30 대의 컴퓨터와 2 대의 터미널 서버 (한 대의 프로덕션, 한 대의 대기 서버)를 관리합니다. 실제로 네트워크에 Active Directory를 배포해야합니까?
다른 AD 서버의 존재를 방해 할 수있는 이점이 있습니까? 터미널 서버는 회사 APP를 제외하고 다른 서비스가 없어도 독립적으로 실행됩니다.
AD 없이도 실행할 경우 어떤 훌륭한 기능이 누락 되었습니까?
업데이트 : 그러나 AD없이 성공적인 상점을 운영하고 있습니까?
답변
30 대의 기계? 전적으로 선택 사항입니다.
Samba 및 배치 / 자동 스크립트를 사용하여 AD없이 실행되는 여러 개의 큰 위치 (평균 위치 당 30 ~ 125 개의 시스템 / 워크 스테이션)를 관리합니다. 그들은 잘 작동하고 이상한 소프트웨어 업데이트를 제외하고는 문제가 없었습니다.
답변
Active Directory를 사용하면 네트워크에 많은 이점이 있습니다. 몇 가지 장점은 다음과 같습니다.
- 중앙 집중식 사용자 계정 관리
- 중앙 집중식 정책 관리 (그룹 정책)
- 더 나은 보안 관리
- DC 간 정보 복제
분명히 이러한 이점은 약간의 오버 헤드를 가져오고 AD 환경을 설정하는 데 많은 작업과 시간이 필요합니다. 특히 기존 설정이있는 경우 AD가 제공하는 중앙 집중식 관리의 이점은 가치가 있습니다. .
답변
일부 “구동”응답 …
1- 전자 메일에 Exchange를 사용하는 경우 AD가 필요합니다. Exchange를 사용하지 않거나 알고있을 수도 있지만이를 고려중인 사람들을 위해 포함합니다.
2- AD는 “중앙 인증”시스템을 관리합니다. 한 곳에서 사용자, 그룹 및 비밀번호를 제어 할 수 있습니다. AD가없는 경우 각 터미널 서버에서 사용자를 별도로 설정하거나 응용 프로그램에서 액세스 및 사용 보안을 위해 일반 사용자를 설정해야 할 수 있습니다.
3- 다른 Windows 서버가있는 경우 AD를 사용하면 단일 서버 (AD)에서 해당 서버의 리소스를 간단하게 보호 할 수 있습니다.
4- AD에는 별도로 관리해야하는 다른 서비스 (DNS, DHCP)가 포함되어 있습니다. 가지고있는 유일한 Windows 서버가 터미널 서버 인 경우 사용하지 않을 수 있습니다.
5- 필수는 아니지만 도메인에 워크 스테이션을 설치하면 이점이 있습니다. 이것은 “그룹 정책”을 통해 워크 스테이션의 상당한 제어 및 관리뿐만 아니라 일부 (포괄적이지 않은) 싱글 사인온 기능을 허용합니다.
-> 예를 들어 GP를 통해 화면 보호기 설정을 제어 할 수 있습니다. 화면 보호기는 x 분 후에 워크 스테이션을 잠그고 암호 잠금을 해제해야합니다.
6- 이메일, 파일 공유, 원격 액세스 및 웹 서비스가 필요한 경우 Microsoft Small Business Server에 적합 할 수 있습니다.
두 개의 도메인 컨트롤러를 사용하는 것에 대한 참고 사항입니다. 하나의 DC 만 있고 실패하면 실제로 액세스하기가 어렵습니다. 많은 사람들이 권장하지는 않지만 터미널 서버도 도메인 컨트롤러로 사용하는 것이 가능하다고 생각합니다. 귀하와 같은 소규모 네트워크에서는 DC 워크로드가 중요하지 않으므로 작동 할 수 있습니다.
편집 : 코멘트 s.mihai 물었다 : “그것은 우리가 우리가 할 수있는 모든 것을 구매하게 만드는 그들의 관심사입니다. 그러나 광고 없이도 괜찮을 수 있습니까?
내가 당신의 입장이라면, 특히 워크 스테이션에서 TS 프로젝트를 사용하여 이점을 위해 AD를 추가 할 수 있습니다. 그러나 그것은 당신의 마음이 만들어지고 당신이 덮개를 원하는 것처럼 들리므로 여기에 있습니다.
AD 없이는 괜찮을 수 있습니다.
답변
내 머리 꼭대기에서 :
- 중앙 집중식 사용자 및 보안 관리 및 감사
- 중앙 집중식 컴퓨터 그룹 정책
- 소프트웨어 배포 (GPO를 통해)
교환과 같은 응용 프로그램에도 AD가 필요합니다.
