这是针对一家尚未实施任何集中式用户数据库的小公司(12 名开发人员) - 他们有机地发展,只是根据需要在计算机上创建帐户。
从管理角度来看,这是一场噩梦——10 台计算机都有不同的用户帐户。如果将用户添加到一台计算机,则需要手动将用户添加到所有其他计算机(他们需要访问的计算机)上。这远非理想。随着更多计算机/用户的添加/雇用,业务的发展将意味着工作量成倍增加。
我知道一些非常需要这种集中式用户管理。但是,我在 Active Directory 和 OpenLDAP 之间犹豫不决。目前有两台服务器用作简单的备份和文件共享服务器,都运行 Ubuntu 8.04LTS。这些计算机混合使用 Windows XP 和 Ubuntu 9.04。
我没有使用过 Active Directory(或者实际上没有使用过 OpenLDAP,但我对 Linux 很熟悉),但是如果一种解决方案优于另一种解决方案,那么我有必要学习它。
前期成本不是真的一个问题,TCO。如果 Windows(我假设是 SBS?)能为我节省足够的时间来弥补增加的前期成本,那么我认为我应该采用该解决方案。
对于我的需求,我应该考虑实施什么解决方案?
编辑:电子邮件托管在异地,因此不需要 Exchange。
答案1
如果我正确理解了你的问题,请坚持使用开源:
- 你不关心 Exchange
- 你不需要对 XP 设置进行精细控制 - 我喜欢组策略,主要是为了保护管理员/销售人员,开发人员大多需要我不要打扰他们
- 你对 *nix 比对 Windows 更熟悉
AD 在精细地管理窗口方面非常出色,但如果您不需要它,那么您将花费很长的学习时间,而这可能不会带来很多好处。
2 个注意事项
- 如果您有时间/兴趣在 MS 方面更加努力,这是一个很好的方法。
- WSUS 是控制工作站/服务器补丁的好方法。如果您不能在所有机器上打开“自动”开关,这可能会将平衡推向 SBS(如果 SBS 执行 WSUS?)
答案2
您将从 Active Directory 获得许多 OpenLDAP 所不具备的优秀功能。其中最主要的是单点登录(即一个用户帐户可适用于所有客户端和服务器计算机)和组策略。
我喜欢开源软件,但在 Samba 4 成熟之前,Active Directory 为 Windows 2000 及更新的客户端计算机提供了最佳的管理体验。
如果不使用第三方软件,Windows XP 客户端就无法进行基于标准的 LDAP 身份验证。请阅读我在此处的回答:Kerberos 与 Windows XP 的集成 - 使用 OpenLDAP 的体验将非常相似(除了您将需要预先安装第三方软件(如 pGINA)以使 LDAP 身份验证正常工作):如何让 Windows XP 通过 Kerberos 或 Heimdal 进行身份验证
是否使用 Windows Small Business Server 取决于您想要花费多少(SBS 的初始成本和客户端访问许可证成本高于“普通” Windows)以及您是否会从附加“功能”中获得价值。我更愿意将 Windows SBS 视为廉价的 Windows 和 Exchange 捆绑包(具有过于复杂的设置和我从不使用的粗糙管理工具)。我倾向于像管理“普通”的 Windows 和 Exchange Server 计算机一样管理 Windows SBS,并且它工作得很好。
带有 Active Directory、Microsoft DHCP/DNS、WSUS(用于向客户端计算机提供更新)和一些组策略对象(用于处理配置用户/计算机环境和安装软件)的 Windows Server 将大大减轻您的管理负担,并使添加未来的计算机变得容易。Exchange 的启动和运行并不困难(最大的问题与让您的邮件从互联网流向它有关——很多人似乎不了解 DNS 和 SMTP 如何协同工作)。
