¿Realmente necesito MS Active Directory? [cerrado]

28

Administro una tienda de alrededor de 30 máquinas y 2 servidores de terminal (uno de producción, uno en espera). ¿Debería realmente implementar Active Directory en nuestra red?

¿Hay algún beneficio real que pueda equilibrar la existencia de otro servidor AD? Nuestro Terminal Server debe funcionar de manera independiente, sin otros servicios, excepto nuestra aplicación corporativa.

¿Qué excelentes características me estoy perdiendo si aún lo ejecutaré sin AD?

actualización : pero ¿alguno de ustedes tiene una tienda exitosa sin AD?

windows active-directory s.mihai
fuente
¿Cómo manejas el correo electrónico y el intercambio de archivos?
tomjedrz
El correo electrónico se maneja con una solución de correo electrónico alojada (también nuestro servidor web está alojado) POP y SMTP y acceso con Outlook Express. El intercambio de archivos se maneja con una carpeta compartida en el servidor de copia de seguridad (que es una copia de seguridad en caliente, los usuarios sólo cambia la dirección IP del servidor y luego se conectan al sistema de copia de seguridad)
s.mihai
Como se menciona a continuación, ¿realmente vale la pena tener otros 2 servidores como DC con los costos adicionales: hardware, licencias, energía?
s.mihai
¿Cómo maneja los permisos de usuario con el intercambio de archivos? Tienes 30 cuentas de usuario en la caja?
Nick Kavadias
66
Entonces, si una nueva persona comienza o alguien se cierra, ¿necesita revisar todas esas máquinas manualmente y arreglar las cuentas? ¿O al menos más que en un solo lugar?
Oskar Duveborn

Respuestas:

0

¿Para 30 máquinas? Es completamente opcional.

Administro varias ubicaciones grandes (30 ~ 125 sistemas / estaciones de trabajo por ubicación en promedio) ejecutándose sin AD usando Samba y scripts de lotes / autoit. Funcionan bien y, aparte de la extraña actualización de software que rompe cosas, no han tenido problemas.

voltaire
fuente
3
Wow, esa respuesta ha cambiado mucho en las revisiones ...
Chris S
@ Chris S - je, sí. También me di cuenta de eso.
EEAA
1
Si pudiera eliminar el comentario, lo haría. No soy un gran admirador de AD, y lo uso solo según sea necesario. La redacción de la pregunta original finalmente cambió, haciendo que mi respuesta (y la de otro) fuera de tema y peor aún, digna de grandes votos negativos de personas que ven AD como la única solución; Por lo tanto, saqué las alternativas y la retórica que ya no son aplicables. No soy un troll; así que si mis respuestas son tan inútiles como para justificar el marcado como incorrecto, simplemente deberían eliminarse.
voltaire
La pregunta original era básicamente: ¿realmente lo necesito?
voltaire
32

El uso de Active Directory brinda una serie de ventajas a su red, algunas de las cuales puedo pensar fuera de mi cabeza:

  • Administración centralizada de cuentas de usuario
  • Gestión centralizada de políticas (política de grupo)
  • Mejor gestión de seguridad.
  • Replicación de información entre DC's

Obviamente, estos beneficios también traen algunos gastos generales, y se necesita una gran cantidad de trabajo y tiempo para configurar un entorno de AD, especialmente si tiene una configuración existente, sin embargo, los beneficios de la administración centralizada que trae AD merecen la pena, en mi opinión. .

Sam Cogan
fuente
20

Algunas respuestas "drive-by" ...

1- Si está utilizando Exchange para correo electrónico, entonces se requiere AD. Es probable que no esté utilizando Exchange o lo sabría, pero lo incluyo para aquellos que puedan estar considerando esto.

2- AD gestiona un sistema de "autenticación centralizada". Usted controla usuarios, grupos y contraseñas en un solo lugar. Si no tiene AD, es probable que tenga que configurar a sus usuarios por separado en cada servidor de terminal, o tener un usuario genérico en cada uno para acceder y usar la seguridad en la aplicación.

3- Si tiene otros servidores de Windows, AD permite la seguridad directa de los recursos en esos servidores en un solo lugar (AD).

