MS Active Directory가 정말로 필요합니까? [닫은]

30 대의 컴퓨터와 2 대의 터미널 서버 (한 대의 프로덕션, 한 대의 대기 서버)를 관리합니다. 실제로 네트워크에 Active Directory를 배포해야합니까?

다른 AD 서버의 존재를 방해 할 수있는 이점이 있습니까? 터미널 서버는 회사 APP를 제외하고 다른 서비스가 없어도 독립적으로 실행됩니다.

AD 없이도 실행할 경우 어떤 훌륭한 기능이 누락 되었습니까?

업데이트 : 그러나 AD없이 성공적인 상점을 운영하고 있습니까?

30 대의 기계? 전적으로 선택 사항입니다.

Samba 및 배치 / 자동 스크립트를 사용하여 AD없이 실행되는 여러 개의 큰 위치 (평균 위치 당 30 ~ 125 개의 시스템 / 워크 스테이션)를 관리합니다. 그들은 잘 작동하고 이상한 소프트웨어 업데이트를 제외하고는 문제가 없었습니다.

Active Directory를 사용하면 네트워크에 많은 이점이 있습니다. 몇 가지 장점은 다음과 같습니다.

• 중앙 집중식 사용자 계정 관리
• 중앙 집중식 정책 관리 (그룹 정책)
• 더 나은 보안 관리
• DC 간 정보 복제

분명히 이러한 이점은 약간의 오버 헤드를 가져오고 AD 환경을 설정하는 데 많은 작업과 시간이 필요합니다. 특히 기존 설정이있는 경우 AD가 제공하는 중앙 집중식 관리의 이점은 가치가 있습니다. .

일부 "구동"응답 ...

1- 전자 메일에 Exchange를 사용하는 경우 AD가 필요합니다. Exchange를 사용하지 않거나 알고있을 수도 있지만이를 고려중인 사람들을 위해 포함합니다.

2- AD는 "중앙 인증"시스템을 관리합니다. 한 곳에서 사용자, 그룹 및 비밀번호를 제어 할 수 있습니다. AD가없는 경우 각 터미널 서버에서 사용자를 별도로 설정하거나 응용 프로그램에서 액세스 및 사용 보안을 위해 일반 사용자를 설정해야 할 수 있습니다.

3- 다른 Windows 서버가있는 경우 AD를 사용하면 단일 서버 (AD)에서 해당 서버의 리소스를 간단하게 보호 할 수 있습니다.

4- AD에는 별도로 관리해야하는 다른 서비스 (DNS, DHCP)가 포함되어 있습니다. 가지고있는 유일한 Windows 서버가 터미널 서버 인 경우 사용하지 않을 수 있습니다.

5- 필수는 아니지만 도메인에 워크 스테이션을 설치하면 이점이 있습니다. 이것은 "그룹 정책"을 통해 워크 스테이션의 상당한 제어 및 관리뿐만 아니라 일부 (포괄적이지 않은) 싱글 사인온 기능을 허용합니다.
-> 예를 들어 GP를 통해 화면 보호기 설정을 제어 할 수 있습니다. 화면 보호기는 x 분 후에 워크 스테이션을 잠그고 암호 잠금을 해제해야합니다.

6- 이메일, 파일 공유, 원격 액세스 및 웹 서비스가 필요한 경우 Microsoft Small Business Server에 적합 할 수 있습니다.

두 개의 도메인 컨트롤러를 사용하는 것에 대한 참고 사항입니다. 하나의 DC 만 있고 실패하면 실제로 액세스하기가 어렵습니다. 많은 사람들이 권장하지는 않지만 터미널 서버도 도메인 컨트롤러로 사용하는 것이 가능하다고 생각합니다. 귀하와 같은 소규모 네트워크에서는 DC 워크로드가 중요하지 않으므로 작동 할 수 있습니다.

편집 : 코멘트 s.mihai 물었다 : "그것은 우리가 우리가 할 수있는 모든 것을 구매하게 만드는 그들의 관심사입니다. 그러나 광고 없이도 괜찮을 수 있습니까?

내가 당신의 입장이라면, 특히 워크 스테이션에서 TS 프로젝트를 사용하여 이점을 위해 AD를 추가 할 수 있습니다. 그러나 그것은 당신의 마음이 만들어지고 당신이 덮개를 원하는 것처럼 들리므로 여기에 있습니다.

AD 없이는 괜찮을 수 있습니다.

내 머리 꼭대기에서 :

1. 중앙 집중식 사용자 및 보안 관리 및 감사
2. 중앙 집중식 컴퓨터 그룹 정책
3. 소프트웨어 배포 (GPO를 통해)

교환과 같은 응용 프로그램에도 AD가 필요합니다.

