去年,我们将几乎所有以前在 Windows 服务器 (SBS 2003 Premium) 上运行的服务迁移到了另一台运行 Linux 的服务器上。最后几项服务将很快迁移到新的 Windows 2003 Server,该服务器作为 Linux 机器上的 VM 运行 - 我们计划长期保留此 VM,因为我们预计某些软件将始终需要仅在 Windows 上运行。
由于所有迁移的服务(电子邮件、文件服务器等)都使用自己的身份验证,因此我想知道保留 Windows 域的好处是否被成本(主要是增加了灾难恢复的复杂性)所抵消。如果没有明显的保留需要,我是否应该借此机会完全摆脱它?
该公司拥有大约 20 台台式机,其中几台目前尚未加入域,因为它们是廉价购买的 XP Home 机箱。
答案1
如果您计划公司永远不发展,那么听起来您当然可以放弃它。AD 的主要好处是集中式身份验证、组策略和与其他系统的集成。有了 15-20 台台式机,您就可以手动处理大部分繁重的工作,而不是 GPO(尽管 GPO 仍然会更快)。
如果您计划发展,您当前的设置将很快失控。如果您的用户群增加一倍,而又没有办法集中管理设置并向 Windows 客户端发出策略,那么您的工作就会变得非常困难。如果您试图以低成本完成所有工作,那么您最终会花费更多的人力来管理它。IT 运营将产生一定的成本,而试图尽可能节省成本永远不会奏效。
此外,不允许用户更改密码是一个巨大的安全问题。无论你是否坚持使用 AD,你都应该真正解决这个问题。
答案2
当然,拥有一些目录服务和单一权威的身份验证/授权来源(支持复制)是一个好主意,但是(JackPDouglas 阅读此文):
1)不一定非要 MAD -南非政府提供了一套出色的工具来实现基于 LDAP 的目录,还有其他可用的解决方案。
2)LDAP/MAD 不是 SSO