Смысл доменных сетей

[Cepblu]

Здравствуйте)

Объясните мне, молодому дураку, зачем локально в одном здании в сети до 100 компов разворачивать доменную сеть(AD,GPO и т.п.)?
Меня многие админы убеждают, что это всё упростит, позволит организовать защиту информации и бла-бла-бла.
Не понимаю, что упростит...
Поддержка доменов при малом ИТ(2-3 человека) отделе по моему не выгодно ни по времени, ни по ресурсам.
Читал как-то "правильное развитие доменной сети" от microsoft. Вроде толково описано, но это ппц как дорого.
Не понимаю, о какой защите идёт речь...
Любая система управления несколькими компьютерами,удалённо и(или) централизованно, уже открывает потенциальную дырку в защите этих компов(вне зависимости от типа сети или применяемых программных средств).
Теневые копии, бэкапы, шифрование, цифровые подписи - это всё и без доменной можно сделать...
Отчётность, контроль ресурсов - туда же...
Централизованно устанавливать\удалять программы, инвентаризировать проги и железо и бла-бла-бла - аналогично.


Если верно понимаю, домены нужны лишь при нескольких сетях 300+ компов территориально в одном месте, либо 100+ компов в абсолютно разных местах(и то специфично).
Где я туплю? Откуда у админов с доменами появляется свободное время(в бездоменной же появляется туча времени для шаманства)?

[Dale]

Смысл примерно тот же, что и при переходе с разрозненного набора конфигурационных файлов (а-ля *.ini) на единый реестр: централизация данных.

Попробуйте расшарить хотя бы несколько ресурсов в одноранговой сети из десятка компьютеров, и сразу станет очевидным преимущество домена.

[Sla]

смысл в централизации  управления правами пользователей и ресурсами.

При правильной организации AD - это не только права и ресурсы, это так же   установка обновлений, контроль на установленными приложениями.
Кроме того, доступ к внешним ресурсам и т.д.
А имея распределенную сеть - это снижение расходов на сисадминов.


Все что вы описали - это бла-бла, когда под рукой сисадмин

Теневые копии, бэкапы, шифрование, цифровые подписи - это всё и без доменной можно сделать...
Отчётность, контроль ресурсов - туда же...
Централизованно устанавливать\удалять программы, инвентаризировать проги и железо и бла-бла-бла - аналогично.

Я так понимаю, что вы AD и в глаза не видели?

[Cepblu]

Смысл примерно тот же, что и при переходе с разрозненного набора конфигурационных файлов (а-ля *.ini) на единый реестр: централизация данных.

Попробуйте расшарить хотя бы несколько ресурсов в одноранговой сети из десятка компьютеров, и сразу станет очевидным преимущество домена.

По поводу реестра согласен, когда то также думал. (мысли в слух: dbf 4 всё ещё жив)
По поводу расшаривания ресурсов: есть же сотни(наверно загнул, 3 способа проверенных) способов справится.

смысл в централизации  управления правами пользователей и ресурсами.

При правильной организации AD - это не только права и ресурсы, это так же   установка обновлений, контроль на установленными приложениями.
Кроме того, доступ к внешним ресурсам и т.д.
А имея распределенную сеть - это снижение расходов на сисадминов.


Все что вы описали - это бла-бла, когда под рукой сисадмин

Теневые копии, бэкапы, шифрование, цифровые подписи - это всё и без доменной можно сделать...
Отчётность, контроль ресурсов - туда же...
Централизованно устанавливать\удалять программы, инвентаризировать проги и железо и бла-бла-бла - аналогично.

Я так понимаю, что вы AD и в глаза не видели?