MS는 이 주제에 대한 백서 를 가지고 있습니다 .

AD에는 매우 유용한 많은 기능이 있습니다. 첫 번째는 중앙 집중식 인증입니다. 모든 사용자 계정은 단일 위치에서 관리됩니다. 즉, 환경의 모든 컴퓨터에서 자격 증명을 사용할 수 있습니다.

이것이 허용하는 또 다른 항목은 리소스 공유를위한 더 나은 보안입니다. 보안 그룹은 파일 공유와 같은 리소스에 대한 액세스를 대상으로하는 데 매우 유용합니다.

그룹 정책을 사용하면 여러 컴퓨터 나 사용자에 걸쳐 설정을 적용 할 수 있습니다. 이를 통해 터미널 서버에 로그인하는 사용자와 워크 스테이션에 로그인하는 사용자에 대해 서로 다른 정책을 설정할 수 있습니다.

터미널 서버를 올바르게 설정하고 응용 프로그램에 따라 중앙 집중식 인증, 보안 그룹 및 GPO 정책을 통한 액세스 권한을 사용하면 현재 설정보다 유휴 상태 인 현재 설정보다 클러스터 된 스타일로 두 터미널 서버를 모두 사용할 수 있습니다. 시간이 지나면 리소스 요구가 증가함에 따라 더 많은 터미널 서버 (N + 1 스타일)까지 확장 할 수 있습니다.

단점은 1 개의 도메인 컨트롤러에 대해서만 생각한다는 것입니다. 2를 적극 권장합니다. 이렇게하면 Active Directory 도메인에 대한 단일 실패 지점이 없습니다.

여러 의견에서 언급했듯이. 여기서 비용이 중요한 요소가 될 수 있습니다. 원래 질문자가 제대로 작동하는 경우 비용을 정당화하기 위해 과도한 경우없이 Active Directory 도메인 환경을 세우는 데 필요한 하드웨어 및 소프트웨어를 가져 오는 것이 예산에서 벗어날 수 있습니다. 모든 것이 작동하면 AD가 환경을 작동시키는 데 반드시 필요한 것은 아닙니다. 그러나 과거에 회사 환경에서 사용했던 사람들은 매우 강력한 지지자입니다. 이는 장기적으로 관리자 작업이 훨씬 쉬워지기 때문입니다.

나는 최근에 MS AD없이 (상대적으로 / 성공한) 상점으로 옮겼습니다. 물론, Microsoft / Windows Single Sign On을 놓칠 수 있지만 인증 프록시 (SiteMinder, webseal 등)와 같은 다른 솔루션이 있습니다. 중앙 집중식 사용자 관리의 경우 모든 LDAP (또는 SiteMinder)도 옵션이 될 수 있습니다.

따라서 (MS) AD없이 성공적인 상점이 될 수 있습니다. 대안을 찾아야합니다.

더 큰 질문은 왜 그렇지 않습니까?

보안을 위해 사용자 계정을 별도로 남겨두고 있습니까? 각 머신의 사용자는 해당 머신 만 사용합니까?

동일한 사용자가 모든 컴퓨터를 사용해야하는 경우 AD는 다음과 같은 이점을 제공합니다. 도메인에 로그인하면 자신과 그룹이 신뢰할 수있는 모든 위치에서 신뢰할 수 있습니다. 암호를 변경하면 모든 곳에서 동일합니다. 그들은 10 대의 기계에서 변경해야한다는 것을 기억할 필요가 없습니다 (또는 더 이상 잊어 버리고 격주로 재설정해야합니다).

이를 위해 중앙 / 전역 권한 제어의 이점이 있습니다. 그룹에 대한 특별 권한이있는 폴더가 있고 새 사람을 고용 한 경우 그룹에 추가하고 완료하면됩니다. 각 컴퓨터에 연결할 필요없이 동일한 사용자를 반복해서 생성하고 권한을 설정하지 않아도됩니다.

또한 각 사용자의 컴퓨터는 도메인에 있으므로 도메인에 의해 제어 될 수 있습니다.

가장 큰 장점은 GPO가 도메인에 로그인 할 때 전체 네트워크의 보안을 보호 할 수있는 정책을 PC에 보낼 수 있다는 것입니다.

내 사무실은 규모가 작고 (약 15 명) 공식 IT 부서가 없습니다. 따라서 MS Groove를 인프라로 (과도하게) 사용하며 AD 나 중앙 서버가 전혀 없습니다. 우리는 노트북 기반입니다.

제 생각에 가장 큰 것 중 하나는 싱글 사인온입니다. 최종 사용자는 아마 눈치 채지 못할 것 같지만 확실히 관리자 입장에서는 좋은 것입니다. 추적 할 비밀번호는 하나 뿐이며 비밀번호 변경시 32 개가 아닌 한 지점 만 수행하면됩니다. 스크립팅을 두려워하지 않으면 환경을 관리하기 위해 할 수있는 일이 많이 있습니다. .

