web-dev-qa-db-ja.com

MS Active Directoryは本当に必要ですか?

私は約30台のマシンと2台のターミナルサーバー(1台は運用、1台はスタンバイ)のショップを管理しています。実際にネットワークにActive Directoryを展開する必要がありますか?

別のADサーバーの存在を脅かす可能性のある本当にメリットはありますか?私たちのターミナルサーバーは独立して動作し、企業のAPP以外のサービスはありません。

ADなしで引き続き実行する場合、どの機能が欠けていますか?

更新:しかし、ADなしで成功したショップを経営している人はいますか?

windowsactive-directory
28
s.mihai

30台のマシンですか?これは完全にオプションです。

私はSambaとバッチ/ autoitスクリプトを使用して、ADなしで実行されているいくつかの大きなロケーション(平均でロケーションあたり30〜125システム/ワークステーション)を管理しています。それらは正常に動作し、奇妙なソフトウェアの更新によって問題が発生することを除けば、トラブルは発生しませんでした。

0
voltaire

Active Directoryを使用すると、ネットワークに多くの利点がもたらされますが、頭に浮かぶのはいくつか考えられます。

  • ユーザーアカウントの一元管理
  • ポリシーの一元管理(グループポリシー)
  • より良いセキュリティ管理
  • DC間の情報の複製

明らかに、これらの利点にはある程度のオーバーヘッドも伴い、特に既存のセットアップがある場合は、AD環境をセットアップするためにかなりの作業と時間が必要ですが、ADがもたらす集中管理の利点は、価値があると私は考えています。 。

32
Sam Cogan

「ドライブバイ」応答...

1-メールにExchangeを使用している場合、ADが必要です。 Exchangeを使用していないか、それを知っていると思いますが、これを検討している可能性のある人のためにExchangeを含めています。

2- ADは「集中認証」システムを管理します。ユーザー、グループ、パスワードを1か所で管理できます。 ADがない場合は、各ターミナルサーバーでユーザーを個別に設定するか、アプリケーションのアクセスとセキュリティの使用のために、それぞれに汎用ユーザーを設定する必要があります。

3-他のWindowsサーバーがある場合、ADでは、それらのサーバー上のリソースを単一の場所(AD)で直接保護することができます。

4- ADには他のいくつかのサービス(DNS、DHCP)が含まれています。使用しているWindowsサーバーがターミナルサーバーのみである場合は、それらを使用していない可能性があります。

5-必須ではありませんが、ワークステーションをドメインに配置することには利点があります。これにより、一部の(包括的ではない)シングルサインオン機能、および「グループポリシー」によるワークステーションの重要な制御と管理が可能になります。
->たとえば、GPを介してスクリーンセーバーの設定を制御できます。これにより、x分後にスクリーンセーバーがワークステーションをロックし、ロックを解除するにはパスワードが必要になります。

6-電子メール、ファイル共有、リモートアクセス、およびWebサービスが必要な場合は、Microsoft Small Business Serverの候補として最適です。

2つ目のドメインコントローラーについての注意事項を次に示します。 DC=が1つしかなく、それが失敗した場合は、物事にアクセスするのに本当に苦労しています。ターミナルサーバーをドメインコントローラにすることも可能だと思います)。あなたのような小さなネットワークではDC=ワークロードは重要ではないので、うまくいくかもしれません。

編集: コメント s.mihaiで質問:"私たちにできる限りすべてを購入させるのは彼らの関心です。しかし、ADなしで大丈夫ですか?ローカルアカウント、交換なし... ?! "

私があなたの立場にあれば、TSプロジェクトを口実としてADを追加して、特にワークステーションにADを追加します。しかし、それはあなたの心が作られ、あなたがカバーをしたいので、ここにあります。

絶対にADがなくても大丈夫です。

20
tomjedrz

私の頭の上から:

  1. ユーザーとセキュリティの集中管理と監査
  2. 一元化されたコンピュータグループポリシー
  3. ソフトウェアの展開(GPO経由)

