Имеет ли смысл использовать Windows Active Directory в небольшой группе, скажем, менее шести пользователей / компьютеров?

Для (очень) небольшой компании использование сервера Windows с AD было бы излишним - почему бы просто не использовать его в качестве сервера файлов / печати, сервера администрирования для доступа ко всем машинам в сети через удаленный рабочий стол для целей администрирования? Также для сохранения образов дисков всех ПК в сети ...

В этой небольшой компании работают три главных офисных сотрудника, несколько конторских служащих (дюжина) и, может быть, около дюжины компьютеров. Три основных сотрудника управляют бизнесом и могут использовать хорошую общую систему регистрации с разрешениями (только для чтения и т. Д.). Существует второй уровень, состоящий из четырех человек, которые используют несколько веб-сервисов и проводят исследования в Интернете. Остальные используют только определенные веб-сайты (доступ ограничен K9 ).

Некоторые приложения работают на выделенном компьютере с Windows XP, на котором запускается приложение (по одному клиенту за раз) для контроля безопасности (двери и т. Д.)

Теперь они довольно хорошо работают с простой рабочей группой и одной рабочей станцией Windows 7, которая служит детским файловым сервером.

Я не вижу, что Active Directory (AD) добавляет сложности. Скорее я вижу это как облегчение администрирования. Я считаю, что функциональность, которую он включает в клиентской ОС, является основным инструментом, обеспечивающим плавный рост и замену компьютеров в будущем.

С точки зрения затрат, существуют очень недорогие версии Windows Server (в настоящее время эта ниша занимает 2012 R2 Essentials), которые приносят множество хороших инструментов в небольших сетях за небольшие деньги. В небольших средах вам также не придется возиться с клиентскими лицензиями.

Говоря об этом в виде «более широкой картины», где Active Directory является лишь частью набора функций, который может предоставить выделенный серверный компьютер и серверная ОС, я вижу много преимуществ.

• Active Directory предоставляет вам единый вход, групповую политику и возможность создавать схемы авторизации с использованием групп безопасности, которые легко превысят текучесть кадров. В частности, в малых компаниях хорошая стратегия разрешений, основанная на группах AD, назначенных на роли сотрудников, позволила мне легко справляться с ситуациями типа «Боб выполняет работу Джона» (которые, как мне кажется, чаще встречаются в малых компаниях, чем в крупных, в моем случае). опыт) очень легко.

• Иметь WSUS - это здорово. О, мальчик, мне нравится иметь WSUS.

• Я упоминал групповую политику? Перенаправление папки? Роуминг профилей пользователей? О, как мне нравятся клиентские компьютеры без сохранения состояния (или почти такие), и простота, с которой я могу перезагрузить неисправный ПК или заменить компьютер на заводе. Наличие у пользователей возможности войти в систему на любом клиентском ПК и иметь базовые функциональные возможности (не поддерживающие клиентские приложения) превращает аварийные ситуации «отбрасывают все» в обычные вызовы службы.

• Мне нравится иметь «настоящий» сервер для обработки инфраструктурных протоколов, таких как DHCP и DNS (в отличие от некоторых странных игрушечных «серверов», встроенных в маршрутизатор Wi-Fi потребительского уровня и т. Д.).

• Аудит безопасности намного, намного проще в среде, где присутствуют централизованная аутентификация и авторизация.

• Я немного неравнодушен к функциям резервного копирования ПК в Windows Server 2012 Essentials для очень маленьких клиентов, где в противном случае заставить их использовать пару запасных ПК для использования в качестве «горячего стола» в случае сбоя ПК - это слишком много для них потратить. Это довольно странно, и я бы предпочел вообще не делать резервных копий на клиентских компьютерах, но об экономии времени в небольших магазинах, где не существует стандартизации клиентских компьютеров, трудно поспорить.

• Бизнес может извлечь выгоду из других связанных приложений, которые сервер может разместить, например, SharePoint.

• Предоставление пользователям удаленного доступа с помощью служб маршрутизации и удаленного доступа или шлюза удаленных рабочих столов.