앞서 언급 한 AD의 이점은 분명히 비용입니다.

AD 혜택은 두 가지 요소로 요약됩니다. 관심이 없다면 "아니요"입니다.

• 중앙 집중식 관리 : 사용자, 컴퓨터 계정, 로트, 자동 업데이트, 소프트웨어 배포, 그룹 정책 등 (이를 단순화하지 않도록 기본 사항에서 "작은 생각"의 영향을 이해해야합니다. 단일 예 : 30 개의 고정 IP 주소 100? 256은 어떻습니까?)
• 확장 기반 : 2 개의 AD 컨트롤러는 30 대의 네트워크에 대해 과도한 것으로 보이지만 1000-1500 명의 사용자에게는 충분합니다. 제대로 설정하면 훨씬 더 커질 때까지 AD를 변경할 필요가 없습니다.

SF가 채워질 때 SF의 Active Directory 태그를 숙독하는 것이 최선의 조언이라고 생각합니다. 구매할 가치가있는 상점에 도움이 될 충분한 기능 (예 : Hyper V with 2008 서버)을 발견 할 수 있는지 확인하십시오.

여기에 좋은 답변이 있습니다. 두 개의 도메인 컨트롤러를 사용하기 위해 엄지 손가락을 올리겠습니다. 소규모 환경에서는 VM과 동일한 하드웨어에 둘 다 배치해도 괜찮습니다. 누군가는 아마도 이것에 대해 더 권위적으로 차임 할 수도 있지만, 호스트로 MS Hyper-V (서버 2K8)를 사용한다면 OS 라이센스 이점이 있습니까?

SSO (Single Sign On) / 통합 인증을 사용하면 계정을 만들고 폴더 권한을 설정하는 많은 작업을 줄일 수 있습니다. 물론 AD를 설치하고 시스템과 사용자를 도메인에 추가하려면 약간의 노력이 필요합니다.

제프

이 환경을 전혀 성장 시키려면 중앙 집중식 인증 및 관리가 필요합니다. 환경을 확장 하지 않으려 는 경우에도 지금 중앙 집중식 인증 및 권한 부여를 구현하여 일상적인 운영에서 매우 실시간으로 절약 할 수 있습니다.

Windows 환경 인 경우 AD가 쉽지만 비용이 많이 드는 문제입니다. 비용이 AD의 고집이라면 Samba를 구현하십시오.

처음에는 더 어려워 보일지 모르지만 도구에 익숙해지면 되돌아보고 어떻게 해야하는지 완전히 알지 못했을 것입니다.

당신은 광고가 필요하지 않습니다. *

대형 로펌. 지난 2 년간 3 개 주에 4 개 사이트가 있으며 인턴과 서기의 이직률은 ~ 103 ~ 117 명입니다. 우리는 도미노 / 노트 및 회계 용 서버 박스 1 개, 특수 소프트웨어 전용 전용 w2k8 서버 2 개, 다양한 앱용 약 5 개 또는 6 개의 전용 일반 창 상자 및 모든 파일 서버 요구를위한 Linux 상자 2 개로 전체 회사를 운영합니다. 백업 및 방화벽의 세 번째 상자. 그것은 모두 에너자이저 버니처럼 실행되며 공급 업체 또는 소프트웨어와 관련하여 많은 문제가 없었습니다.

• 어쨌든 얻을 수 있습니다. Microsoft는 귀하가 집단에 합류 할 것이며 Windows를 완전히 마이그레이션하는 것과는 별도로 장기적으로 AD를 사용하게 될 것입니다.

Active Directory를 사용해야하는 이유

1. 보호 된 사용자 보안 그룹
2. 중앙 집중식 사용자 계정 관리
3. 그룹 정책 개체를 통한 중앙 집중식 정책 관리
4. 추가 관리 서비스
5. 더 나은 보안 관리
6. 프로필 복제
7. 인증 정책
8. 광고 휴지통
9. CAL 활성화
10. 패치 배포
11. 광고 웹 서비스
12. 비밀번호 초기화
13. 싱글 사인온
14. 이중 인증
15. 디렉토리 통합
16. 응용 프로그램 디렉토리 파티션
17. 유니버설 그룹 캐싱
18. 하이브리드 프로필 로그인
19. 복잡성없는 확장 성
20. 강력한 개발 환경
21. 세션 복제

Active Directory없이 시스템을 성공적으로 실행했습니다. 그러나 대체 도구를 통해 요구를 보완해야합니다. 세 곳의 다른 조직에서 약 150 명의 사용자가 AD로 전환했습니다.