Est-ce que j'ai vraiment besoin de MS Active Directory?

L'utilisation de Active Directory apporte un certain nombre d'avantages à votre réseau, quelques-uns que je peux penser au sommet de ma tête:

• Gestion centralisée de compte d'utilisateur
• Gestion des politiques centralisées (politique de groupe)
• Meilleure gestion de la sécurité
• Réplication des informations entre DC

De toute évidence, ces avantages apportent également des frais généraux et une bonne affaire de travail et de temps est nécessaire pour configurer un environnement publicitaire, en particulier si vous avez une configuration existante, toutefois les avantages de la gestion centralisatrice que la publicité en vaut la peine, à mon avis. .

Quelques réponses "drive-by" ...

1- Si vous utilisez Exchange pour email, une annonce est requise. Vous n'utilisez probablement pas d'échange ou vous le sauriez, mais je l'incluais pour ceux qui l'envisagent peut-être.

2- AD gère un système "Authentification centralisé". Vous contrôlez les utilisateurs, les groupes et les mots de passe en une seule place. Si vous n'avez pas d'annonce, vous devrez probablement configurer vos utilisateurs séparément sur chaque serveur Terminal Server ou avoir un utilisateur générique sur chacune d'accès et utiliser la sécurité dans l'application.

3- Si vous avez d'autres serveurs Windows, AD permet une fixation directe des ressources sur ces serveurs en une seule place (AD).

4- AD comprend d'autres services (DNS, DHCP) qui doivent autrement être gérés séparément. Je soupçonne que vous ne les utilisez peut-être pas si les seuls serveurs Windows que vous avez sont les serveurs de terminaux.

5- Bien que non requis, il existe des avantages pour avoir les postes de travail dans le domaine. Cela permet des capacités de connexion unique (non complètes), ainsi que des contrôles et une gestion importants des postes de travail via des "politiques de groupe".
[.____] -> Par exemple, via GP, vous pouvez contrôler les paramètres de l'économiseur d'écran, nécessitant que l'économiseur d'écran ne verrouille le poste de travail après X minutes et nécessitant le mot de passe de déverrouillage.

6- Vous pourriez être un bon candidat pour Microsoft Small Business Server si vous avez besoin d'un courrier électronique, d'un partage de fichiers, d'un accès à distance et d'une servage Web.

Je soulève la note de disposer de deux contrôleurs de domaine. Si vous n'avez qu'un DC=== et il échoue, vous devez avoir une réelle douleur à avoir accès aux choses. C'est (je crois) que les serveurs de terminaux soient également des contrôleurs de domaine, bien que je soupçonne Beaucoup ne le recommanderont pas. Dans un petit réseau comme le vôtre, le DC la charge de travail sera insignifiant, de sorte que cela pourrait fonctionner.

Modifier: Dans A Commentaire S.MiHai a demandé: "C'est leur intérêt de nous faire acheter tout ce que nous pouvons. Mais puis-je être ok sans ad? Comptes locaux, aucun échange .... ?! "

Étiez-vous à votre place, j'utiliserais le projet TS comme une excuse pour ajouter une annonce pour les avantages, en particulier sur les postes de travail. Mais cela ressemble à votre esprit est composé et que vous voulez couvrir, alors c'est ici.

absolument, vous pouvez être ok sans ad.

du haut de ma tête:

1. gestion centralisée des utilisateurs et de la sécurité et de l'audit
2. politiques de groupe informatique centralisée
3. déploiement de logiciel (via GPO)

La publicité est également requise pour les applications telles que l'échange.

MS a un livre blanc juste - pour vous sur ce sujet.

AD a de nombreuses fonctionnalités que vous pourriez trouver très utiles. La première est l'authentification centralisée. Tous les comptes d'utilisateur sont gérés dans un seul endroit. Cela signifie que vous pouvez utiliser vos informations d'identification parmi les machines de l'environnement.

Un autre élément qui permet est une meilleure sécurité pour le partage des ressources. Les groupes de sécurité sont très utiles pour cibler l'accès aux ressources telles que les actions de fichiers.

La stratégie de groupe vous permet d'appliquer des paramètres sur un certain nombre de machines ou d'utilisateurs. Cela vous permettrait de définir différentes stratégies pour que les utilisateurs se connectaient aux serveurs Terminal Server VS se connectant à leurs postes de travail.