ADは、交換などのアプリケーションにも必要です。

MSはこのトピックについて あなたのために だけのホワイトペーパーを持っています。

16
Nick Kavadias

ADには、非常に役立つ多くの機能があります。 1つ目は集中認証です。すべてのユーザーアカウントは1か所で管理されます。これは、環境内の任意のマシン間で資格情報を使用できることを意味します。

これが許可するもう1つの項目は、リソースを共有するためのより優れたセキュリティです。セキュリティグループは、ファイル共有などのリソースへのアクセスを対象とする場合に非常に役立ちます。

グループポリシーを使用すると、複数のマシンまたはユーザーに設定を適用できます。これにより、ターミナルサーバーにログインするユーザーとワークステーションにログインするユーザーに異なるポリシーを設定できます。

ターミナルサーバーを適切にセットアップし、アプリケーションに応じて、集中認証、セキュリティグループ経由のアクセス権、およびGPOポリシーにより、両方のターミナルサーバーをクラスター化されたスタイルよりも活用することができます。常にアイドル状態になっている現在のセットアップでは、リソースの必要性が高まるにつれて、より多くのターミナルサーバー(N + 1スタイル)にスケールアップできます。

欠点は、1つのドメインコントローラーについてのみ考えていることです。 2を強くお勧めします。これにより、Active Directoryドメインの単一障害点がなくなります。

いくつかのコメントで述べたように。ここではコストが重要な要素になる可能性があります。元の質問者が完全に機能するセットアップを持っている場合、コストを正当化するために圧倒的なケースなしにActive Directoryドメイン環境を立ち上げるために必要なハードウェアとソフトウェアを導入することは彼の予算から外れるかもしれません。すべてが機能している場合、ADは環境が機能するために必須ではありません。ただし、過去に企業環境で使用したことがある人は、非常に強力な支持者です。これは主に、長期的に見ると管理者の作業がはるかに簡単になるという事実によるものです。

10
Kevin Colby

より大きな問題はなぜそうではないのでしょうか?

セキュリティのためにユーザーアカウントを個別に残していますか?各マシンのユーザーはそのマシンのみを使用していますか?

同じユーザーがすべてのマシンを使用する必要がある場合、ADは次のような利点を提供します。ドメインへのログインがユーザーとそのグループが信頼されているすべての場所で信頼されている場合。彼らがパスワードを変更する場合、それはどこでも同じです。 10台すべてのマシンで変更することを覚えておく必要はありません(またはさらに悪いことに、1週間おきにリセットする必要があります)。

あなたのためにそれは許可の中央/グローバル制御の利点を提供します。グループに対して特別な権限を持つフォルダがあり、新しい人が採用された場合、それらをグループに追加して完了します。各マシンに接続して同じユーザーを何度も作成し、権限を設定する必要はありません。

また、各ユーザーのマシンはドメイン内にあるため、ドメインによって制御できます。

最大のメリットは、GPOがドメインにログインして、ネットワーク全体のセキュリティを保護できるポリシーをPCに送信できることです。

私のオフィスは小規模(約15)で、公式のIT部門はありません。そのため、インフラストラクチャとしてMS Grooveを(過剰に)使用しており、実際にはADも中央サーバーもありません。私たちはラップトップをベースにしています。

6
John Christman

最近、MS ADのない(比較的大きな/成功した)ショップに引っ越しました。確かに、Microsoft/Windowsシングルサインオンはありませんが、認証プロキシ(SiteMinder、websealなど)などの他のソリューションがあります。集中ユーザー管理の場合、LDAP(またはSiteMinder)もオプションになります。

つまり、(MS)ADなしで成功するショップになることができます。代わりの方法を見つける必要があるだけです。

6
kolonell

私の意見では、最大の1つはシングルサインオンです。エンドユーザーはおそらく気付かないように思えますが、管理者の観点からすれば確かにいいことです。追跡するパスワードは1つだけで、それを変更する場合は、32ではなく1つの場所で行う必要があります。スクリプトを恐れない場合、環境を管理するためにできることはたくさんあります。 。