4- AD incluye algunos otros servicios (DNS, DHCP) que, de lo contrario, deben administrarse por separado. Sospecho que es posible que no los esté utilizando si los únicos servidores de Windows que tiene son los servidores de terminal.

5- Aunque no es obligatorio, es beneficioso tener las estaciones de trabajo en el dominio. Esto permite algunas capacidades (no completas) de inicio de sesión único, así como un control y gestión significativos de las estaciones de trabajo a través de "políticas grupales".
-> Por ejemplo, a través de GP puede controlar la configuración del protector de pantalla, requiriendo que el protector de pantalla bloquee la estación de trabajo después de x minutos y requiriendo la contraseña para desbloquear.

6- Puede ser un buen candidato para Microsoft Small Business Server si necesita correo electrónico, uso compartido de archivos, acceso remoto y servicio web.

Secundo la nota sobre tener dos controladores de dominio. Si solo tienes un DC y falla, te dolerá mucho tener acceso a las cosas. Es (creo) posible que los servidores de terminal también sean controladores de dominio, aunque sospecho que muchos no lo recomendarán. En una red pequeña como la suya, la carga de trabajo de DC será insignificante, por lo que podría funcionar.

EDITAR: en un comentario en mi pregunta: "es su interés hacernos comprar todo lo que podamos. ¿Pero puedo estar bien sin AD? Cuentas locales, sin cambio ...?!"

Si estuviera en su lugar, usaría el proyecto TS como una excusa para agregar AD para los beneficios, particularmente en las estaciones de trabajo. Pero parece que su mente está decidida y quiere cubrirse, así que aquí está.

ABSOLUTAMENTE puedes estar bien sin AD.

tomjedrz
fuente
Justo en el lugar. Tener y mantener AD necesitaría otros 2 servidores, dado que ejecutar DC en nuestro TS está fuera de discusión, la última vez que verifiqué la configuración de un DC significaría que la PC funcionaría bastante más lento, debido a la desactivación del almacenamiento en caché, ralentizar el acceso al disco y otras cosas que no entendí (he hablado sobre esto con los creadores de nuestra aplicación corporativa que se ejecuta en TS)
s.mihai
Soy escéptico, a menos que el hardware TS ya tenga poca potencia. Voy a preguntar!
tomjedrz
no, no necesito cobertura, me preguntaba si realmente valía la pena el costo y estoy haciendo un balance. no quería ir con la idea: <i> "si funciona, por qué cambiarlo" </i>
desde
2
Votado a favor de la ASEGURACIÓN BOLD final
Joseph Kern el
+1 a Joseph Kern - ¡Gracias! No es mi recomendación, pero funcionará.
tomjedrz
16

la parte superior de mi cabeza:

  1. gestión y auditoría centralizadas de usuarios y seguridad
  2. políticas de grupo informático centralizadas
  3. implementación de software (a través de GPO)

AD también se requiere para aplicaciones como el intercambio.

MS tiene un documento técnico solo para usted sobre este tema.

Nick Kavadias
fuente
+1, duplicado exacto de lo que iba a ser mi respuesta.
Squillman
2
¡Todos hemos sido adoctrinados por MS Training! bueno ver
Nick Kavadias
Es su interés hacernos comprar todo lo que podamos. pero puedo estar bien sin AD? cuentas locales, sin cambio ...?!
s.mihai
1
Puedes vivir sin él, pero ¿quieres? No tenerlo significa más trabajo de gestión para usted. Como mínimo que le requiere otra licencia de servidor de ventanas (la copia de seguridad TS también podría convertirse en un servidor de anuncios para la redundancia?) Las pequeñas empresas tienden a olvidar que el trabajo es más caro que el software
Nick Kavadias
10

AD tiene muchas características que pueden resultarle muy útiles. El primero de ellos es la autenticación centralizada. Todas las cuentas de usuario se administran en una única ubicación. Esto significa que puede usar sus credenciales entre cualquiera de las máquinas del entorno.

Otro elemento que esto permite es una mejor seguridad para compartir recursos. Los grupos de seguridad son muy útiles para apuntar al acceso a recursos como los archivos compartidos.

