我真的需要MS Active Directory吗？[关闭]

我管理着一家约有30台机器和2台终端服务器（一台生产，一台备用服务器）的商店。我是否应该在网络中真正部署Active Directory？

是否有真正的好处，可以平衡另一个AD服务器的存在？我们的终端服务器要独立运行，除了公司的APP外，没有其他服务。

如果我仍然可以在没有广告的情况下运行它，那么我会缺少哪些重要功能？

更新：但是你们中有没有没有AD的成功商店吗？

30台机器？这是完全可选的。

我使用Samba和批处理/自动脚本来管理多个大型场所（平均每个场所30〜125个系统/工作站），这些场所在没有AD的情况下运行。它们工作正常，并且除了奇怪的软件更新有问题外，还没有问题。

使用Active Directory为您的网络带来了许多优势，其中一些我可以想到：

• 集中的用户帐户管理
• 集中策略管理（组策略）
• 更好的安全管理
• DC之间的信息复制

显然，这些好处也带来了一些开销，并且设置AD环境需要大量的工作和时间，尤其是如果您已经存在设置，但是我认为AD带来的集中管理的好处非常值得。

一些“偷渡”反应...

1-如果您使用Exchange收发电子邮件，则需要输入AD。您可能没有使用Exchange，或者您知道这一点，但是对于那些正在考虑这样做的人，我将其包括在内。

2- AD管理“集中式身份验证”系统。您可以在一个地方控制用户，组和密码。如果没有AD，则可能必须在每个终端服务器上分别设置用户，或者在每个终端服务器上都有一个通用用户，以访问和使用应用程序中的安全性。

3-如果您还有其他Windows服务器，则AD允许在单个位置（AD）上直接保护这些服务器上的资源。

4- AD包括其他一些服务（DNS，DHCP），否则必须单独管理。我怀疑如果您仅有的Windows服务器是终端服务器，则您可能不会使用它们。

5-尽管不是必需的，但将工作站放在域中是有好处的。这允许某些（不是全面的）单点登录功能，以及通过“组策略”对工作站进行有效的控制和管理。
->例如，通过GP，您可以控制屏幕保护程序的设置，要求屏幕保护程序在x分钟后锁定工作站，并要求密码解锁。

6-如果您需要电子邮件，文件共享，远程访问和Web服务，则可能是Microsoft Small Business Server的理想人选。

我第二个关于拥有两个域控制器的说明。如果只有一个DC且该DC发生故障，则您将很痛苦地无法访问事物。（我认为）可以将终端服务器也用作域控制器，尽管我怀疑很多人不建议这样做。在像您这样的小型网络中，DC工作量将微不足道，因此可能会起作用。

编辑：s.mihai 在评论中问：“让我们购买我们所有的东西，这是他们的兴趣。但是，如果没有AD，我可以接受吗？本地帐户，不可以兑换...？！”

如果我不知所措，我会以TS项目为借口添加AD以获取好处，尤其是在工作站上。但这听起来像您已经下定决心，并且想要掩护，就在这里。

绝对可以，没有广告就可以。

从我的头顶上掉下来：

1. 集中的用户和安全管理与审核
2. 集中计算机组策略
3. 软件部署（通过GPO）

交换等应用程序也需要AD。

MS有专门针对该主题的白皮书。

AD具有许多功能，您可能会发现它们非常有用。第一个是集中式身份验证。所有用户帐户都在一个位置进行管理。这意味着您可以在环境中的任何计算机之间使用凭据。

这允许的另一项是共享资源的更好的安全性。安全组对于定位对文件共享等资源的访问非常有用。

组策略允许您在多个计算机或用户之间实施设置。这将使您可以为登录终端服务器的用户和登录其工作站的用户设置不同的策略。

如果根据应用程序正确设置了终端服务器，则集中式身份验证，通过安全组和GPO策略的访问权限将使您能够以群集方式使用两台终端服务器，而不是在当前设置中将其闲置的情况下使用。随着资源需求的增加，这将使您可以扩展到更多终端服务器（N + 1样式）。

缺点是您只考虑1个域控制器。我强烈建议2。这样可以确保您的Active Directory域没有单点故障。

如几条评论中所述。在这里，成本可能是一个重要因素。如果原始提问者的设置可以正常运行，则在没有太多理由证明费用合理的情况下，引入支持Active Directory域环境所需的硬件和软件可能超出他的预算。如果一切正常，则肯定不是环境正常运行所必需的。但是，过去在公司环境中使用过它的人是非常有力的支持者。从长远来看，这很大程度上是因为它使管理员的工作更加轻松。

我最近搬到一家没有MS AD的（相对较大/成功的）商店。当然，您会错过Microsoft / Windows Single Sign On，但还有其他解决方案，例如身份验证代理（SiteMinder，webseal等）。对于集中式用户管理，也可以选择使用任何LDAP（或SiteMinder）。