假设您的安装是由一个知道自己在做什么的人执行的,并且您在事后处理好一切,那么它将运行良好,不会带来很多管理上的麻烦。我不理会那些抱怨 Windows 和 Exchange 不可靠的人,因为他们遇到问题通常是因为他们 (a) 使用了劣质硬件,并且从长远来看要付出代价,或者 (b) 没有能力管理软件。我有 Windows SBS 安装,可以追溯到 4.0 版,安装多年后运行良好——您也可以拥有一个。
如果您没有使用这些产品的经验,我建议您与信誉良好的顾问合作进行安装,并帮助您开始独立管理。如果我知道一本好书,我会推荐它,但我对我读过的几乎所有书都相当不满意(它们似乎都缺乏现实生活中的例子和案例研究,一般来说)。
有很多顾问可以帮您以低成本开始工作(您所说的设置,假设您要自己完成“大量”工作,对我来说,安装基本的 Windows 和 Exchange 大约需要一天半到两天的时间),并且可以帮助您“熟悉情况”。如果您选择这样做,大部分工作将用于迁移您现有的用户环境(将他们现有的文档和配置文件迁移到他们新的 AD 帐户的漫游用户配置文件和重定向的“我的文档”文件夹等)。(我会这样做,因为从长远来看,这会让用户更快乐、更高效。)
您应该计划某种备份设备和备份管理软件,一台具有冗余磁盘的服务器计算机(最低限度RAID-1) 和某种电源保护 (UPS)。我预计,使用低端服务器、许可成本和电源保护硬件,您可以通过 Windows SBS 获得大约 3500.00 - 4000.00 美元。就我个人而言,我预计您需要大约 10 - 20 小时的安装人工,具体取决于您对需求的熟悉程度以及您希望有人教您做多少工作,而不是让安装人员来做。
以下是我在类似您的部署中看到的典型安装任务的高级列表:
- 物理设置服务器计算机、UPS 等。
- 安装Windows、Exchange、WSUS、基础设施服务、服务包、备份管理软件、UPS管理软件等。
- 讨论文件共享(权限、共享文件位置、目录层次结构)。
- 创建用户帐户(漫游配置文件文件夹、“我的文档”文件夹等)、安全组、分发组、基本 GPO。
- 讨论现有电子邮件数据的迁移并制定策略,更改 DNS 以将电子邮件直接带至 Exchange。
- 讨论将用户环境迁移到新的 AD 帐户。如果需要执行迁移的培训,请制定迁移程序。
- 执行客户端计算机和用户配置文件到域的试点迁移。
- 讨论日常系统管理员任务(密码重置、更改用户组成员身份、查看备份成功/失败通知、监控 WSUS 和更新安装)、讨论常见问题、故障排除和解决方案、进行问答环节。
- 为未来活动提出建议(自动化软件安装、VPN 连接等)
答案3
OpenLDAP 可用于检查密码,但它主要是一种集中管理身份的方式。AD 集成了 ldap、kerberos、DNS 和 DHCP。它是一个比 OpenLDAP 本身更全面的系统。
从管理角度来看,您只需在一对 win2k3 服务器上安装 AD,并将所有 unix 系统指向它,然后仅使用 AD 服务器进行密码检查。让带有 pam 的 unix 系统使用 kerberos 进行密码检查并使用本地密码文件进行授权非常简单。它不如完整的 AD 集成那么好,但实现起来也很简单。
答案4
由于您对这两者都没有经验,因此学习过程会产生成本(主要是时间成本)。从维护的角度来看,您真正需要接触 LDAP 的唯一时间是添加/删除帐户或修改其属性(名称/地址更改)时。使用这两种方式都可以轻松完成此操作。从实施的角度来看,您希望能够最轻松地允许客户端与之通信的目录:Active Directory 更容易,因为 Windows 客户端可以本地“对话”域控制器,并且允许 Ubuntu/其他 Linux 从 AD 进行身份验证的文档随时可用。如果您希望 Windows 客户端能够通过 openLDAP 进行身份验证,则需要一个 SAMBA 服务器来监听请求(openLDAP 本身不执行此操作)。Samba 将允许您使用 openLDAP 进行身份验证,同时允许类似 Windows 的文件共享。