s.m*_*hai 29 windows active-directory
我管理着大约 30 台机器和 2 台终端服务器(一台生产,一台备用)的商店。我真的应该在我们的网络中部署 Active Directory 吗?
是否有任何真正的好处,可以平衡另一个 AD 服务器的存在?我们的终端服务器是独立运行的,上面没有其他服务,除了我们公司的APP。
如果我仍然在没有 AD 的情况下运行它,我会错过哪些很棒的功能?
更新:但是你们中有人在没有广告的情况下经营成功的商店吗?
Sam*_*gan 32
使用 Active Directory 为您的网络带来了许多优势,其中有几个是我能想到的:
显然,这些好处也带来了一些开销,设置 AD 环境需要大量的工作和时间,特别是如果您有现有设置,但是 AD 带来的集中管理的好处在我看来是非常值得的,在我看来.
tom*_*drz 20
一些“路过”的回应......
1- 如果您使用 Exchange 收发电子邮件,则需要 AD。您可能没有使用 Exchange 或者您会知道这一点,但我将其包含给可能正在考虑这一点的人。
2- AD 管理“集中认证”系统。您可以在一个地方控制用户、组和密码。如果您没有 AD,您可能必须在每个终端服务器上分别设置您的用户,或者在每个终端服务器上都有一个通用用户,以便在应用程序中访问和使用安全性。
3- 如果您有其他 Windows 服务器,AD 允许在单个位置 (AD) 中直接保护这些服务器上的资源。
4- AD 包括一些其他服务(DNS、DHCP),否则必须单独管理。如果您拥有的唯一 Windows 服务器是终端服务器,我怀疑您可能不会使用它们。
5- 虽然不是必需的,但在域中拥有工作站是有好处的。这允许某些(不全面的)单点登录功能以及通过“组策略”对工作站进行重要控制和管理。
--> 比如通过GP可以控制屏幕保护设置,要求屏幕保护在x分钟后锁定工作站并要求密码解锁。
6- 如果您需要电子邮件、文件共享、远程访问和 Web 服务,您可能是 Microsoft Small Business Server 的理想人选。
我附上关于拥有两个域控制器的说明。如果您只有一个 DC 并且它失败了,那么您在访问事物时会遇到真正的痛苦。(我相信)有可能让终端服务器也成为域控制器,尽管我怀疑很多人不会推荐它。在像您这样的小型网络中,DC 工作负载微不足道,因此它可能会起作用。
编辑:在评论中s.mihai 问道:“他们的兴趣是让我们尽可能地购买。但是没有 AD 我可以吗?本地帐户,没有交换......?!”
如果是我的话,我会以 TS 项目为借口添加 AD 以获得好处,尤其是在工作站上。但听起来您已经下定决心并且想要掩护,所以就在这里。
绝对没有广告你也可以。
Kev*_*lby 10
AD 具有许多您可能会发现非常有用的功能。第一个是集中式身份验证。所有用户帐户都在一个位置进行管理。这意味着您可以在环境中的任何机器之间使用您的凭据。
这允许的另一个项目是共享资源的更好的安全性。安全组对于定位对文件共享等资源的访问非常有用。
组策略允许您跨多个机器或用户强制执行设置。这将允许您为登录终端服务器的用户和登录其工作站的用户设置不同的策略。
如果您正确设置终端服务器并根据应用程序,集中式身份验证、通过安全组和 GPO 策略的访问权限将允许您以更多的集群方式利用两个终端服务器,而不是在当前设置中,一个是空闲的随着资源需求的增加,这将允许您扩展到更多终端服务器(N+1 样式)的时间。
缺点是您只考虑 1 个域控制器。我强烈推荐 2。这可确保您的 Active Directory 域不会出现单点故障。
正如几条评论中提到的。成本可能是这里的一个重要因素。如果最初的提问者有一个完整的工作设置,那么在没有大量案例来证明成本合理的情况下引入建立 Active Directory 域环境所需的硬件和软件可能超出他的预算。如果一切正常,AD 肯定不是工作环境所必需的。然而,我们这些过去曾在企业环境中使用过它的人是非常强烈的支持者。这主要是因为从长远来看,它使管理员的工作更加轻松。
小智 6
我最近搬进了一家没有 MS AD 的(相对较大/成功的)商店。当然,您会错过 Microsoft/Windows 单点登录,但还有其他解决方案,例如身份验证代理(SiteMinder、webseal 等)。至于集中式用户管理,任何 LDAP(或 SiteMinder)也可以是一种选择。
所以是的,您可以在没有 (MS) AD 的情况下成为一家成功的商店,您只需要找到替代方案。
我认为更大的问题是为什么不呢?
为了安全起见,您是否将用户帐户分开?每台机器的用户都只使用那台机器吗?
如果相同的用户需要使用所有的机器,AD 会给他们这些好处: 如果登录到他们受信任的域中,他们和他们的组在所有地方都受信任。如果他们更改密码,则在任何地方都是一样的;他们不必记得在所有 10 台机器上更改它(或者更糟的是忘记它并需要您每隔一周为他们重置一次)。
对您而言,它具有集中/全局控制权限的好处。如果您有对组具有特殊权限的文件夹并且雇用了新人,您只需将它们添加到组中即可。您不必附加到每台机器并一遍又一遍地创建相同的用户并设置权限。
另外每个用户的机器都在域中,所以可以被域控制。
我认为最大的好处,就是 GPO 的当他们登录域时可以向他们的 PC 发送策略,可以保护您整个网络的安全。
话虽如此,我的办公室很小(大约 15 个),而且我们没有正式的 IT 部门。所以我们(过度)使用 MS Groove 作为我们的基础设施,并且真的没有 AD 或任何中央服务器;我们是基于笔记本电脑的。
在我看来,最大的问题之一是单点登录。虽然听起来您的最终用户可能没有注意到,但从管理员的角度来看,这确实是一件好事。您只有一个密码要跟踪,而在更改密码时,您只需一次完成,而不是 32 个。如果您不害怕编写脚本,您可以做很多事情来管理您的环境.
30台机器?这完全是可选的。
我使用 Samba 和批处理/自动脚本在没有 AD 的情况下管理多个大型位置(平均每个位置 30~125 个系统/工作站)。它们工作得很好,除了奇怪的软件更新破坏了东西之外,没有出现任何问题。
| 归档时间: |
|
| 查看次数: |
27322 次 |
| 最近记录: |