Как пояснить руководителю преимущества подключения Active Directory?
Всем привет.
Хочу подключить в организации Active Directory, для тонкой настройки прав пользователей.
Ну и, конечно же, потому что лень настраивать каждый комп иногда :)))
Компьютеров немного, с двух офисов, даже 20и не наберётся.
Но хочу ввести контроллер домена, так как нужны очень очень тонкие настройки доступа пользователей к определённым ресурсам, действиям, и тд (настолько тонкие, что даже два человека за соседними столами, в одном кабинете, не должны иметь возможности выполнять некоторые одинаковые действия).
Естественно, нужно выпрашивать отдельный сервер. Но такие аргументы, как перспектива, контроль, и упрощение администрирования, не прокатят. Как бы вы пояснили это руководителю, который, конечно же "не шарит"?
P.S. а может быть, и смысла вообще от подключения нет?
так как нужны очень очень тонкие настройки доступа пользователей к определённым ресурсам, действиям, и тд (настолько тонкие, что даже два человека за соседними столами, в одном кабинете, не должны иметь возможности выполнять некоторые одинаковые действия).
Кто эти настройки от вас требует ваш начальник или ещё кто-то? Если начальник то вот вам и ответ, если кто-то ещё то возьмите его и обратитесь к начальнику, что этот человек объяснил все эти тонкие настройки начальнику.
Настройки, требует специфика работы.
Выше шла речь о микроменеджменте, я его чуть неправильно понял.
Сотрудники работают с банками, с секретными данными, поэтому и требуется высокий уровень безопасности. Вот я и думаю, повысит ли этот уровень безопасности внедрение AD, или нет.
Внедрение AD вам в этом поможет, но решит эту проблему полностью. Это только первый шаг. Информационная безопасность это комплекс мер как технических, так и административных.
С управленческой точки зрения - в описанной ситуации AD имеет ту же необходимость как поворотники зайцу.
В определенный момент, когда компьютеров становится столько, что для их администрирования без ad необходимо стадо бегунов-сисадминов - есть повод задуматься о соотношении стоимости внедрения ad вместо зарплаты стаду бегунов...
Вот как-то так.
И да, DC должно быть не менее двух. На разных аппаратных хостах. Иначе вердикт "вам AD не надо".
p/s/ холиварить не буду и про "даже майкрософт продавала..." в курсе
Руководитель мыслит решением поставленных перед ним задач. Совершенно понятно, для того, что бы было "просто и легко" совсем не аргумент. Если Вы сумеете убедить руководителя, что это поможет решению его задач, то вопрос может быть решён, если нет, то очевидно ресурсы будут выделены на те задачи, которые актуальны на данный момент. Попробуйте посмотреть на этот вопрос с точки зрения руководителя и определить плюсы с его позиции, а не Вашей.
Не нужен отдельный сервер.
Нужно 2 отдельных сервера под Active Directory - основной и резерный. Обязательно наличие резервного.
Можно завести не на 2-х железных серверах, а в виртуалке.
В Интернете можно найти рекомендуемые требования. Мое субъективное мнение:
Процессор (серверный вариант для Вас не рассматриваю): i3 или подобное
ОЗУ: от 4096Мб и выше
HDD: 500 Гб (можно и меньше)
Сетевая карта: 1Гбит
Если не планируется сейчас или в ближайшее время внедрять другие сервисы, можно для BDC взять такой же компьютер что и для PDC. Для физического сервера под виртуальные хосты, требования будут совсем другими.
Блок бесперебойного питания, что бы держал сервер включенным при пропадании электропитания минимум 1 -2 часа.
agniko, не обязательно выделенный физический.
Active Directory вполне может жить и в десктопной виртуалке.
разумеется, эта машина не должна входить в ActiveDirectory
Иван Елисеев, 1,5 Г оперативки в виртуалке - за глаза.
процессор там не важен, любой современный за глаза, хоть Atom
диск - под операционную систему и еще плюс 4 раза по столько.
то есть порядка 200 Г за глаза.
agniko, плюс вариант, если не хотите покупать Windows и не хотите использовать крякнутую на свой страх и риск, то можно использовать PDC на базе Linux.
Если ставить Linux без GUI (а GUI там и не нужен на этом контролере) - то хватит и 0,5 Г оперативки и 100 Г на диске.
Trotilla, Принципиально отличие - в подходе к построению IT инфраструктуры. Для меня не приемлем вариант, который Вы предложили, так же для меня не приемлемо "навешивать" сразу несколько ролей на один сервер (за некоторыми исключениями), не иметь системы резервного копирования и восстановления информации, не приемлемо не иметь документации по предоставляемым сервисам и т.д. Во многих компаниях видел бардак в ИС, когда зоопарк серверов, нет документации, нет регламента мероприятий по обслуживанию ИС, когда ИТ-специалист работает в режиме "аврал" и не потому что "пользователи тупы", а потому что он сам допустил такую ситуацию когда приходится реагировать на ситуацию, а не предвосхищать ее.
Trotilla, "Не нравится" это не то что я сказал, мы ж не в д.саду "нравится - не нравится")). Далее предлагаю по существу писать, если есть что сказать.
agniko,
я УЖЕ написал по существу много дней назад.
Жую для вас - контроллер домена внутри виртуалки это очень практично и удобно. обслуживается легче, поэтому даже надежнее по факту выходит, чем "одна роль на сервер"
Trotilla, Уважаемый, Вы упорно пытаетесь спорить и делаете это совершенно без повода. Ни в одном своем посте я не говорил что виртуализация - это "плохо", просто нужно подходить к этому серьезно и да, повторюсь, в продакшн среде я не приемлю виртуализацию серверных ролей на базе десктоп решений. Что бы не выглядеть голословно могу сказать что у меня реализовано несколько проектов по реорганизации ИТ-инфраструктуры и внедрению виртуализации на базе MS Hyper-V с использованием отказоустойчивого кластера, по результату проведенных мероприятий на данный момент порядка 16 серверов - это именно виртуальные машины. Еще раз, виртуализация это и практично и удобно как Вы сказали, но я за профессиональных подход, всех Вам благ.
У меня сложилось впечатление что автор не понимает назначение AD и слабо представляет свои цели. Начать рекомендую с постановки задач самому себе, например: обеспечить возможность централизованного хранения и управления учетными записями пользователей, организовать автоматическую настройку рабочего окружения (подключение принтеров, использование прокси, политика безопасности, подключение сетевых дисков и т.д.). Кроме того что как уже было сказано настоятельно рекомендуется иметь второй хост с ролью BDC, для обеспечения отказоустойчивости.
Кроме того следуют помнить о том что клиентские рабочие станции должны иметь возможность последующего ввода в домен, если операционная система не соответствует редакции для последующего ввода в домен, то прибавьте дополнительную статью расходов.
Для руководителя достаточно будет описать преимущества внедрения AD, конечно же с точки зрения бизнеса, а не IT человека. Рассказать о существующих рисках,а так же о том как эта технология поможет их минимизировать.
Абсолютно верное впечатление у Вас сложилось. Я с AD знаком очень очень поверхностно, у меня где-то месяц на изучение/подготовку/проектирование, потом уже внедрение. Мне чуть другие сетевые технологии ближе.
Ну в таком случае для начала хорошо было бы разобраться в технологии, впоследствии у Вас не должно возникнуть трудностей мотивировать вашего руководителя на выделения средств для внедрения AD.
Например:
Внедрение сервиса AD обеспечит возможность централизованного администрирования и управления ресурсами системы, централизованное управление правами доступа к информации на основе функциональных групп и уровней доступа.