5
sysadmin1138

前述のADの利点は明らかにコストです。

ADの利点は2つの要素に要約されます。それらを気にしない場合、答えは「いいえ」です。

  • 集中管理:ユーザー、コンピューターアカウント、ロット、自動更新、ソフトウェアの展開、グループポリシーなど(これを単純化しすぎないように、基本的な問題で「小さいと考える」ことの影響を必ず理解してください。単一の例:30個の静的IPアドレス維持可能です。100ですか?256ですか?)
  • 拡張基盤:2つのADコントローラーは、30のネットワークでは(まだ必要ですが)過剰に見えますが、1000〜1500人のユーザーには十分だと思いますか?適切に設定すれば、ADを大きくするまで変更する必要はありません。

最良のアドバイスは、ここのSFでActive Directoryタグを記入するときに熟読することです。購入に見合う価値のあるショップに役立つ十分な機能(例:2008サーバーのHyper V)を見つけることができるかどうかを確認することです。

4
Kara Marfia

ここですべての良い答え。私も2つのドメインコントローラーを持っていることに対して親指を立てます。小規模な環境では、両方をVMとして同じハードウェアに配置することもできます-OK。誰かがおそらくより信頼できる方法でこれに取り組むことができますが、ホストとしてMS Hyper-V(サーバー2K8)を使用する場合、OSライセンスの利点がいくつかあるかもしれません。

シングルサインオン(SSO)/統合認証を使用すると、アカウントの作成や場所全体でのフォルダアクセス許可の設定にかかる労力を大幅に節約できます。もちろん、ADを導入し、システムとユーザーをドメインに追加するには、多少の努力が必要です。

ジェフ

2
Jeff Hengesbach

この環境をまったく拡張する場合は、認証と管理を一元化する必要があります。 しないでください環境を拡張するつもりでも、集中型の認証と承認を実装することで、日々の運用で非常にリアルタイムの節約が見られます。

Windows環境の場合、ADは簡単ですが費用のかかる修正です。コストがADの問題である場合は、Sambaを実装します。

最初は難しいように見えますが、ツールに慣れてくると、振り返って、これを行う必要があることが完全に明らかではなかったのではないかと思います。

2
Brian

ADは必要ありません。*

大手法律事務所。ユーザー数は約103人から約117人で、過去2年間で3つの州に4つのサイトがあり、インターンと事務員の入れ替わりがありました。私たちは、ドミノ/ノートとアカウンティング用の1つのサーバーボックス、特殊ソフトウェア用の専用w2k8サーバー、さまざまなアプリ用の約5または6つの専用汎用ウィンドウボックス、およびすべてのファイルサーバーニーズ用の2つのlinuxボックスで会社全体を運営しています。バックアップとファイアウォール用の3番目のボックス。それはすべてエナジャイザーバニーのように動作し、ベンダーやソフトウェアに関する問題はあまりありませんでした。

  • とにかくそれを得るかもしれません。 Microsoftは、あなたが共同で参加することを意図しており、Windowsから完全に移行することは別として、長期的にはADになることはほぼ間違いありません。
1
voltaire

Active Directoryを使用する理由

  1. 保護されたユーザーセキュリティグループ
  2. ユーザーアカウントの一元管理
  3. グループポリシーオブジェクトによるポリシーの一元管理
  4. 追加のマネージドサービス
  5. より良いセキュリティ管理
  6. プロファイルの複製
  7. 認証ポリシー
  8. ADのごみ箱
  9. CALアクティベーション
  10. パッチ配布
  11. AD Webサービス
  12. パスワードのリセット
  13. シングル・サインオン
  14. 二要素認証
  15. ディレクトリの統合
  16. アプリケーションディレクトリパーティション
  17. ユニバーサルグループキャッシング
  18. ハイブリッドプロファイルログイン
  19. 複雑さのない拡張性
  20. 強力な開発環境
  21. セッションの重複

Active Directoryなしでシステムを正常に実行しました。ただし、代替ツールを使用して需要を補う必要があります。 3つの異なる組織の約150ユーザーでADに切り替えました。

0
LJones