MS Active Directoryは本当に必要ですか？[閉まっている]

約30台のマシンと2台のターミナルサーバー（1つの運用サーバー、1つのスタンバイサーバー）を管理しています。実際にネットワークにActive Directoryを展開する必要がありますか？

別のADサーバーの存在をバランシングできる、本当に利点はありますか？ターミナルサーバーは、企業のAPPを除いて、他のサービスを一切使用せずに、独立して実行します。

ADなしで実行する場合、どのような優れた機能が欠けていますか？

更新：しかし、あなたはADなしで成功した店を経営していますか？

30台のマシンですか？完全にオプションです。

私は、Sambaとバッチ/自動スクリプトを使用して、ADなしで実行しているいくつかの大きな場所（1つの場所につき平均30〜125システム/ワークステーション）を管理しています。それらは問題なく動作し、奇妙なソフトウェアアップデートを壊すものは別として、問題はありません。

Active Directoryを使用すると、ネットワークに多くの利点がもたらされますが、そのうちのいくつかを頭の中で考えることができます。

• 一元化されたユーザーアカウント管理
• 集中ポリシー管理（グループポリシー）
• より良いセキュリティ管理
• DC間の情報の複製

明らかにこれらの利点はオーバーヘッドももたらし、特に既存のセットアップがある場合はAD環境をセットアップするためにかなりの作業と時間が必要ですが、ADがもたらす集中管理の利点は価値があると私は考えています。

いくつかの「ドライブバイ」応答...

1-メールにExchangeを使用している場合、ADが必要です。Exchangeを使用していないか、それを知っている可能性がありますが、これを検討している人のためにExchangeを含めています。

2- ADは「集中認証」システムを管理します。ユーザー、グループ、およびパスワードを1か所で管理します。ADがない場合は、各ターミナルサーバーでユーザーを個別に設定するか、アプリケーションでセキュリティにアクセスして使用するためにそれぞれに汎用ユーザーを設定する必要があります。

3-他のWindowsサーバーがある場合、ADを使用すると、それらのサーバー上のリソースを単一の場所（AD）で簡単に保護できます。

4- ADには、他のサービス（DNS、DHCP）が含まれます。これらのサービスは、別途管理する必要があります。使用しているWindowsサーバーがターミナルサーバーのみである場合、それらを使用していない可能性があります。

5-必須ではありませんが、ドメインにワークステーションを置くことには利点があります。これにより、一部の（包括的ではない）シングルサインオン機能と、「グループポリシー」によるワークステーションの重要な制御と管理が可能になります。
->たとえば、GPを使用すると、スクリーンセーバーの設定を制御できます。スクリーンセーバーはx分後にワークステーションをロックし、ロックを解除するためにパスワードを要求します。

6-電子メール、ファイル共有、リモートアクセス、およびWebサービスが必要な場合は、Microsoft Small Business Serverに適している可能性があります。

2番目に、2つのドメインコントローラーを使用する場合の注意点を示します。DCが1つしかなく、それが失敗した場合、物事へのアクセスを得るのは本当に苦痛です。ターミナルサーバーをドメインコントローラーにすることも可能ですが（多くの人は推奨していませんが）。あなたのような小規模なネットワークでは、DCワークロードは重要ではないため、動作する可能性があります。

編集：コメントで s.mihaiは「私たちができる限りすべてを買わせることは彼らの関心です。しかしADなしで大丈夫ですか？ローカルアカウント、交換なし…?!」

私があなたの靴を履いていたら、特にワークステーションで、利益のためにADを追加する口実としてTSプロジェクトを使用します。しかし、あなたの心は決まっていて、あなたがカバーしたいように聞こえますので、ここにあります。

