Ai-je vraiment besoin de MS Active Directory? [fermé]

Je gère une boutique de 30 machines et 2 serveurs terminaux (une production, une veille). Dois-je vraiment déployer Active Directory dans notre réseau?

Y a-t-il vraiment des avantages, qui pourraient équilibrer l'existence d'un autre serveur AD? Notre Terminal Server doit fonctionner de manière indépendante, sans aucun autre service, à l'exception de notre application d'entreprise.

Quelles sont les grandes fonctionnalités qui me manquent si je vais toujours l'exécuter sans AD?

mise à jour : mais certains d'entre vous dirigent-ils une boutique réussie sans AD?

Pour 30 machines? C'est entièrement facultatif.

Je gère plusieurs gros emplacements (30 ~ 125 systèmes / postes de travail par emplacement en moyenne) fonctionnant sans AD en utilisant Samba et des scripts batch / autoit. Ils fonctionnent bien, et à part les étranges mises à jour logicielles qui cassent les choses, ont été sans problème.

L'utilisation d'Active Directory apporte un certain nombre d'avantages à votre réseau, quelques-uns auxquels je peux penser du haut de ma tête:

• Gestion centralisée des comptes utilisateurs
• Gestion centralisée des stratégies (stratégie de groupe)
• Meilleure gestion de la sécurité
• Réplication d'informations entre DC

Évidemment, ces avantages entraînent également des frais généraux, et beaucoup de travail et de temps sont nécessaires pour configurer un environnement AD, en particulier si vous avez une configuration existante, mais les avantages de la gestion centralisée qu'AD apporte en valent la peine, à mon avis .

Quelques réponses "drive-by" ...

1- Si vous utilisez Exchange pour le courrier électronique, AD est requis. Vous n'utilisez probablement pas Exchange ou vous le savez, mais je l'inclus pour ceux qui envisagent cela.

2- AD gère un système "d'authentification centralisée". Vous contrôlez les utilisateurs, les groupes et les mots de passe en un seul endroit. Si vous n'avez pas AD, vous devrez probablement configurer vos utilisateurs séparément sur chaque serveur Terminal Server, ou avoir un utilisateur générique sur chacun pour accéder et utiliser la sécurité dans l'application.

3- Si vous avez d'autres serveurs Windows, AD permet une sécurisation directe des ressources sur ces serveurs en un seul endroit (AD).

4- AD inclut certains autres services (DNS, DHCP) qui, autrement, doivent être gérés séparément. Je soupçonne que vous ne les utilisez peut-être pas si les seuls serveurs Windows que vous avez sont les serveurs Terminal Server.

5- Bien que cela ne soit pas obligatoire, il y a un avantage à avoir les postes de travail dans le domaine. Cela permet certaines capacités d'authentification unique (non exhaustives) ainsi qu'un contrôle et une gestion importants des postes de travail via des «stratégies de groupe».
-> Par exemple, via GP, vous pouvez contrôler les paramètres de l'économiseur d'écran, ce qui nécessite que l'économiseur d'écran verrouille la station de travail après x minutes et que le mot de passe se déverrouille.

6- Vous pourriez être un bon candidat pour Microsoft Small Business Server si vous avez besoin de courrier électronique, de partage de fichiers, d'accès à distance et de service Web.

J'appuie la note concernant la présence de deux contrôleurs de domaine. Si vous n'avez qu'un seul DC et qu'il échoue, vous avez vraiment du mal à accéder aux choses. Il est (je crois) possible que les serveurs de terminaux soient également des contrôleurs de domaine, bien que je soupçonne que beaucoup ne le recommanderont pas. Dans un petit réseau comme le vôtre, la charge de travail DC sera insignifiante, donc cela pourrait fonctionner.

EDIT: dans un commentaire, M. mihai a demandé: "c'est leur intérêt de nous faire acheter tout ce que nous pouvons. Mais puis-je être OK sans AD? Comptes locaux, pas d'échange ....?!"

Si j'étais à votre place, j'utiliserais le projet TS comme excuse pour ajouter AD pour les avantages, en particulier sur les postes de travail. Mais il semble que votre décision soit prise et que vous vouliez vous couvrir, alors la voici.

ABSOLUMENT vous pouvez être OK sans AD.

Du haut de ma tête:

1. gestion et audit centralisés des utilisateurs et de la sécurité
2. stratégies de groupe d'ordinateurs centralisées
3. déploiement de logiciels (via GPO)

AD est également requis pour des applications telles que l'échange.

MS a un livre blanc pour vous sur ce sujet.