La política de grupo le permite aplicar la configuración en varias máquinas o usuarios. Esto le permitiría establecer diferentes políticas para los usuarios que inician sesión en los servidores Terminal frente a los usuarios que inician sesión en sus estaciones de trabajo.

Si configura sus servidores de Terminal Server correctamente y, dependiendo de las aplicaciones, la autenticación centralizada, los derechos de acceso a través de los Grupos de seguridad y las políticas de GPO le permitirían utilizar ambos servidores de Terminal Server en un estilo más agrupado que en su configuración actual donde uno está inactivo. el tiempo esto le permitirá escalar a más servidores de terminal (estilo N + 1) a medida que aumente la necesidad de recursos.

La desventaja es que solo está pensando en 1 controlador de dominio. Recomiendo encarecidamente 2. Esto asegura que no tenga un solo punto de falla para su dominio de Active Directory.

Como se menciona en varios comentarios. Es probable que el costo sea un factor significativo aquí. Si el interrogador original tiene una configuración totalmente funcional, puede estar fuera de su presupuesto traer el hardware y el software necesarios para mantener un entorno de dominio de Active Directory sin un caso abrumador para justificar los costos. Si todo funciona, AD no es un requisito para que funcione un entorno. Sin embargo, aquellos de nosotros que lo hemos usado en entornos corporativos en el pasado somos defensores muy fuertes. Esto se debe en gran parte al hecho de que hace que el trabajo de los administradores sea mucho más fácil a largo plazo.

Kevin Colby
fuente
como se menciona en otro comentario, la configuración de 2 DC y otros 2 servidores no justificaría el dinero requerido para las licencias y el hardware y la energía necesarios para ejecutar esos 34/7
s.mihai
1
Soy escéptico de que se requiera hardware adicional.
tomjedrz
1
El costo de hardware y software es ciertamente un problema. Sin embargo, no puede hacer que sus servidores de terminal actúen como controladores de dominio debido al hecho de que los usuarios que no están en el grupo de administradores de dominio no tienen derechos para iniciar sesión en un controlador de dominio. Este sería un problema de seguridad importante si no fuera así. Es posible otorgar derechos de inicio de sesión en DC a otros usuarios, pero Microsoft no lo admite en mi experiencia.
Kevin Colby
Incluso un Small Business Server utiliza AD, y para Terminal Services desde SBS2008 ahora requerirá 2 servidores en total. Los microsofts asumen que incluso un solo servidor con 5 usuarios se beneficia de AD. Diría que se beneficiaría de cualquier directorio global, incluso en su propia casa privada, en realidad, simplemente NO TIENE que ser AD, pero diría que debe usar ALGUNOS directorios globales para poder administrar usuarios y tener Una pista de auditoría de trabajo. Y si ya está ejecutando Windows, entonces AD parece lógico.
Oskar Duveborn
Incluso el Foundation Server, que es casi gratuito, la "edición para principiantes" de 15 usuarios de Windows Server usa AD, y eso está destinado a personas que piensan que SBS es demasiado.
Oskar Duveborn
6

Recientemente me mudé a una tienda (relativamente grande / exitosa) sin MS AD. Claro, se pierde el inicio de sesión único de Microsoft / Windows, pero hay otras soluciones para eso, como Proxies de autenticación (SiteMinder, webseal, etc.). En cuanto a la administración centralizada de usuarios, cualquier LDAP (o SiteMinder) también podría ser una opción.

Entonces, sí, puede ser una tienda exitosa sin (MS) AD, solo necesita encontrar la alternativa.