因此，是的，如果没有（MS）AD，您可以成为一家成功的商店，您只需要找到替代方案即可。

我认为更大的问题是为什么不呢？

您是否出于安全考虑将用户帐户分开？每台计算机的用户仅使用该计算机吗？

如果相同的用户需要使用所有计算机，则AD将为他们提供以下好处：如果登录到域，则在他们及其组所信任的所有位置都信任他们。如果他们更改密码，那么到处都是一样的。他们不必记住要在所有10台计算机上进行更改（或者更糟的是忘记它，并且每隔一周需要您为它们重置一次）。

对于您来说，它提供了集中/全局控制权限的好处。如果您具有对组具有特殊权限的文件夹，并且雇用了一个新人员，则只需将它们添加到组中并完成。您不必附加到每台计算机上并一遍又一遍地创建同一用户并设置权限。

同样，每个用户的计算机都将在域中，因此可以由域控制。

我认为最大的好处是GPO可以在他们登录到域时将策略发送到其PC上，从而保护整个网络的安全。

话虽这么说，我的办公室很小（大约15个），而且我们没有官方的IT部门。因此，我们（过度）使用MS Groove作为我们的基础结构，并且实际上没有AD或任何中央服务器。我们基于笔记本电脑。

我认为最大的方法之一是单点登录。虽然听起来您的最终用户可能没有注意到，但是从管理员的角度来看，这当然是一件好事。您只有一个密码可以跟踪，而要更改它，则只需一个位置即可，而不是32个。如果您不担心脚本编写，可以做很多事情来管理环境。 。

前述广告的好处显然是成本。

广告收益归结为两个因素，如果您不关心它们，答案是“否”。

• 集中管理：对用户，计算机帐户，批次，自动更新，软件部署，组策略等进行管理（以免过分简化，请确保您了解基本问题中“小思想”的影响。一个示例：30个静态IP地址是可维护的。大约100？256？）
• 扩展基础：对于30个网络，2个AD控制器似乎过多（尽管仍是必需的），但它们足以满足1000-1500个用户的需求？正确设置后，在您变大之前，无需更改AD。

我认为最好的建议是在填满SF时仔细阅读此处的活动目录标签-看看是否可以发现足够的功能（例如带有2008服务器的Hyper V）使您的商店受益，使购买值得。

所有好的答案都在这里。我也要拥有两个域控制器。在小型环境中，甚至将它们两个都作为VM放在同一硬件上也是可以的。有人可能会对此进行比较权威的介绍，但是如果您使用MS Hyper-V（服务器2K8）作为主机，则可能会获得一些OS许可好处？

拥有单一登录（SSO）/统一身份验证将为您节省大量创建帐户和设置文件夹权限的工作。当然，将AD部署到位并将系统和用户添加到域中将需要一些努力。

杰夫

如果您打算完全扩展此环境，则需要集中式身份验证和管理。即使您不打算扩大环境，通过立即实施集中式身份验证和授权，您也可以在日常操作中看到非常实时的节省。

如果是Windows环境，AD是简单但昂贵的修复程序。如果成本是AD的症结所在，则实施Samba。

乍一看似乎比较困难，但是您会习惯这些工具，然后回头想一想，您对它的理解并不完全清楚。

您不需要广告。*

大型律师事务所。在过去两年中，我们的用户范围从〜103至〜117，在3个州设有4个站点，实习生和文员的流动率很高。我们经营整个公司的过程包括：1个用于多米诺骨牌/票据和记帐的服务器盒，几个用于专用软件的专用w2k8服务器，约5或6个用于各种应用程序的专用通用窗口盒以及... 2个用于所有文件服务器需求的linux盒和备份，以及防火墙的第三个框。一切都像激励兔子一样运行，而且我们在供应商或软件方面没有很多问题。

• 但您还是可以得到它。Microsoft希望您将加入这个集体，并且除了完全迁移Windows之外，从长远来看，您注定要以AD结尾。

使用Active Directory的原因

1. 受保护的用户安全组
2. 集中的用户帐户管理
3. 通过组策略对象进行集中策略管理
4. 其他托管服务
5. 更好的安全管理
6. 配置文件复制
7. 认证政策
8. 广告回收站
9. CAL激活
10. 补丁分发
11. AD Web服务
12. 重设密码
13. 单点登录
14. 两要素认证
15. 目录合并
16. 应用程序目录分区
17. 通用组缓存
18. 混合个人资料登录
19. 可扩展性不复杂
20. 强大的开发环境
21. 会话重复

我成功运行了没有Active Directory的系统；但是，您需要通过替代工具来补偿需求。我切换到三个不同组织中的约150位用户使用AD。