AD a de nombreuses fonctionnalités que vous pouvez trouver très utiles. Le premier est l'authentification centralisée. Tous les comptes d'utilisateurs sont gérés dans un seul emplacement. Cela signifie que vous pouvez utiliser vos informations d'identification sur n'importe quelle machine de l'environnement.

Un autre élément que cela permet est une meilleure sécurité pour le partage des ressources. Les groupes de sécurité sont très utiles pour cibler l'accès aux ressources telles que les partages de fichiers.

La stratégie de groupe vous permet d'appliquer des paramètres sur un certain nombre de machines ou d'utilisateurs. Cela vous permettrait de définir des stratégies différentes pour les utilisateurs se connectant aux serveurs Terminal Server et les utilisateurs se connectant à leurs postes de travail.

Si vous configurez vos serveurs Terminal Server correctement et en fonction des applications, l'authentification centralisée, les droits d'accès via les groupes de sécurité et les stratégies GPO vous permettraient d'utiliser les deux serveurs Terminal Server dans un style plus cluster que dans votre configuration actuelle où l'un est inactif. le temps que cela vous permettra d'évoluer vers plus de serveurs de terminaux (style N + 1) à mesure que le besoin de ressources augmente.

L'inconvénient est que vous ne pensez qu'à 1 contrôleur de domaine. Je recommande fortement 2. Cela garantit que vous n'avez pas un seul point de défaillance pour votre domaine Active Directory.

Comme mentionné dans plusieurs commentaires. Le coût est probablement un facteur important ici. Si l'interrogateur d'origine a une configuration entièrement fonctionnelle, il peut être hors de son budget d'apporter le matériel et les logiciels nécessaires pour faire face à un environnement de domaine Active Directory sans un cas écrasant pour justifier les coûts. Si tout fonctionne, AD n'est certainement pas nécessaire pour qu'un environnement fonctionne. Ceux d'entre nous qui l'ont utilisé dans des environnements d'entreprise dans le passé sont cependant de fervents partisans. Cela est largement dû au fait que cela rend le travail des administrateurs beaucoup plus facile à long terme.

J'ai récemment emménagé dans une boutique (relativement grande / prospère) sans MS AD. Bien sûr, vous passez à côté de l'authentification unique Microsoft / Windows, mais il existe d'autres solutions pour cela, telles que les proxys d'authentification (SiteMinder, webseal, etc.).

Alors oui, vous pouvez être une boutique prospère sans (MS) AD, il vous suffit de trouver l'alternative.

Je pense que la plus grande question est pourquoi pas?

Laissez-vous les comptes d'utilisateurs séparés pour des raisons de sécurité? Les utilisateurs de chaque machine utilisent-ils uniquement cette machine?

Si les mêmes utilisateurs ont besoin d'utiliser toutes les machines, AD leur donnera les avantages suivants: Si la connexion au domaine leur fait confiance dans tous les endroits où ils et leurs groupes sont approuvés. S'ils changent de mot de passe, c'est la même chose partout; ils n'ont pas à se souvenir de le changer sur les 10 machines (ou pire, oubliez-le et vous avez besoin de le réinitialiser pour eux, toutes les deux semaines).

Pour vous, il offre l'avantage d'un contrôle central / global des autorisations. Si vous avez des dossiers qui ont des autorisations spéciales pour les groupes et qu'une nouvelle personne est embauchée, il vous suffit de les ajouter au groupe et c'est fait. vous n'avez pas besoin de vous attacher à chaque machine et de créer le même utilisateur encore et encore et de définir les autorisations.

La machine de chaque utilisateur sera également dans le domaine, elle peut donc être contrôlée par le domaine.

Je pense que le plus grand avantage, ce sont les GPO lorsqu'ils se connectent au domaine pour envoyer des politiques à leur PC qui peuvent protéger la sécurité de l'ensemble de votre réseau.

Cela étant dit, mon bureau est petit (environ 15) et nous n'avons pas de service informatique officiel. Donc, nous (sur) utilisons MS Groove comme infrastructure, et nous n'avons pas vraiment d'AD ou de serveurs centraux; Nous sommes basés sur un ordinateur portable.

À mon avis, l'un des plus importants est l'authentification unique. Bien qu'il semble que vos utilisateurs finaux ne le remarquent probablement pas, c'est certainement une bonne chose du point de vue de l'administrateur. Vous n'avez qu'un seul mot de passe à suivre, et quand il s'agit de le changer, vous ne devez le faire qu'à un seul endroit, pas 32. Il y a beaucoup de choses que vous pouvez faire pour gérer votre environnement si vous n'avez pas peur des scripts .