絶対に、ADがなくても大丈夫です。

私の頭の上から：

1. 一元化されたユーザーおよびセキュリティ管理と監査
2. 一元化されたコンピューターグループポリシー
3. ソフトウェア展開（GPO経由）

ADは、交換などのアプリケーションにも必要です。

MSには、このトピックに関するホワイトペーパーがあります。

ADには、非常に便利な機能が数多くあります。1つ目は集中認証です。すべてのユーザーアカウントは1つの場所で管理されます。これは、環境内のどのマシンでも資格情報を使用できることを意味します。

これが許可するもう1つの項目は、リソースを共有するためのセキュリティの向上です。セキュリティグループは、ファイル共有などのリソースへのアクセスを対象とする場合に非常に役立ちます。

グループポリシーを使用すると、複数のマシンまたはユーザーに設定を適用できます。これにより、ターミナルサーバーにログインするユーザーとワークステーションにログインするユーザーに異なるポリシーを設定できます。

ターミナルサーバーを適切に設定し、アプリケーションに応じて、集中認証、セキュリティグループ経由のアクセス権、およびGPOポリシーを使用すると、すべてがアイドル状態である現在の設定よりもクラスター化されたスタイルで両方のターミナルサーバーを使用できますこれにより、リソースの必要性が増すにつれて、より多くのターミナルサーバー（N + 1スタイル）にスケールアップできるようになります。

欠点は、1つのドメインコントローラーについてのみ考えていることです。2を強くお勧めします。これにより、Active Directoryドメインに単一障害点がないようにします。

いくつかのコメントで述べたように。ここでは、コストが重要な要因になる可能性があります。元の質問者が完全に機能するセットアップを持っている場合、コストを正当化するための圧倒的なケースなしに、Active Directoryドメイン環境を立ち上げるのに必要なハードウェアとソフトウェアを持ち込むことは予算外かもしれません。すべてが機能している場合、ADは環境が機能するために必要ではありません。ただし、過去に企業環境で使用したことがある人は、非常に強力な支持者です。これは主に、長期的に管理者の仕事をはるかに簡単にするという事実によるものです。

私は最近、MS ADのない（比較的大きい/成功した）ショップに引っ越しました。確かに、Microsoft / Windowsシングルサインオンは見逃しますが、認証プロキシ（SiteMinder、websealなど）などの他のソリューションもあります。集中ユーザー管理に関しては、LDAP（またはSiteMinder）もオプションになります。

そうです、あなたは（MS）ADなしで成功する店になることができます、あなたはただ代わりを見つける必要があります。

大きな問題はなぜだと思いますか？

セキュリティのためにユーザーアカウントを別にしますか？各マシンのユーザーはそのマシンのみを使用していますか？

同じユーザーがすべてのマシンを使用する必要がある場合、ADは次の利点を提供します。ドメインにログインすると、ユーザーとグループが信頼されるすべての場所で信頼されます。パスワードを変更する場合、どこでも同じです。10マシンすべてで変更することを覚えておく必要はありません（または、それを忘れて、1週間おきにリセットする必要があります）。

あなたにとって、それは許可の中央/グローバル制御の利点を与えます。グループに特別な権限を持つフォルダーがあり、新しい人が雇われている場合は、グループに追加して完了します。各マシンに接続して同じユーザーを何度も作成し、アクセス許可を設定する必要はありません。

また、各ユーザーのマシンはドメイン内にあるため、ドメインによって制御できます。

最大のメリットは、GPOがドメインにログインして、ネットワーク全体のセキュリティを保護できるポリシーをPCに送信できることです。

私のオフィスは小さい（約15）と言われていますが、公式IT部門はありません。そのため、インフラストラクチャとしてMS Grooveを（過剰に）使用しており、ADや中央サーバーは実際にはありません。私たちはラップトップベースです。

私の意見では、最大の1つはシングルサインオンです。エンドユーザーはおそらく気付いていないように聞こえますが、管理者の観点からは確かに良いことです。追跡するパスワードは1つだけであり、パスワードを変更する場合は、32箇所ではなく1箇所で行う必要があります。スクリプト作成を恐れないのであれば、環境を管理するためにできることがたくさんあります。 。