MS는 이 주제에 대한 백서 를 가지고 있습니다 .
답변
AD에는 매우 유용한 많은 기능이 있습니다. 첫 번째는 중앙 집중식 인증입니다. 모든 사용자 계정은 단일 위치에서 관리됩니다. 즉, 환경의 모든 컴퓨터에서 자격 증명을 사용할 수 있습니다.
이것이 허용하는 또 다른 항목은 리소스 공유를위한 더 나은 보안입니다. 보안 그룹은 파일 공유와 같은 리소스에 대한 액세스를 대상으로하는 데 매우 유용합니다.
그룹 정책을 사용하면 여러 컴퓨터 나 사용자에 걸쳐 설정을 적용 할 수 있습니다. 이를 통해 터미널 서버에 로그인하는 사용자와 워크 스테이션에 로그인하는 사용자에 대해 서로 다른 정책을 설정할 수 있습니다.
터미널 서버를 올바르게 설정하고 응용 프로그램에 따라 중앙 집중식 인증, 보안 그룹 및 GPO 정책을 통한 액세스 권한을 사용하면 현재 설정보다 유휴 상태 인 현재 설정보다 클러스터 된 스타일로 두 터미널 서버를 모두 사용할 수 있습니다. 시간이 지나면 리소스 요구가 증가함에 따라 더 많은 터미널 서버 (N + 1 스타일)까지 확장 할 수 있습니다.
단점은 1 개의 도메인 컨트롤러에 대해서만 생각한다는 것입니다. 2를 적극 권장합니다. 이렇게하면 Active Directory 도메인에 대한 단일 실패 지점이 없습니다.
여러 의견에서 언급했듯이. 여기서 비용이 중요한 요소가 될 수 있습니다. 원래 질문자가 제대로 작동하는 경우 비용을 정당화하기 위해 과도한 경우없이 Active Directory 도메인 환경을 세우는 데 필요한 하드웨어 및 소프트웨어를 가져 오는 것이 예산에서 벗어날 수 있습니다. 모든 것이 작동하면 AD가 환경을 작동시키는 데 반드시 필요한 것은 아닙니다. 그러나 과거에 회사 환경에서 사용했던 사람들은 매우 강력한 지지자입니다. 이는 장기적으로 관리자 작업이 훨씬 쉬워지기 때문입니다.
답변
나는 최근에 MS AD없이 (상대적으로 / 성공한) 상점으로 옮겼습니다. 물론, Microsoft / Windows Single Sign On을 놓칠 수 있지만 인증 프록시 (SiteMinder, webseal 등)와 같은 다른 솔루션이 있습니다. 중앙 집중식 사용자 관리의 경우 모든 LDAP (또는 SiteMinder)도 옵션이 될 수 있습니다.
따라서 (MS) AD없이 성공적인 상점이 될 수 있습니다. 대안을 찾아야합니다.
답변
더 큰 질문은 왜 그렇지 않습니까?
보안을 위해 사용자 계정을 별도로 남겨두고 있습니까? 각 머신의 사용자는 해당 머신 만 사용합니까?
동일한 사용자가 모든 컴퓨터를 사용해야하는 경우 AD는 다음과 같은 이점을 제공합니다. 도메인에 로그인하면 자신과 그룹이 신뢰할 수있는 모든 위치에서 신뢰할 수 있습니다. 암호를 변경하면 모든 곳에서 동일합니다. 그들은 10 대의 기계에서 변경해야한다는 것을 기억할 필요가 없습니다 (또는 더 이상 잊어 버리고 격주로 재설정해야합니다).
이를 위해 중앙 / 전역 권한 제어의 이점이 있습니다. 그룹에 대한 특별 권한이있는 폴더가 있고 새 사람을 고용 한 경우 그룹에 추가하고 완료하면됩니다. 각 컴퓨터에 연결할 필요없이 동일한 사용자를 반복해서 생성하고 권한을 설정하지 않아도됩니다.
또한 각 사용자의 컴퓨터는 도메인에 있으므로 도메인에 의해 제어 될 수 있습니다.
가장 큰 장점은 GPO가 도메인에 로그인 할 때 전체 네트워크의 보안을 보호 할 수있는 정책을 PC에 보낼 수 있다는 것입니다.
내 사무실은 규모가 작고 (약 15 명) 공식 IT 부서가 없습니다. 따라서 MS Groove를 인프라로 (과도하게) 사용하며 AD 나 중앙 서버가 전혀 없습니다. 우리는 노트북 기반입니다.