Мне нравится иметь локальный Windows Server с Active Directory в средах, где есть клиентские компьютеры Windows. Это облегчает мою жизнь и в конечном итоге обходится моему клиенту в меньших затратах, чем попытка «загнать кошек» в управление парком компьютеров, не входящих в домен.

Это имеет смысл, если у вас есть экономическое обоснование для этого. Подумайте о том, что Active Directory дает вам:

• Централизованное управление учетными записями пользователей и компьютеров
• Централизованное управление доступом с использованием групп безопасности Active Directory
• Централизованное управление конфигурацией с объектами групповой политики
• Централизованный DNS для вашего офиса

Вы можете обойтись без этого? Да, и многие небольшие офисы (и даже некоторые более крупные) прекрасно работают без Active Directory, но если вы начинаете находить, что все больше и больше времени тратится на выполнение таких действий, как сброс чьей-то локальной учетной записи на всех десятках компьютеров, вам следует серьезно подумать об Active Справочник. Microsoft выпускает версии для малого бизнеса своих операционных систем Windows Server, которые предоставляют Active Directory и многие другие службы в эту среду по разумной цене.

Если лицензия на Windows Server слишком велика, но у вас есть аппаратное обеспечение, вы также можете посмотреть на использование Samba 4 на CentOS. Установка более удобна, но повседневной является Windows RSAT, поэтому вы можете делать это с рабочего стола Windows, так же, как с Windows Server, просто без затрат на лицензию. Samba также является файловым сервером, который не имеет ограничения по числу одновременных подключений, установленного в клиентских системах Windows.

Вы знакомы с Windows Server или Linux + Samba? Одна из возможностей, если вы не знакомы с Linux, это то, что вы можете воспринимать это как потенциальный опыт профессионального роста / обучения только за пределами MS.

Начинать с нуля с любым из них на самом деле не сложно.

Это действительно зависит. Вам требуется централизованное управление пользователями, ИТ-ресурсами (принтерами, сканерами и т. Д.), Простыми обновлениями, возможностью применения групповых политик и т. Д.? Является ли информация конфиденциальной вообще?

Пейзаж сильно изменился. Цена входа снизилась, но доступно больше опций, как при их разгрузке в облако. Я считаю, что наличие локального экземпляра AD с размещенным Office365 Pro Plus действительно хорошая среда для работы.

Возможно, вы даже сможете сдать в аренду часть своей офисной работы в Azure (при условии, что у вас есть избыточный и хороший интернет с представлением о том, сколько данных проходит через ваши каналы). Их SLA, вероятно, будет выше, чем ваш внутренний, если вы не заплатите за сотрудника или подрядчика.

Я думаю, что предложение jmp242 является лучшим способом, по крайней мере, получить обзор имеющихся у вас вариантов. Вместо того, чтобы определять, являются ли Windows' Active Directoryи / или Domain Controllerуслуги набором решений, который будет отвечать вашим потребностям, я предлагаю посмотреть, какие именно услуги могут предложить вам сами.

Я сам более разбираюсь в Linux, поэтому в настоящее время я изучаю использование Samba для настройки служб каталогов (в настоящее время я склоняюсь к OpenLDAP).

Размер компании, в которой я работаю, в настоящее время составляет всего 8 человек, что, я думаю, вписалось бы в категорию «небольшой группы». Настройка централизованной системы управления - это верный способ гарантировать, что, независимо от того, насколько большой размер компании растет, у вас всегда будет простой способ управления аутентификацией, привилегиями, физическими ресурсами и отчетами.

Домен Windows - это самый простой способ управления компьютерами Windows. Чтобы сэкономить деньги на оборудовании и клиентских лицензиях, а также получить возможность изменять ресурсы нашего сервера, мы размещаем все домены наших клиентов на сервере AWS Windows, а затем используем TrueStack Direct Connect для подключения и управления компьютерами. Таким образом, нам не нужно поддерживать серверы в центре обработки данных, VPN-соединениях между сайтами или локальных серверах.

Я бы не стал больше покупать новый контроллер домена. Слишком дорого и слишком сложно поддерживать, но я все еще люблю AD и групповые политики. намного проще разместить его в AWS.