前述のADの利点は明らかにコストです。

ADの利点は2つの要因に要約されます。それらを気にしない場合、答えは「いいえ」です。

• 一元管理：ユーザー、コンピューターアカウント、ロット、自動更新、ソフトウェア展開、グループポリシーなど（これを単純化しすぎないように、基本的な問題で「小さく考える」ことの影響を理解してください。単一の例：30の静的IPアドレス保守可能です。100から256はどうですか？）
• 拡張の基盤：2つのADコントローラーは、30のネットワークでは過剰に見えます（まだ必要ですが）が、1000〜1500人のユーザーには十分であると思いますか？適切に設定すれば、ADを大きくするまで変更する必要はありません。

一番良いアドバイスは、SFにあるActive Directoryタグを記入することです-ショップが購入する価値のある十分な機能（2008サーバーのHyper Vなど）を見つけることができるかどうかを確認することです。

ここですべての良い答え。同様に、2つのドメインコントローラーを使用することについても不満を述べます。小規模な環境では、それらの両方をVMとして同じハードウェア上に配置することでさえ-OKです。誰かがおそらくこれにもっと権威を持って耳を傾けることができますが、ホストとしてMS Hyper-V（サーバー2K8）を使用する場合、OSライセンスのメリットがありますか？

シングルサインオン（SSO）/統合認証を使用すると、アカウントを作成し、フォルダのアクセス許可を設定する作業が大幅に節約されます。もちろん、ADを適切に配置し、システムとユーザーをドメインに追加するには多少の手間がかかります。

ジェフ

この環境を少しでも拡大する場合は、認証と管理を一元化する必要があります。環境を拡大するつもりがなくても、認証と承認を一元化して実装することで、日々の運用で非常にリアルタイムの節約が実現します。

Windows環境の場合、ADは簡単ですが、費用のかかる修正です。コストがADの固定点である場合、Sambaを実装します。

最初は難しいように見えますが、ツールに慣れると、振り返ってみると、これを行う必要があることが完全に明らかではなかったのではないかと思うでしょう。

ADは必要ありません。*

大規模な法律事務所。過去2年間で3つの州に4つのサイトがあり、インターンと店員の売上高が変化しました。ドミノ/ノートとアカウンティング用のサーバーボックス1つ、特殊ソフトウェア用の専用w2k8サーバー2つ、さまざまなアプリ用の専用の汎用ウィンドウボックス5つまたは6つ、すべてのファイルサーバーニーズ用の2つのLinuxボックス、バックアップ、およびファイアウォール用の3番目のボックス。それはすべてエナジャイザーのバニーのように動作し、ベンダーやソフトウェアに関する問題はあまりありません。

• とにかくそれを得るかもしれません。マイクロソフトは、あなたが集団に参加することを意図しており、Windowsから完全に移行することを除けば、長期的にはADに陥る運命にあります。

Active Directoryを使用する理由

1. 保護されたユーザーセキュリティグループ
2. 一元化されたユーザーアカウント管理
3. グループポリシーオブジェクトによる一元化されたポリシー管理
4. 追加のマネージドサービス
5. より良いセキュリティ管理
6. プロファイル複製
7. 認証ポリシー
8. ADごみ箱
9. CALアクティベーション
10. パッチ配布
11. AD Webサービス
12. パスワードのリセット
13. シングル・サインオン
14. 二要素認証
15. ディレクトリ統合
16. アプリケーションディレクトリパーティション
17. ユニバーサルグループキャッシング
18. ハイブリッドプロファイルログイン
19. 複雑さのないスケーラビリティ
20. 強力な開発環境
21. セッションの複製

Active Directoryなしでシステムを正常に実行しました。ただし、代替ツールを使用して要求を補う必要があります。3つの異なる組織の約150人のユーザーでADに切り替えました。