Cepblu
Интересующийся
Offline
|
|
« : 19-04-2016 13:33 » |
|
Здравствуйте)
Объясните мне, молодому дураку, зачем локально в одном здании в сети до 100 компов разворачивать доменную сеть(AD,GPO и т.п.)? Меня многие админы убеждают, что это всё упростит, позволит организовать защиту информации и бла-бла-бла. Не понимаю, что упростит... Поддержка доменов при малом ИТ(2-3 человека) отделе по моему не выгодно ни по времени, ни по ресурсам. Читал как-то "правильное развитие доменной сети" от microsoft. Вроде толково описано, но это ппц как дорого. Не понимаю, о какой защите идёт речь... Любая система управления несколькими компьютерами,удалённо и(или) централизованно, уже открывает потенциальную дырку в защите этих компов(вне зависимости от типа сети или применяемых программных средств). Теневые копии, бэкапы, шифрование, цифровые подписи - это всё и без доменной можно сделать... Отчётность, контроль ресурсов - туда же... Централизованно устанавливать\удалять программы, инвентаризировать проги и железо и бла-бла-бла - аналогично.
Если верно понимаю, домены нужны лишь при нескольких сетях 300+ компов территориально в одном месте, либо 100+ компов в абсолютно разных местах(и то специфично). Где я туплю? Откуда у админов с доменами появляется свободное время(в бездоменной же появляется туча времени для шаманства)?
|
|
|
Записан
|
|
|
|
Dale
|
|
« Ответ #1 : 19-04-2016 14:18 » |
|
Смысл примерно тот же, что и при переходе с разрозненного набора конфигурационных файлов (а-ля *.ini) на единый реестр: централизация данных.
Попробуйте расшарить хотя бы несколько ресурсов в одноранговой сети из десятка компьютеров, и сразу станет очевидным преимущество домена.
|
|
|
Записан
|
Всего лишь неделя кодирования с последующей неделей отладки могут сэкономить целый час, потраченный на планирование программы. - Дж. Коплин.
Ходить по воде и разрабатывать программное обеспечение по спецификациям очень просто, когда и то, и другое заморожено. - Edward V. Berard
Любые проблемы в информатике решаются добавлением еще одного уровня косвенности – кроме, разумеется, проблемы переизбытка уровней косвенности. — Дэвид Уилер.
|
|
|
Sla
|
|
« Ответ #2 : 19-04-2016 14:34 » |
|
смысл в централизации управления правами пользователей и ресурсами. При правильной организации AD - это не только права и ресурсы, это так же установка обновлений, контроль на установленными приложениями. Кроме того, доступ к внешним ресурсам и т.д. А имея распределенную сеть - это снижение расходов на сисадминов. Все что вы описали - это бла-бла, когда под рукой сисадмин Теневые копии, бэкапы, шифрование, цифровые подписи - это всё и без доменной можно сделать... Отчётность, контроль ресурсов - туда же... Централизованно устанавливать\удалять программы, инвентаризировать проги и железо и бла-бла-бла - аналогично.
Я так понимаю, что вы AD и в глаза не видели?
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
Cepblu
Интересующийся
Offline
|
|
« Ответ #3 : 21-04-2016 09:37 » |
|
Смысл примерно тот же, что и при переходе с разрозненного набора конфигурационных файлов (а-ля *.ini) на единый реестр: централизация данных.
Попробуйте расшарить хотя бы несколько ресурсов в одноранговой сети из десятка компьютеров, и сразу станет очевидным преимущество домена.
По поводу реестра согласен, когда то также думал. (мысли в слух: dbf 4 всё ещё жив) По поводу расшаривания ресурсов: есть же сотни(наверно загнул, 3 способа проверенных) способов справится. смысл в централизации управления правами пользователей и ресурсами. При правильной организации AD - это не только права и ресурсы, это так же установка обновлений, контроль на установленными приложениями. Кроме того, доступ к внешним ресурсам и т.д. А имея распределенную сеть - это снижение расходов на сисадминов. Все что вы описали - это бла-бла, когда под рукой сисадмин Теневые копии, бэкапы, шифрование, цифровые подписи - это всё и без доменной можно сделать... Отчётность, контроль ресурсов - туда же... Централизованно устанавливать\удалять программы, инвентаризировать проги и железо и бла-бла-бла - аналогично.
Я так понимаю, что вы AD и в глаза не видели? По поводу централизации, как уже говорил есть множество способов управлять и пользовательскими правами и ресурсами. И к любой из них можно бесконечно придираться, идеальных систем нет и не будет. Установка обновлений: 1) Windows - wsus ставится на практически любую винду, настройка компов выполняется разово батником. 2) программы - тут сложней чутка(не всё горит желанием ставится скриптами, проблема "немного устаревшего" ПО). Современные программы(и обновления) также батником нормально ставятся. 3) антивирусное ПО - разработчики молодцы, админкиты порой почти всё заменяют. Обновить ось - пожалуйста, инвентаризировать проги парка машин - райтклик и готово, установить кучу программ - не вопрос, контроль запуска программ - изи и т.д. и т.п. По сути практически под любые задачи можно заготовить кучку батников и не парится никогда в жизни) По поводу "распределённая сеть снижает затраты на сисадминов", извини не совсем понял про что имеется ввиду. Если имеется ввиду централизованная поддержка, управление - то не везде это возможно, некоторые задачи нельзя выполнить удалённо, а в некоторых случаях это запрещено. По поводу когда "сисадмин под рукой", я вроде и рассказываю про этот случай. Не? Если верно понимаю, домены нужны лишь при нескольких сетях 300+ компов территориально в одном месте, либо 100+ компов в абсолютно разных местах(и то специфично).
