iT邦幫忙

0

放ERP或其他相關系統的Server是否有加入AD網域的必要性?

大家好,
這個問題可能很簡單, 但是我還是想要跟各位前輩們諮詢看看..
假設現在我們公司即將要安裝新的系統, 例如ERP, BPM..之類的系統,那我會需要開一台Windows server環境給該系統,但是我在猶豫這台機器是否有再加入AD網域的必要性?

因為我的認知是,電腦加入網域的好處是更好的管理user及區域內的PC,user也可以自由地在有開放權限的電腦上進行存取,那伺服器的部分是不是就沒有必要特別加入網域了呢? 似乎也沒其他的好處了..

還懇請解惑..謝謝

一般我的建議是所有的系統都放在 VM 的環境上面,該有的網路安全要規劃好
還要看各系統的使用方式跟 AD 有沒有關係,使用者存取這些系統走的是 AP、SMB、WEB 等等的模式,假如只有 AP,那根本不需要加入AD,甚至不需要讓這台直接對外,至於 WSUS,就算不加 AD 也是可以用,而且這些系統的OS本身要注意更新的控制,與日常使用桌面環境的限制,甚至最好使用指令介面,不要啟用桌面環境會比較好,大概就這樣,如果你這些APP SRV 數量很多,又非得用 AD管理,建議與使用者環境不同的 AD域做分隔會比較好
6
raytracy
iT邦大神 1 級 ‧ 2021-07-22 13:16:25
最佳解答

如果你的伺服器一隻手就可以數完, 那就隨自己覺得方便的模式都可以..
但如果你有 200 台伺服器要管....(或者超過兩隻手以上的數量)

今天為了讓某新進工程師可以管這 200 台沒有加入 AD 的伺服器, 你是否要在每一台上面都開設他的帳號? 所以總共要開 200 次他的個人帳號, 他也要登入 200 次, 分別變更他的密碼....

然後公司資安如果規定: 每三個月必須換一次密碼!!
這位工程師每三個月就要面臨一次: 換 200 台伺服器密碼的苦難...

如果他覺悟了終於要離職, 人資要你砍掉他的帳號,
那這 200 魔咒的苦難就輪到你身上, 因為你要分別砍掉 200 台的帳號...

萬一更慘, 公司因任務關係, 把這 200 台分配成:
12台給A管, 25台給B管, 49台給C管, 51台給D管, 其他都給E管,
然後 D 突然要離職, 人資要你砍帳號, 你能馬上知道是哪 51 台嗎?

最終極的劇情: 總經理突然衝進來, 說 E 現在正在某處惡意刪除公司資料, 要你馬上停權他的帳號!!...在你一台一台登入, disable 上面那麼多台伺服器裡面 E 帳號的動作, 全部執行完之前, E 可以刪掉多少寶貴的公司資料?

如果這 200 台伺服器通通加入 AD:

  • 你只要開一次帳號給工程師
  • 你只要刪一個帳號就全部禁
  • 變更密碼只需要做一次就好
  • 要停權也是一個設定就完成

200 台伺服器算很多嗎?
某台灣 NB 品牌大廠, 它們每年都要新增 1,000 多台的伺服器.....

Wayne iT邦新手 4 級 ‧ 2021-07-22 13:28:59 檢舉

茅塞頓開! 感謝Ray大大, 可能是因為小公司規模不大, 所以我的視野侷限住了, 現在明白了

1
dscwferp
iT邦高手 1 級 ‧ 2021-07-22 13:07:03

電腦加入網域的好處是更好的管理user及區域內的PC

您好像說錯了區域內的PC 要改成 區域內的電腦 啦!
SERVER 也是 電腦啊!
當然要加入AD管理啊!
統一管理才是加入AD的基本目的!

Wayne iT邦新手 4 級 ‧ 2021-07-22 13:31:00 檢舉

看來我的腦筋還是太死了..非常感謝! 現在理解了

2
國際 IT 人
iT邦高手 1 級 ‧ 2021-07-22 13:14:58

ERP 主機會加入網域群內,但 ERP 另有自己的登入管理,不因你 (如果) 有做 SSO 而免除,這是 ERP 系統自己的保護,但底層的主機加入網域是管理員好控管 OS

Wayne iT邦新手 4 級 ‧ 2021-07-22 13:32:42 檢舉

我會再多吸收知識的!! 謝謝

1
japhenchen
iT邦大師 1 級 ‧ 2021-07-22 13:56:21

如果你的資料庫、網站,沒加入AD,那就會發生一套應用一套帳密,十套應用十套帳密,你就會被那些忘掉帳密的人問到吐,你也會維護這一堆帳密跟權限設定弄到頭昏眼花,有人離職你就要停用他的一堆帳密,就醬吧

1
hsiang11
iT邦好手 1 級 ‧ 2021-07-22 14:35:05

通常我會認為公司在導AD錢有沒有花的到位才是問題
加入AD網域後就要有AD server掛了的考量
我看過一些環境 加入AD之後綁了一堆公司營運賺錢的設備
但是 後續的維護就幾乎沒有考量了
DC一台
虛擬化也只買一台
出了事沒賺到錢 基本上也只能先幹IT再說

0
hank_itman
iT邦新手 4 級 ‧ 2021-07-23 09:08:52

加入AD吧!

先不管登入帳號要不要使用網域帳號,光是要分享資料夾就要用到網域帳號來做管理

1
idlewu
iT邦新手 5 級 ‧ 2021-07-24 20:40:18

我大概是異類,我很討厭每台電腦都加入AD
以鼎新ERP為例
鼎新的帳號沒有與AD整合,也是說不加入也沒關係
以安全性來說,加入AD後,可能好幾個帳號能存取ERP的Server,但如果不加入AD,則只有ERP本機的管理者可以存取
偏偏AD環境,很多時候都需要管理者帳號,當哪天中毒時,不加入AD,說不定ERP的主機能逃過一劫
所以加不加入AD,還是取決需不需要
其實還有一種折衷方法,就是加入AD,然後將本機管理者群組(Administrators)中的Domain Admin移除,日後仍使用本機管理者(Administrator)登入,如此可以設定使用者的權限,又能限制住可以存取ERP的使用者
至於BPM一般是設定與AD整合,所以就不用想太多

0
打雜工
iT邦新手 2 級 ‧ 2021-07-25 11:17:01

AD你熟嗎?加入AD一定有加入的好處,但當你不熟AD(好處可能也不會使用),我認為你承受的風險會大於好處。

0
noah
iT邦新手 4 級 ‧ 2021-07-29 12:00:09

我認為沒有必要一定要加入網域,尤其是AD一直是駭客攻擊的首要目標,一但AD被攻陷那就等於網域內的所有伺服器的檔案可能都會被加密,所以目前防毒及備份我是絕對不會加入域中,其他的服務按照需求規劃,有可能切分多的網域,例如:辦公及生產,我就會用兩個獨立的網域來進行管理。

我要發表回答

立即登入回答