Si vous configurez correctement vos serveurs Terminal et en fonction des applications, l'authentification centralisée, les droits d'accès via des groupes de sécurité et GPO Les stratégies vous permettraient d'utiliser les deux serveurs de terminaux dans un style en plusieurs clusters. Votre configuration actuelle où l'on est inactif tout le temps, cela vous permettra d'accabler des serveurs plus terminaux (N + 1 style) à mesure que le besoin de ressources augmente.

L'inconvénient est que vous ne pensez que 1 contrôleur de domaine. Je vous recommande vivement 2. Cela garantit que vous n'avez pas un point d'échec unique pour votre domaine Active Directory.

Comme mentionné dans plusieurs commentaires. Le coût est susceptible d'être un facteur important ici. Si le questionneur initial dispose d'une configuration entièrement fonctionnelle, il peut être hors de son budget d'apporter le matériel et le logiciel requis pour résister à un environnement de domaine Active Directory sans une affaire accablante pour justifier les coûts. Si tout fonctionne, la publicité n'est certainement pas nécessaire pour qu'un environnement fonctionne. Ceux d'entre nous qui l'ont utilisé dans des environnements d'entreprise dans le passé sont cependant très forts. Ceci est en grande partie dû au fait qu'il rend les administrateurs beaucoup plus facilement à long terme.

Je pense que la plus grande question est de savoir pourquoi pas?

Laissez-vous les comptes d'utilisateurs séparés pour la sécurité? Les utilisateurs de chaque machine utilisent-ils uniquement cette machine?

Si les mêmes utilisateurs doivent utiliser toutes les machines, AD leur donnera ces avantages: si la connexion dans le domaine est confiée dans tous les endroits où ils et leurs groupes sont approuvés. S'ils changent de mot de passe, c'est la même chose partout; Ils ne doivent pas nécessairement se rappeler de le changer sur les 10 machines (ou moins l'oublier et avez besoin de vous la réinitialiser pour eux, toutes les deux semaines).

Pour vous, il bénéficie du contrôle central/global des autorisations. Si vous avez des dossiers possédant des autorisations spéciales pour les groupes et une nouvelle personne est embauchée, vous les ajoutez simplement au groupe et faites. Vous n'avez pas à vous attacher à chaque machine et à créer le même utilisateur encore et encore et définir les autorisations.

De plus, chaque machine d'utilisateur sera dans le domaine, peut donc être contrôlée par le domaine.

Je pense que le plus grand avantage est de GPO lorsqu'ils se connectent au domaine pour pouvoir envoyer des politiques à leur PC capables de protéger la sécurité de votre réseau complet.

Cela étant dit que mon bureau est petit (environ 15), et nous n'avons aucun service informatique. Nous avons donc (plus) l'utilisation de Mme Groove comme une infrastructure et n'avons aucun serveur de publicité ni de serveurs centraux; Nous sommes basés sur ordinateur portable.

J'ai récemment installé une boutique (relativement grande/réussie) sans Mme Ad. Bien sûr, vous manquez sur le signe unique de Microsoft/Windows, mais il existe d'autres solutions pour cela, telles que des proxy d'authentification (Siteminder, WebSEAL, etc.), comme pour la gestion centralisée des utilisateurs, tout LDAP (ou Siteminder) pourrait être une option.

Alors oui, vous pouvez être une boutique réussie sans (MS) AD, vous devez simplement trouver l'alternative.

À mon avis, l'un des plus gros est une connexion unique. Bien que cela ressemble à vos utilisateurs finaux, vous ne remarquez probablement pas, c'est certainement une bonne chose d'un point de vue administrateur. Vous n'avez qu'un mot de passe pour garder une trace de, et quand il s'agit de changer, il suffit de le faire un seul endroit, non pas 32. Il est possible de faire des choses que vous pouvez faire pour gérer votre environnement si vous n'avez pas peur de script .

Le bénéfice de l'annonce précédente est évidemment coûteux.

Les avantages publicitaires font bouillir jusqu'à 2 facteurs, si vous ne vous en souciez pas d'eux, la réponse est "non".