По поводу "АД и в глаза не видели", давайте не будем впустую придираться, обобщил просто.
|
|
|
Записан
|
|
|
|
Dale
|
|
« Ответ #4 : 21-04-2016 09:56 » |
|
По поводу расшаривания ресурсов: есть же сотни(наверно загнул, 3 способа проверенных) способов справится. Простой пример, не слишком надуманный. Есть группа пользователей в 10-20 человек и 3 сервера. В одноранговой сети на каждом сервере должны храниться учетные записи каждого пользователя. Захотел поменять пароль - изволь сменить на каждом сервере. Уволился человек - админ должен заблокировать его учетку на каждом сервере. Работа несложная, но нудная и чреватая ошибками. В домене каждый пользователь авторизуется один раз при входе, при доступе к ресурсам сети используется единый "ключ" безопасности, полученный от контроллера домена после успешной аутентификации. Учетная запись единая, пароль тоже. Поменять/заблокировать легко. Кстати, в Сети тоже понемногу приживается эта идея. Людям надоедает бардак с регистрацией на каждом сайте и манипуляцией десятками паролей, все шире используется вход на разные сайты через Google, Facebook, VK и т.п. P.S. Это не единственное достоинство домена, скорее наиболее очевидное - не множить сущности без необходимости.
|
|
|
Записан
|
Всего лишь неделя кодирования с последующей неделей отладки могут сэкономить целый час, потраченный на планирование программы. - Дж. Коплин.
Ходить по воде и разрабатывать программное обеспечение по спецификациям очень просто, когда и то, и другое заморожено. - Edward V. Berard
Любые проблемы в информатике решаются добавлением еще одного уровня косвенности – кроме, разумеется, проблемы переизбытка уровней косвенности. — Дэвид Уилер.
|
|
|
Cepblu
Интересующийся
Offline
|
|
« Ответ #5 : 21-04-2016 11:13 » |
|
Во я дурак!!! Ахххахахахах)) Надо ж таким склерозом страдать)) Самую главную фишку забыл))) Спасибо.
ps: но мы то знаем как ещё можно решить и эту проблему?)) Не совсем правильно(с моральной этики), но также неплохо действует против обычных подборщиков паролей и более продвинутых)
|
|
|
Записан
|
|
|
|
Люсь
|
|
« Ответ #6 : 21-04-2016 11:26 » |
|
Dale, Кстати, в Сети тоже понемногу приживается эта идея. Людям надоедает бардак с регистрацией на каждом сайте и манипуляцией десятками паролей, все шире используется вход на разные сайты через Google, Facebook, VK и т.п. .
Кстати, давно беспокоит этот вопрос ) А если взломают этот единый аккаунт, на который завязано несколько ресурсов? Как это предотвратить и защититься от последствий?
|
|
|
Записан
|
Посторонним просьба не беспокоить! ------------------------------------------------- O (I) Rh +
|
|
|
Cepblu
Интересующийся
Offline
|
|
« Ответ #7 : 21-04-2016 11:40 » |
|
В продолжение(просто любопытсво пробирает), Dale можешь подсказать, а что за 3 сервера на которых жёстко необходимо 3 списка учётных записей держать, чтобы требовалось AD поднимать? 1ый это внутренний файлообменник, понимаю, но это 1 раз можно забить. Почта, ну её не всегда критично внутри держать. Сервер с терминалами... Наверно да... Но далеко не всегда там много пользователей. VPN, FTP и прочие файлообменники, наверно да, но там тоже не всегда много пользователей. Сайты... Также как с почтой. Остальное пока не припомню. Добавлено через 5 минут и 53 секунды:Dale, Кстати, в Сети тоже понемногу приживается эта идея. Людям надоедает бардак с регистрацией на каждом сайте и манипуляцией десятками паролей, все шире используется вход на разные сайты через Google, Facebook, VK и т.п. .
