我管理一家拥有大约 30 台机器和 2 台终端服务器(一台生产,一台备用)的商店。我真的应该在我们的网络中部署 Active Directory 吗?
有什么真正的好处可以平衡另一台 AD 服务器的存在吗?我们的终端服务器将独立运行,除了我们的企业 APP 之外,没有其他服务。
如果我仍然在没有 AD 的情况下运行它,我会错过哪些很棒的功能?
更新:但是你们当中有谁在没有 AD 的情况下经营着一家成功的商店吗?
答案1
对于 30 台机器?这完全是可选的。
我管理着几个大型场所(平均每个场所有 30~125 个系统/工作站),这些场所不使用 AD,而是使用 Samba 和批处理/自动脚本运行。它们运行良好,除了偶尔的软件更新中断之外,没有出现任何问题。
答案2
使用 Active Directory 可以为您的网络带来许多优势,以下是我能想到的一些优势:
- 集中式用户帐户管理
- 集中策略管理(组策略)
- 更好的安全管理
- DC 之间的信息复制
显然,这些好处也会带来一些开销,并且需要大量的工作和时间来设置 AD 环境,特别是如果您已经有现有设置,但是,在我看来,AD 带来的集中管理的好处是值得的。
答案3
一些“驱动过”的回应......
1- 如果您使用 Exchange 发送电子邮件,则需要 AD。您可能没有使用 Exchange,或者您可能知道这一点,但我将它包括在内,以方便那些可能正在考虑这一点的人。
2- AD 管理“集中式身份验证”系统。您可以在一个地方控制用户、组和密码。如果您没有 AD,则可能需要在每个终端服务器上单独设置用户,或者在每个终端服务器上设置一个通用用户,以便在应用程序中访问和使用安全性。
3-如果您有其他 Windows 服务器,AD 允许在单一位置(AD)直接保护这些服务器上的资源。
4- AD 包含一些其他服务(DNS、DHCP),否则必须单独管理。如果您拥有的唯一 Windows 服务器是终端服务器,我怀疑您可能不会使用它们。
5- 虽然不是必需的,但将工作站置于域中是有好处的。这允许一些(不全面的)单点登录功能以及通过“组策略”对工作站进行大量控制和管理。
--> 例如,通过 GP 您可以控制屏幕保护程序设置,要求屏幕保护程序在 x 分钟后锁定工作站,并需要密码才能解锁。
6- 如果您需要电子邮件、文件共享、远程访问和网络服务,那么您可能适合使用 Microsoft Small Business Server。
我赞同关于拥有两个域控制器的建议。如果您只有一个 DC 并且它发生故障,那么您将很难访问任何东西。我认为可以将终端服务器也用作域控制器,尽管我怀疑很多人不会推荐这样做。在像您这样的小型网络中,DC 工作量将微不足道,因此它可能有效。
编辑:在评论s.mihai 询问:“他们的目的是让我们尽可能多地购买。但是没有 AD 我能没事吗?本地账户,没有兑换……?!”
如果我处于你的位置,我会以 TS 项目为借口添加 AD 以获得好处,特别是在工作站上。但听起来你已经下定决心,想要掩护,所以就在这里。
当然,没有 AD 你也可以没事。
答案4
AD 有许多非常有用的功能。第一个是集中身份验证。所有用户帐户都在一个位置进行管理。这意味着您可以在环境中的任何计算机中使用您的凭据。
另一个好处是可以提高共享资源的安全性。安全组对于定位文件共享等资源的访问非常有用。
组策略允许您在多台机器或用户之间强制执行设置。这将允许您为登录终端服务器的用户和登录其工作站的用户设置不同的策略。
如果您正确设置了终端服务器,并且根据应用程序、集中式身份验证、通过安全组和 GPO 策略的访问权限,您将能够以集群方式使用两个终端服务器,而不是像当前设置中那样,其中一个服务器一直处于空闲状态,这将允许您随着资源需求的增加扩展到更多的终端服务器(N+1 方式)。
缺点是您只能考虑 1 个域控制器。我强烈建议使用 2 个。这可确保您的 Active Directory 域不会出现单点故障。
正如几条评论中提到的那样。成本可能是这里的一个重要因素。如果原始提问者有一个完全正常工作的设置,那么在没有充分理由证明成本合理的情况下,引入建立 Active Directory 域环境所需的硬件和软件可能超出他的预算。如果一切正常,AD 肯定不是环境运行的必要条件。然而,我们这些过去在公司环境中使用过它的人是非常坚定的支持者。这主要是因为从长远来看,它使管理员的工作变得容易得多。