• Gestion centralisée: des utilisateurs, des comptes informatiques, des lots, des mises à jour automatiques, un déploiement de logiciels, une stratégie de groupe, etc. (Deferrais-moi la simplifier, assurez-vous de comprendre les effets de "pensée petite" dans des questions fondamentales. Un exemple unique: 30 adresses IP statiques. est maintenu. Comment environ 100? 256?)
• Fondation d'expansion: 2 contrôleurs d'annonce semble excessive (bien que nécessaire) pour un réseau de 30, mais ils sont suffisants pour 1000-1500 utilisateurs, je crois? Configurez correctement, AD n'a pas besoin d'être modifié avant de devenir beaucoup plus grand.

Je pense que le meilleur conseil est de parcourir la balise Active Directory ici sur SF lorsqu'il se remplit - pour voir si vous pouvez enregistrer suffisamment de fonctionnalités (par exemple, Hyper V avec le serveur de 2008) qui profitera à votre magasin de faire l'achat.

Toutes bonnes réponses ici. Je vais également mettre mes pouces pour avoir deux contrôleurs de domaine aussi. Dans un petit environnement, les mettant même en tant que VM sur le même matériel du matériel serait - OK. Quelqu'un peut probablement trimer à ce sujet de plus, mais si vous utilisez MS Hyper-V (Server 2K8) en tant qu'hôte, vous pouvez avoir des prestations de licence OS?

Avoir une authentification (SSO)/UNIFIÉE (SSO)/Unified vous permettra de créer des comptes et de définir des autorisations de dossier partout. Bien sûr, mettre une annonce en place et l'ajout des systèmes et des utilisateurs au domaine prendra des efforts.

Jeff

Vous avez besoin d'une authentification et de gestion centralisées si vous avez l'intention de développer cet environnement. Même si vous NON L'intention de développer l'environnement, vous verrez des économies de temps très réelles quotidiennement en mettant en œuvre une authentification centralisée et une autorisation actuellement.

Si c'est un environnement Windows, la publicité est la solution facile, mais coûteuse. Si le coût est le point de collage pour la publicité, puis mettez en œuvre Samba.

Il semblera d'abord plus fort, mais vous vous habituerez aux outils et vous allez regarder en arrière et vous demandera de vous demander comment cela ne vous était pas complètement évident que vous aviez besoin de le faire.

Vous n'avez pas besoin d'une annonce.*

Grand cabinet d'avocats. Nous avons allongé de ~ 103 à 117 utilisateurs, avec 4 sites de 3 États pour les 2 dernières années, avec le chiffre d'affaires des stagiaires et des greffiers. Nous exécutons toute la société avec 1 boîte de serveur pour Domino/Notes et comptabilité, quelques serveurs W2K8 dédiés pour logiciels spécialisés, environ 5 ou 6 boîtes de fenêtres génériques dédiées pour diverses applications et ... 2 boîtes Linux pour tous les besoins de serveur de fichiers et Sauvegarde, plus une 3ème boîte pour un pare-feu. Tout fonctionne comme le lapin d'Energizer, et nous n'avons pas eu de nombreux problèmes avec des fournisseurs ou des logiciels.

• mais vous pouvez l'obtenir quand même. Microsoft a l'intention de rejoindre le collectif et, en dehors de la migration de Windows hors windows, vous êtes à peu près destiné à vous retrouver avec une annonce à long terme.

Raisons d'utiliser Active Directory

1. Groupe de sécurité de l'utilisateur protégé
2. Gestion centralisée de compte d'utilisateur
3. Gestion des politiques centralisées via des objets de politique de groupe
4. Services gérés supplémentaires
5. Meilleure gestion de la sécurité
6. Réplication de profil
7. Politiques d'authentification
8. Bac de recyclage public
9. Activation Cal
10. Distribution de correctifs
11. AD Web Services
12. Réinitialisation du mot de passe
13. Authentification unique
14. Authentification à deux facteurs
15. Consolidation d'annuaire
16. Partitions de répertoire d'applications
17. Caching de groupe universel
18. Connexion au profil hybride
19. Évolutivité sans complexité
20. Environnement de développement puissant
21. Duplications de session

J'ai exécuté avec succès un système sans Active Directory; Cependant, vous devez indemniser les demandes par le biais d'outils alternatifs. Je suis passé à une annonce à environ 150 utilisateurs dans trois organisations différentes.