L'avantage de renoncer à AD est évidemment le coût.

Les avantages de l'AD se résument à 2 facteurs, si vous ne vous souciez pas d'eux, la réponse est "Non".

• Gestion centralisée: des utilisateurs, des comptes d'ordinateurs, des lots, des mises à jour automatiques, du déploiement de logiciels, de la politique de groupe, etc. est maintenable. Que diriez-vous de 100? 256?)
• Fondation d'extension: 2 contrôleurs AD semblent excessifs (bien que toujours nécessaires) pour un réseau de 30, mais ils sont suffisants pour 1000 à 1500 utilisateurs, je crois? Bien configuré, AD n'a pas besoin d'être modifié jusqu'à ce que vous deveniez beaucoup plus gros.

Je pense que le meilleur conseil est de parcourir la balise Active Directory ici sur SF au fur et à mesure qu'elle se remplit - pour voir si vous pouvez repérer suffisamment de fonctionnalités (par exemple Hyper V avec serveur 2008) qui profiteront à votre boutique pour que l'achat en vaille la peine.

Toutes les bonnes réponses ici. Je mets le pouce levé pour avoir également deux contrôleurs de domaine. Dans un petit environnement, même les mettre tous les deux en tant que VM sur le même matériel serait - OK. Quelqu'un peut probablement faire sonner cela avec plus d'autorité, mais si vous utilisez MS Hyper-V (serveur 2K8) en tant qu'hôte, vous pouvez bénéficier de certains avantages de licence du système d'exploitation?

Avoir l'authentification unique (SSO) / l'authentification unifiée vous fera économiser beaucoup de travail en créant des comptes et en définissant des autorisations de dossier partout. Bien sûr, mettre AD en place et ajouter les systèmes et les utilisateurs au domaine demandera un certain effort.

Jeff

Vous avez besoin d'une authentification et d'une gestion centralisées si vous avez l'intention de développer cet environnement. Même si vous n'avez pas l' intention de faire croître l'environnement, vous réaliserez des économies de temps très réelles dans le fonctionnement quotidien en mettant en œuvre une authentification et une autorisation centralisées maintenant.

S'il s'agit d'un environnement Windows, AD est la solution simple mais coûteuse. Si le coût est le point d'achoppement pour AD, alors implémentez Samba.

Cela semblera plus difficile au début, mais vous vous habituerez aux outils et vous regarderez en arrière et vous vous demanderez comment il n'était pas complètement évident pour vous que vous deviez faire cela.

Vous n'avez PAS besoin d'AD. *

Grand cabinet d'avocats. Nous avons varié de ~ 103 à ~ 117 utilisateurs, avec 4 sites dans 3 États au cours des 2 dernières années, avec un roulement de stagiaires et de commis. Nous gérons toute l'entreprise avec 1 boîtier serveur pour domino / notes et comptabilité, quelques serveurs w2k8 dédiés pour les logiciels spécialisés, environ 5 ou 6 boîtiers Windows génériques dédiés pour diverses applications et ... 2 boîtiers linux pour tous les besoins des serveurs de fichiers et sauvegarde, plus une 3ème boîte pour un pare-feu. Tout fonctionne comme le lapin énergisant, et nous n'avons pas eu beaucoup de problèmes avec les fournisseurs ou les logiciels.

• mais vous pouvez l'obtenir de toute façon. Microsoft a l'intention de rejoindre le collectif, et en plus de migrer complètement de Windows, vous êtes à peu près destiné à finir avec AD à long terme.

Raisons d'utiliser Active Directory

1. Groupe de sécurité utilisateur protégé
2. Gestion centralisée des comptes utilisateurs
3. Gestion centralisée des stratégies via des objets de stratégies de groupe
4. Services gérés supplémentaires
5. Meilleure gestion de la sécurité
6. Réplication de profil
7. Politiques d'authentification
8. Corbeille AD
9. Activation CAL
10. Distribution des patchs
11. Services Web AD
12. Réinitialiser le mot de passe
13. Authentification unique
14. Authentification à deux facteurs
15. Consolidation d'annuaire
16. Partitions d'annuaire d'applications
17. Mise en cache de groupe universelle
18. Connexion au profil hybride
19. Évolutivité sans complexité
20. Environnement de développement puissant
21. Duplication de session

J'ai réussi à exécuter un système sans Active Directory; cependant, vous devez compenser les demandes par des outils alternatifs. Je suis passé à AD chez environ 150 utilisateurs dans trois organisations différentes.