По поводу централизации, как уже говорил есть множество способов управлять и пользовательскими правами и ресурсами. И к любой из них можно бесконечно придираться, идеальных систем нет и не будет.
Установка обновлений:
1) Windows - wsus ставится на практически любую винду, настройка компов выполняется разово батником.
2) программы - тут сложней чутка(не всё горит желанием ставится скриптами, проблема "немного устаревшего" ПО). Современные программы(и обновления) также батником нормально ставятся.
3) антивирусное ПО - разработчики молодцы, админкиты порой почти всё заменяют. Обновить ось - пожалуйста, инвентаризировать проги парка машин - райтклик и готово, установить кучу программ - не вопрос, контроль запуска программ - изи и т.д. и т.п.
По сути практически под любые задачи можно заготовить кучку батников и не парится никогда в жизни)

По поводу "распределённая сеть снижает затраты на сисадминов", извини не совсем понял про что имеется ввиду. Если имеется ввиду централизованная поддержка, управление - то не везде это возможно, некоторые задачи нельзя выполнить удалённо, а в некоторых случаях это запрещено.

По поводу когда "сисадмин под рукой", я вроде и рассказываю про этот случай. Не?

Если верно понимаю, домены нужны лишь при нескольких сетях 300+ компов территориально в одном месте, либо 100+ компов в абсолютно разных местах(и то специфично).

По поводу "АД и в глаза не видели", давайте не будем впустую придираться, обобщил просто.

[Dale]

По поводу расшаривания ресурсов: есть же сотни(наверно загнул, 3 способа проверенных) способов справится.

Простой пример, не слишком надуманный. Есть группа пользователей в 10-20 человек и 3 сервера. В одноранговой сети на каждом сервере должны храниться учетные записи каждого пользователя. Захотел поменять пароль - изволь сменить на каждом сервере. Уволился человек - админ должен заблокировать его учетку на каждом сервере. Работа несложная, но нудная и чреватая ошибками.

В домене каждый пользователь авторизуется один раз при входе, при доступе к ресурсам сети используется единый "ключ" безопасности, полученный от контроллера домена после успешной аутентификации. Учетная запись единая, пароль тоже. Поменять/заблокировать легко.

Кстати, в Сети тоже понемногу приживается эта идея. Людям надоедает бардак с регистрацией на каждом сайте и манипуляцией десятками паролей, все шире используется вход на разные сайты через Google, Facebook, VK и т.п.

P.S. Это не единственное достоинство домена, скорее наиболее очевидное - не множить сущности без необходимости.

[Cepblu]

Во я дурак!!! Ахххахахахах))
Надо ж таким склерозом страдать)) Самую главную фишку забыл)))
Спасибо.

ps: но мы то знаем как ещё можно решить и эту проблему?)) Не совсем правильно(с моральной этики), но также неплохо действует против обычных подборщиков паролей и более продвинутых)

[Люсь]

Dale,

Кстати, в Сети тоже понемногу приживается эта идея. Людям надоедает бардак с регистрацией на каждом сайте и манипуляцией десятками паролей, все шире используется вход на разные сайты через Google, Facebook, VK и т.п.
.

Кстати, давно беспокоит этот вопрос )
А если взломают этот единый аккаунт, на который завязано несколько ресурсов? Как это предотвратить и защититься от последствий?

[Cepblu]

В продолжение(просто любопытсво пробирает), Dale можешь подсказать, а что за 3 сервера на которых жёстко необходимо 3 списка учётных записей держать, чтобы требовалось AD поднимать?
1ый это внутренний файлообменник, понимаю, но это 1 раз можно забить.
Почта, ну её не всегда критично внутри держать.
Сервер с терминалами... Наверно да... Но далеко не всегда там много пользователей.
VPN, FTP и прочие файлообменники, наверно да, но там тоже не всегда много пользователей.
Сайты... Также как с почтой.
Остальное пока не припомню.

Добавлено через 5 минут и 53 секунды:

Dale,

Кстати, в Сети тоже понемногу приживается эта идея. Людям надоедает бардак с регистрацией на каждом сайте и манипуляцией десятками паролей, все шире используется вход на разные сайты через Google, Facebook, VK и т.п.
.

Кстати, давно беспокоит этот вопрос )
А если взломают этот единый аккаунт, на который завязано несколько ресурсов? Как это предотвратить и защититься от последствий?

