Active Directory 与 OpenLDAP

Question

这是为一家没有实施任何集中用户数据库的小公司（12 名开发人员）准备的——他们已经有机地成长，只是根据需要在计算机上创建帐户。

从管理的角度来看，这是一场噩梦 - 10 台计算机都具有不同的用户帐户。如果用户被添加到一台计算机，他们需要手动添加到所有其他计算机（他们需要访问）。这远非理想。随着更多计算机/用户的添加/雇用，向前发展并发展业务将意味着更多的工作。

我知道，有些类型的集中用户管理的迫切需要。但是，我在 Active Directory 和 OpenLDAP 之间争论不休。当前的两台服务器用作简单的备份和文件共享服务器，都运行 Ubuntu 8.04LTS。这些计算机混合了 Windows XP 和 Ubuntu 9.04。

我没有使用 Active Directory（或真正的 OpenLDAP，但我对 Linux 感到满意）的经验，但是如果一个解决方案比另一个解决方案更重要，那么我有理由了解这一点。

前期成本不是真正的问题，TCO 才是。如果 Windows（我假设是 SBS？）能为我节省足够的时间来弥补增加的前期成本，那么我认为我应该采用该解决方案。

根据我的需要，我应该考虑实施什么解决方案？

编辑：电子邮件是异地托管的，因此不需要 Exchange。

Answer 1

您将从 Active Directory 中获得许多 OpenLDAP 无法获得的优秀功能。其中最主要的是单点登录（即在所有客户端和服务器计算机上运行的一个用户帐户）和组策略。

我喜欢开源软件，但在 Samba 4 成熟之前，Active Directory 为 Windows 2000 和更新的客户端计算机提供最佳的管理体验。

如果不使用第三方软件，Windows XP 客户端就无法进行基于标准的 LDAP 身份验证。在这里阅读我的回答：Kerberos 与 Windows XP 的集成——使用 OpenLDAP 的体验将非常相似（除了您需要预先使用 pGINA 等第三方软件才能使 LDAP 身份验证工作）：如何让 Windows XP 进行身份验证kerberos 或 heimdal

是否使用 Windows Small Business Server 取决于您想花多少钱（SBS 的客户端访问许可证的初始成本和成本高于“普通”Windows）以及您是否会从额外的“特征”。我更喜欢将 Windows SBS 视为廉价的 Windows 和 Exchange 捆绑包（具有过于复杂的设置和我从未使用过的粗糙的管理工具。）我倾向于像管理“普通”Windows 和 Exchange Server 机器一样管理 Windows SBS，并且它可以工作非常好。

带有 Active Directory、Microsoft DHCP/DNS、WSUS（为客户端计算机提供更新）和一些组策略对象来处理配置用户/计算机环境和安装软件的 Windows 服务器将极大地减轻您的管理负担并使添加未来的计算机变得容易。Exchange 启动和运行并不难（最大的问题与让您的邮件从 Internet 流向它有关——很多人似乎不了解 DNS 和 SMTP 是如何协同工作的）。

假设您的安装是由知道他们在做什么的人执行的，并且您事后对待一切都很好，它会为您运行良好，而无需管理很多麻烦。我注销那些哀叹 Windows 和 Exchange 不可靠的人，因为他们通常会遇到问题，因为他们要么 (a) 使用劣质硬件并且从长远来看要付出代价，要么 (b) 没有能力管理软件。我的 Windows SBS 安装一直回到 4.0 版的时间框架，在安装后几年运行良好——您也可以拥有。

如果您对这些产品没有任何经验，我建议您与信誉良好的顾问合作来执行安装并让您开始自给自足的管理。如果我知道，我会推荐一本好书，但我对我读过的几乎所有书都感到相当不满（通常，它们似乎都缺乏现实生活中的例子和案例研究）。

有很多顾问可以让您以低廉的价格开始工作（您正在谈论的设置，假设您要自己完成“批量”工作，感觉大约需要一天半到两天的时间基本的 Windows 和 Exchange 安装，对我来说）并且可以帮助你“学习绳索”。如果您选择这样做，大部分工作将用于迁移您现有的用户环境（将他们现有的文档和配置文件迁移到他们新 AD 帐户的漫游用户配置文件和重定向的“我的文档”文件夹等）。（我会，只是因为从长远来看，它会让用户更快乐，更有效率。）

您应该计划某种备份设备和备份管理软件、带有冗余磁盘（最低RAID-1）的服务器计算机和某种电源保护 (UPS)。我预计，使用低端服务器、许可成本和电源保护硬件，您可以以大约 3500.00 美元至 4000.00 美元的价格购买 Windows SBS。就我个人而言，我会为您指定大约 10 到 20 个小时的安装工作，具体取决于您对自己的需求的熟悉程度以及您希望教过多少工作，而不是让安装人员来做。

这是我在像您这样的部署中看到的典型安装任务的高级列表：

• 物理设置服务器计算机、UPS 等。
• 安装 Windows、Exchange、WSUS、基础设施服务、服务包、备份管理软件、UPS 管理软件等。
• 讨论文件共享（权限、共享文件位置、目录层次结构）。
• 创建用户帐户（漫游配置文件文件夹、“我的文档”文件夹等）、安全组、通讯组、基本 GPO。
• 讨论迁移现有电子邮件数据并制定策略，更改 DNS 以将电子邮件直接带到 Exchange。
• 讨论将用户环境迁移到新的 AD 帐户。如果需要进行迁移培训，则制定迁移程序。
• 将客户端计算机和用户配置文件试点迁移到域中。
• 讨论日常系统管理员任务（密码重置、更改用户组成员身份、查看备份成功/失败通知、监控 WSUS 和更新安装）、讨论常见问题、故障排除和解决方案，进行问答环节。
• 为未来的活动提出建议（自动化软件安装、VPN 连接等）

Answer 2

如果我正确阅读您的问题，请坚持使用开源：

• 你不在乎 Exchange
• 您不需要对 XP 设置进行精细控制 - 我喜欢组策略，主要是为了让管理/销售人员免受他们自己的影响，开发人员主要需要我远离他们的头发
• *nix 比 windows 更舒服

AD 非常擅长很好地管理窗口，但如果您不需要它，那么您就为自己购买了一条不太可能带来很多好处的学习曲线。

2 警告

• 如果您有时间/兴趣将自己更多地推向 MS 方面，这是提供这一点的好方法。
• WSUS 是控制工作站/服务器补丁的好方法。如果您不能只在所有机器上打开“自动”开关，这可能会将平衡推给 SBS（如果 SBS 执行 WSUS？）