Кстати, давно беспокоит этот вопрос ) А если взломают этот единый аккаунт, на который завязано несколько ресурсов? Как это предотвратить и защититься от последствий? По сути сейчас никак)) Вижу только постоянно привязку к телефону. Почти надёжная защита. Но это только на совести и бюджете разработчиков сервисов. Самое простое, разделить рабочую почту и для себя. Этого в принципе достаточно. Ну и две карточки))) Обычная для простых покупок и важная, дёшего и сердито) Главное чтобы кот не утащил)))
|
|
« Последнее редактирование: 21-04-2016 11:46 от Cepblu »
|
Записан
|
|
|
|
Dale
|
|
« Ответ #8 : 21-04-2016 12:40 » |
|
что за 3 сервера на которых жёстко необходимо 3 списка учётных записей держать, чтобы требовалось AD поднимать? Ну, например, для небольшой команды по разработке софта/харда: - файлопомойка (дистрибутивы, даташиты, прочие общеполезные файлы, которые должны быть под рукой); - сервер баз данных (возможно, два, если ведется разработка БД и при этом бухгалтерия, CRM и подобные вещи изолированы от греха подальше на отдельных ресурсах); - серверы поддержки разработки (багтреккер, репозиторий, wiki и т.п.); - интеграционный сервер (по бедности можно совместить с тестовым, но лучше все же разделить). Это спартанский минимум, некоторые команды используют больше инструментов (например, в нашей для совместной работы с текстовой документацией задействован SharePoint). Дело вкуса, но лично мне было бы лень детально расписывать для каждого сотрудника его аксесс-листы: в какие директории ему можно ходить, в какие базы данных и т.п.. Гораздо проще завести в домене несколько групп: бухгалтер, разработчик, тестировщик с соответствующими правами. Тогда, если в бухгалтерии появляется новая сотрудница, все, что нужно сделать, - это 1) завести для нее доменную учетку, 2) включить эту учетку в группу "бухгалтер".
|
|
|
Записан
|
Всего лишь неделя кодирования с последующей неделей отладки могут сэкономить целый час, потраченный на планирование программы. - Дж. Коплин.
Ходить по воде и разрабатывать программное обеспечение по спецификациям очень просто, когда и то, и другое заморожено. - Edward V. Berard
Любые проблемы в информатике решаются добавлением еще одного уровня косвенности – кроме, разумеется, проблемы переизбытка уровней косвенности. — Дэвид Уилер.
|
|
|
Sla
|
|
« Ответ #9 : 21-04-2016 13:19 » |
|
Cepblu, не утомляй, хочешь потролить? найди другой форум.
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
Cepblu
Интересующийся
Offline
|
|
« Ответ #10 : 21-04-2016 13:58 » |
|
Пробовал у нас разбить на отделы... Печально... Народ слишком часто менялся, трояны, учёба... С вирусами разобрался жёстко) Пробежался по домам сотрудников, вылечил там - вылечил на работе, стало по легче. С сеткой разобрались с напарником и лан-тестером. Подъяли запакованный сервак, отложенный на "светлое будущее". Начал курить маны. Выкурил в то время, что на русском маны лучше не читать, "опасно для жизни") (2009-2014). Слишком много встречалось неточностей в переводе, порой даже до абсурдного. Кстати, в Windows Server 2003 standart некоторые политики неверно переведены на наш, не знаю поправили MS или нет(хотя наверно сейчас уже не важно). Ну в общем, что построил, то построил. Будущие админы райткликом АД запустят, всё готово) Система работает, почти без админа) 23:59/7(+/- погрешности на конец света) По-тихоньку начинаю задумываться, а может забить на всё, начать писать игры под телефон, на выручку нанять программистов и обновить часть программ на работе?)) Тут кстати, фотка осталась, когда мы из хранилища рейд восстанавливали, вечером выложу. MSI Gaming Z5 и LSI 92**(не помню уже)
|
|
|
Записан
|
|
|
|
Dale
|
|
« Ответ #11 : 21-04-2016 16:40 » |
|
Dale, А если взломают этот единый аккаунт, на который завязано несколько ресурсов? Как это предотвратить и защититься от последствий? Я обычно использую этот вид авторизации для тех ресурсов, взлом которых не повлечет для меня катастрофических последствий. Например, захожу на edx.org через аккаунт Google. Если какой-нибудь сумасшедший захочет взломать мой учебный аккаунт, пусть сам за меня пишет контрольные и сдает экзамены. Ну а для более серьезных ресурсов (например, платежные системы или ebay/AliExpress) выручают KeePass и его вариации под Android. Добавлено через 13 минут и 35 секунд:Пробовал у нас разбить на отделы... Печально... Доменные группы вовсе не обязаны совпадать с административным делением сотрудников по отделам. Это скорее логические роли, и один человек может принадлежать одновременно к нескольким ролям. Например, некий Вася может входить в группы разработчиков софта и тестировщиков, если сочетает эти две обязанности. Само собой, он автоматически получит доступ к ресурсам и той, и другой групп. Народ слишком часто менялся Вот здесь-то и выгоден домен. Админ не правит отдельные учетки, а лишь включает их в нужные группы либо исключает. Даже для одного-двух десятков пользователей это здорово упростит работу.
|
|
« Последнее редактирование: 21-04-2016 16:53 от Dale »
|
Записан
|
Всего лишь неделя кодирования с последующей неделей отладки могут сэкономить целый час, потраченный на планирование программы. - Дж. Коплин.
Ходить по воде и разрабатывать программное обеспечение по спецификациям очень просто, когда и то, и другое заморожено. - Edward V. Berard
Любые проблемы в информатике решаются добавлением еще одного уровня косвенности – кроме, разумеется, проблемы переизбытка уровней косвенности. — Дэвид Уилер.
|
|
|
|