По сути сейчас никак)) Вижу только постоянно привязку к телефону. Почти надёжная защита. Но это только на совести и бюджете разработчиков сервисов.
Самое простое, разделить рабочую почту и для себя. Этого в принципе достаточно.
Ну и две карточки))) Обычная для простых покупок и важная, дёшего и сердито) Главное чтобы кот не утащил)))

[Dale]

что за 3 сервера на которых жёстко необходимо 3 списка учётных записей держать, чтобы требовалось AD поднимать?

Ну, например, для небольшой команды по разработке софта/харда:
- файлопомойка (дистрибутивы, даташиты, прочие общеполезные файлы, которые должны быть под рукой);
- сервер баз данных (возможно, два, если ведется разработка БД и при этом бухгалтерия, CRM и подобные вещи изолированы от греха подальше на отдельных ресурсах);
- серверы поддержки разработки (багтреккер, репозиторий, wiki и т.п.);
- интеграционный сервер (по бедности можно совместить с тестовым, но лучше все же разделить).

Это спартанский минимум, некоторые команды используют больше инструментов (например, в нашей для совместной работы с текстовой документацией задействован SharePoint).

Дело вкуса, но лично мне было бы лень детально расписывать для каждого сотрудника его аксесс-листы: в какие директории ему можно ходить, в какие базы данных и т.п.. Гораздо проще завести в домене несколько групп: бухгалтер, разработчик, тестировщик с соответствующими правами. Тогда, если в бухгалтерии появляется новая сотрудница, все, что нужно сделать, - это 1) завести для нее доменную учетку, 2) включить эту учетку в группу "бухгалтер".

[Sla]

Cepblu, не утомляй, хочешь потролить? найди другой форум.

[Cepblu]

Пробовал у нас разбить на отделы... Печально... Народ слишком часто  менялся, трояны, учёба...
С вирусами разобрался жёстко)
Пробежался по домам сотрудников, вылечил там - вылечил на работе, стало по легче.
С сеткой разобрались с напарником и лан-тестером.
Подъяли запакованный сервак, отложенный на "светлое будущее".
Начал курить маны. Выкурил в то время, что на русском маны лучше не читать, "опасно для жизни") (2009-2014).
Слишком много встречалось неточностей в переводе, порой даже до абсурдного.
Кстати, в Windows Server 2003 standart некоторые политики неверно переведены на наш, не знаю поправили MS или нет(хотя наверно сейчас уже не важно).
Ну в общем, что построил, то построил. Будущие админы райткликом АД запустят, всё готово)
Система работает, почти без админа) 23:59/7(+/- погрешности на конец света) 
По-тихоньку начинаю задумываться, а  может забить на всё, начать писать игры под телефон, на выручку нанять программистов и обновить часть программ на работе?))
Тут кстати, фотка осталась, когда мы из хранилища рейд восстанавливали, вечером выложу.
MSI Gaming Z5 и LSI 92**(не помню уже) 

[Dale]

Dale,
А если взломают этот единый аккаунт, на который завязано несколько ресурсов? Как это предотвратить и защититься от последствий?

Я обычно использую этот вид авторизации для тех ресурсов, взлом которых не повлечет для меня катастрофических последствий. Например, захожу на edx.org через аккаунт Google. Если какой-нибудь сумасшедший захочет взломать мой учебный аккаунт, пусть сам за меня пишет контрольные и сдает экзамены. 

Ну а для более серьезных ресурсов (например, платежные системы или ebay/AliExpress) выручают KeePass и его вариации под Android.

Добавлено через 13 минут и 35 секунд:

Пробовал у нас разбить на отделы... Печально...

Доменные группы вовсе не обязаны совпадать с административным делением сотрудников по отделам. Это скорее логические роли, и один человек может принадлежать одновременно к нескольким ролям. Например, некий Вася может входить в группы разработчиков софта и тестировщиков, если сочетает эти две обязанности. Само собой, он автоматически получит доступ к ресурсам и той, и другой групп.

Народ слишком часто  менялся

Вот здесь-то и выгоден домен. Админ не правит отдельные учетки, а лишь включает их в нужные группы либо исключает. Даже для одного-двух десятков пользователей это здорово упростит работу.