knackpunkt für AD sind, implementieren Sie Samba.

Zuerst wird es schwieriger erscheinen, aber Sie werden sich an die Werkzeuge gewöhnen und sich fragen, wie es für Sie nicht ganz offensichtlich war, dass Sie dies tun mussten.

Sie brauchen keine AD. *

Große Anwaltskanzlei. Wir haben in den letzten 2 Jahren eine Bandbreite von ~ 103 bis ~ 117 Nutzern mit 4 Standorten in 3 Bundesstaaten und einem Umsatz von Praktikanten und Angestellten. Wir führen die gesamte Firma mit 1 Server-Box für Domino / Notizen und Buchhaltung, ein paar dedizierten w2k8-Servern für Spezialsoftware, ca. 5 oder 6 dedizierten generischen Windows-Boxen für verschiedene Apps und ... 2 Linux-Boxen für alle Dateiserver-Bedürfnisse und Backup sowie eine dritte Box für eine Firewall. Es läuft alles wie der Energizer-Hase, und wir hatten nicht viele Probleme mit Anbietern oder Software.

• aber Sie können es trotzdem bekommen. Microsoft beabsichtigt, sich dem Kollektiv anzuschließen, und abgesehen von der vollständigen Migration von Windows sind Sie auf lange Sicht so gut wie dazu bestimmt, mit AD zu enden.

Gründe für die Verwendung von Active Directory

1. Sicherheitsgruppe für geschützte Benutzer
2. Zentrale Benutzerkontoverwaltung
3. Zentralisierte Richtlinienverwaltung über Gruppenrichtlinienobjekte
4. Zusätzliche verwaltete Dienste
5. Besseres Sicherheitsmanagement
6. Profilreplikation
7. Authentifizierungsrichtlinien
8. AD-Papierkorb
9. CAL-Aktivierung
10. Patch-Verteilung
11. AD-Webdienste
12. Passwort zurücksetzen
13. Einmalige Anmeldung
14. Zwei-Faktor-Authentifizierung
15. Verzeichniskonsolidierung
16. Anwendungsverzeichnispartitionen
17. Universelles Gruppen-Caching
18. Hybrid-Profil-Login
19. Skalierbarkeit ohne Komplexität
20. Leistungsstarke Entwicklungsumgebung
21. Sitzungsduplikationen

Ich habe ein System ohne Active Directory erfolgreich ausgeführt. Sie müssen jedoch die Anforderungen durch alternative Tools ausgleichen. Ich bin bei ungefähr 150 Benutzern in drei verschiedenen Organisationen auf AD umgestiegen.