Kolonell
fuente
3
La única alternativa realista a MS AD es probablemente Samba con OpenLDAP. Todavía no creo que pueda vencer a MS en ROI, incluso si la alternativa de código abierto es gratuita. ¡Un mono ciego puede configurar AD!
Nick Kavadias
66
¿Podría definir "tienda grande"? ¿Estamos hablando de sistemas 100-1000? Sin GPO (a través de AD) debe tener una tonelada de entropía (es decir, sistemas con diferentes configuraciones). ¿Utiliza actualmente algo para reemplazar AD (aparte de la grasa del codo)? Honestamente, durante la ejecución de una red de Windows, me da pereza NO ejecutar AD ...
Joseph Kern
Para mí suena como reinventar una bicicleta. ¿Qué alternativa real al anuncio estás usando?
Taras Chuhay
1
Me parece que el OP solo estaba buscando a alguien para respaldar su idea de que AD no es tan útil como todos lo hacen parecer. Realmente no hay un reemplazo maduro para una "tienda grande" aunque supongo que grande es subjetivo.
MDMarra
1
@Nick Kavadias: ¿A quién llamas mono ciego? ;)
GregD
6

Creo que la pregunta más importante es ¿por qué no?

¿Estás dejando las cuentas de usuario separadas por seguridad? ¿Los usuarios de cada máquina solo usan esa máquina?

Si los mismos usuarios necesitan usar todas las máquinas, AD les dará estos beneficios: si inician sesión en el dominio en el que confían en todos los lugares en los que confían ellos y sus grupos. Si cambian su contraseña, es lo mismo en todas partes; no tienen que acordarse de cambiarlo en las 10 máquinas (o peor aún, olvidarlo y necesitan que lo reinicien cada dos semanas).

Para usted le brinda el control central / global de los permisos. Si tiene carpetas que tienen permisos especiales para grupos y se contrata a una nueva persona, simplemente agréguelas al grupo y listo. no tiene que adjuntar a cada máquina y crear el mismo usuario una y otra vez y establecer los permisos.

Además, la máquina de cada usuario estará en el dominio, por lo que puede ser controlada por el dominio.

Creo que el mayor beneficio son los GPO cuando inician sesión en el dominio para enviar políticas a su PC que pueden proteger la seguridad de toda su red.

Dicho esto, mi oficina es pequeña (alrededor de 15) y no tenemos un departamento oficial de TI. Así que (sobre) usamos MS Groove como nuestra infraestructura, y realmente no tenemos AD ni ningún servidor central; Estamos basados ​​en computadora portátil.

John Christman
fuente
+1 para Groove! Gran software!
p.campbell
5

En mi opinión, uno de los más grandes es el inicio de sesión único. Si bien parece que sus usuarios finales probablemente no lo noten, ciertamente es algo bueno desde el punto de vista del administrador. Solo tiene una contraseña para realizar un seguimiento, y cuando se trata de cambiarla, solo tiene que hacerlo en un solo lugar, no 32. Hay muchas cosas que puede hacer para administrar su entorno si no tiene miedo de las secuencias de comandos .

sysadmin1138
fuente
3
Especialmente si desea que los usuarios cambien sus contraseñas de vez en cuando. Esta es la razón principal por la que hemos cambiado a AD.
Peter Turner
Bueno ... eso no es lo suficientemente bueno para nosotros. No tenemos ningún usuario que deambulan por nuestras instalaciones, y con respecto a los nuevos usuarios ... tenemos una constante personal (no muchos venir / ir dentro o fuera de nuestra compañía)
s.mihai
si solo busca el inicio de sesión único, también podría obtener una solución LDAP significativamente más barata.
gbjbaanb
¿Se integrará cualquier cosa menos AD con sus credenciales C + A + D?
James Risto
4

El beneficio de la AD anterior es obviamente el costo.

Los beneficios de AD se reducen a 2 factores, si no le importan, la respuesta es "No".

  • Administración centralizada: de usuarios, cuentas de computadora, lotes, actualizaciones automáticas, implementación de software, políticas grupales, etc. es mantenible. ¿Qué tal 100? 256?)
  • Base de expansión: 2 controladores AD parecen excesivos (aunque todavía son necesarios) para una red de 30, pero creo que son suficientes para 1000-1500 usuarios. Configurado correctamente, AD no necesita ser alterado hasta que sea mucho más grande.

Creo que el mejor consejo es leer detenidamente la etiqueta del directorio activo aquí en SF a medida que se completa, para ver si puede detectar suficientes características (por ejemplo, Hyper V con el servidor 2008) que beneficiarán a su tienda para que la compra valga la pena.

