大家好,
這個問題可能很簡單, 但是我還是想要跟各位前輩們諮詢看看..
假設現在我們公司即將要安裝新的系統, 例如ERP, BPM..之類的系統,那我會需要開一台Windows server環境給該系統,但是我在猶豫這台機器是否有再加入AD網域的必要性?
因為我的認知是,電腦加入網域的好處是更好的管理user及區域內的PC,user也可以自由地在有開放權限的電腦上進行存取,那伺服器的部分是不是就沒有必要特別加入網域了呢? 似乎也沒其他的好處了..
還懇請解惑..謝謝
如果你的伺服器一隻手就可以數完, 那就隨自己覺得方便的模式都可以..
但如果你有 200 台伺服器要管....(或者超過兩隻手以上的數量)
今天為了讓某新進工程師可以管這 200 台沒有加入 AD 的伺服器, 你是否要在每一台上面都開設他的帳號? 所以總共要開 200 次他的個人帳號, 他也要登入 200 次, 分別變更他的密碼....
然後公司資安如果規定: 每三個月必須換一次密碼!!
這位工程師每三個月就要面臨一次: 換 200 台伺服器密碼的苦難...
如果他覺悟了終於要離職, 人資要你砍掉他的帳號,
那這 200 魔咒的苦難就輪到你身上, 因為你要分別砍掉 200 台的帳號...
萬一更慘, 公司因任務關係, 把這 200 台分配成:
12台給A管, 25台給B管, 49台給C管, 51台給D管, 其他都給E管,
然後 D 突然要離職, 人資要你砍帳號, 你能馬上知道是哪 51 台嗎?
最終極的劇情: 總經理突然衝進來, 說 E 現在正在某處惡意刪除公司資料, 要你馬上停權他的帳號!!...在你一台一台登入, disable 上面那麼多台伺服器裡面 E 帳號的動作, 全部執行完之前, E 可以刪掉多少寶貴的公司資料?
如果這 200 台伺服器通通加入 AD:
200 台伺服器算很多嗎?
某台灣 NB 品牌大廠, 它們每年都要新增 1,000 多台的伺服器.....
電腦加入網域的好處是更好的管理user及
區域內的PC
您好像說錯了區域內的PC
要改成 區域內的電腦
啦!
SERVER 也是 電腦啊!
當然要加入AD管理啊!
統一管理才是加入AD的基本目的!
ERP 主機會加入網域群內,但 ERP 另有自己的登入管理,不因你 (如果) 有做 SSO 而免除,這是 ERP 系統自己的保護,但底層的主機加入網域是管理員好控管 OS
如果你的資料庫、網站,沒加入AD,那就會發生一套應用一套帳密,十套應用十套帳密,你就會被那些忘掉帳密的人問到吐,你也會維護這一堆帳密跟權限設定弄到頭昏眼花,有人離職你就要停用他的一堆帳密,就醬吧
通常我會認為公司在導AD錢有沒有花的到位才是問題
加入AD網域後就要有AD server掛了的考量
我看過一些環境 加入AD之後綁了一堆公司營運賺錢的設備
但是 後續的維護就幾乎沒有考量了
DC一台
虛擬化也只買一台
出了事沒賺到錢 基本上也只能先幹IT再說
我大概是異類,我很討厭每台電腦都加入AD
以鼎新ERP為例
鼎新的帳號沒有與AD整合,也是說不加入也沒關係
以安全性來說,加入AD後,可能好幾個帳號能存取ERP的Server,但如果不加入AD,則只有ERP本機的管理者可以存取
偏偏AD環境,很多時候都需要管理者帳號,當哪天中毒時,不加入AD,說不定ERP的主機能逃過一劫
所以加不加入AD,還是取決需不需要
其實還有一種折衷方法,就是加入AD,然後將本機管理者群組(Administrators)中的Domain Admin移除,日後仍使用本機管理者(Administrator)登入,如此可以設定使用者的權限,又能限制住可以存取ERP的使用者
至於BPM一般是設定與AD整合,所以就不用想太多
我認為沒有必要一定要加入網域,尤其是AD一直是駭客攻擊的首要目標,一但AD被攻陷那就等於網域內的所有伺服器的檔案可能都會被加密,所以目前防毒及備份我是絕對不會加入域中,其他的服務按照需求規劃,有可能切分多的網域,例如:辦公及生產,我就會用兩個獨立的網域來進行管理。