Kara Marfia
fuente
3
No estoy de acuerdo con que dos DC para cualquier red digna de dominio (más de 5-10 computadoras, en mi humilde opinión) puedan ser excesivas. El segundo que vale la pena tener un DC, vale la pena tener dos.
gWaldo
1
Tienes razón: es difícil creer que alguna vez me haya sentido seguro con solo uno. ;)
Kara Marfia
2

Todas las buenas respuestas aquí. También levantaré los pulgares por tener dos controladores de dominio. En un entorno pequeño, incluso colocar ambos como VM en la misma pieza de hardware sería: OK. Alguien probablemente puede intervenir en esto con mayor autoridad, pero si usa MS Hyper-V (servidor 2K8) como el host, ¿puede tener algunos beneficios de licencia del sistema operativo?

Tener un inicio de sesión único (SSO) / autenticación unificada le ahorrará mucho trabajo creando cuentas y configurando permisos de carpeta por todas partes. Por supuesto, poner AD en su lugar y agregar los sistemas y usuarios al dominio tomará un poco de esfuerzo.

Jeff

Jeff Hengesbach
fuente
2

Necesita autenticación y gestión centralizadas si tiene la intención de hacer crecer este entorno. Incluso si no tiene la intención de hacer crecer el entorno, verá ahorros en tiempo real en la operación diaria implementando la autenticación y autorización centralizadas ahora.

Si se trata de un entorno de Windows, AD es la solución fácil pero costosa. Si el costo es el punto de fricción para AD, entonces implemente Samba.

Al principio parecerá más difícil, pero te acostumbrarás a las herramientas y mirarás hacia atrás y te preguntarás cómo no era completamente obvio que necesitabas hacer esto.

Brian
fuente
1

NO necesitas AD. * *

Gran bufete de abogados. Hemos tenido un rango de ~ 103 a ~ 117 usuarios, con 4 sitios en 3 estados durante los últimos 2 años, con una rotación de pasantes y empleados. Tenemos toda la empresa con 1 caja de servidor para dominó / notas y contabilidad, un par de servidores w2k8 dedicados para software especializado, aproximadamente 5 o 6 cajas de ventanas genéricas dedicadas para varias aplicaciones y ... 2 cajas de Linux para todas las necesidades del servidor de archivos y copia de seguridad, más un tercer cuadro para un firewall. Todo funciona como el conejito energizador, y no hemos tenido muchos problemas con los proveedores o el software.

  • pero puede obtenerlo de todos modos. Microsoft tiene la intención de que SE UNIRÁ al colectivo, y aparte de migrar completamente de Windows, está destinado a terminar con AD a largo plazo.
voltaire
fuente
¿Qué pasa con las firmas de abogados y Lotus Domino / Notes? Casi todos los que he visto lo usan ...
SilentW
Era la "solución correcta" en ese momento, por lo que fue ampliamente adoptado, se convirtió en la corriente principal y luego se convirtió en un ancla de barco que ya nadie amaba. Es más o menos como la tecnología siempre va ...
Voltaire
0

Razones para usar Active Directory

  1. Grupo de seguridad de usuario protegido
  2. Administración centralizada de cuentas de usuario
  3. Gestión centralizada de políticas a través de objetos de políticas grupales
  4. Servicios gestionados adicionales
  5. Mejor gestión de seguridad.
  6. Replicación de perfil
  7. Políticas de autenticación
  8. Papelera de reciclaje AD
  9. Activación CAL
  10. Distribución de parches
  11. Servicios web de AD
  12. Restablecimiento de contraseña
  13. Inicio de sesión único
  14. Autenticación de dos factores
  15. Consolidación de directorios
  16. Particiones de directorio de aplicaciones
  17. Almacenamiento en grupo universal
  18. Inicio de sesión de perfil híbrido
  19. Escalabilidad sin complejidad
  20. Potente entorno de desarrollo
  21. Duplicaciones de sesión

Ejecuté con éxito un sistema sin Active Directory; sin embargo, debe compensar las demandas a través de herramientas alternativas. Me cambié a AD con aproximadamente 150 usuarios en tres organizaciones diferentes.

LJones
fuente