Вопрос или проблема
Я работаю в небольшой компании с ограниченной ИТ-инфраструктурой. Мы хотим объединить все компьютеры в компании в едином домене, чтобы применять групповые политики и выполнять другие функции управления. Однако у нас есть 15 офисов с 1-2 сотрудниками в каждом офисе и 10 человек в корпоративном офисе, всего 36 сотрудников. Мне не кажется целесообразным инвестировать в инфраструктуру для настройки контроллера домена с брандмауэром в каждом месте.
Исходя из моих исследований, кажется, что переход всего в облако (Azure) или использование гибридного подхода с нашим локальным сервером будет более разумным. Я прав в своих размышлениях? Есть ли более дешевый способ?
Добрый день, Джон,
Самый дешевый способ, который я нашел для настройки среды Active Directory, это использование Samba (https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller), у меня в настоящее время установлено 5 контроллеров домена в разных местах на операционной системе Slackware Linux (начинал с 2 серверов 4 года назад). Поскольку в некоторых местах у нас только 2 или 3 сотрудника, они подключаются к центральному серверу. Для аппаратного обеспечения я использовал несколько старых ПК, которые у нас были в ИТ.
Управление осуществляется через RSAT (https://wiki.samba.org/index.php/Installing_RSAT) на клиентских ПК с Windows в ИТ. Я разворачиваю групповые политики, реплицирую конфигурации и использую Bind 9 в качестве DNS-сервера, для брандмауэра мы используем iptables и соединяем все местоположения через VPN с tincd в облачной (mesh) сети.
Этот способ требует времени для настройки, поэтому, если вам нужно что-то дешевое и быстрое, я рекомендую использовать Azure Active Directory, однако вам нужно иметь стабильное соединение с серверами Microsoft.
Надеюсь, это поможет.
Ответ или решение
Вопрос о создании контроллера домена с использованием Active Directory Domain Services (AD-DS) для маленького бизнеса с несколькими филиалами требует тщательного подхода, чтобы сбалансировать затраты и функциональность. Учитывая, что в вашей компании всего 36 сотрудников, а распределение по офисам не требует полного развертывания в каждом из них, есть экономически выгодные пути решения данной задачи.
1. Использование облачных решений
Azure Active Directory (AAD) — это один из наиболее доступных способов создать централизованное управление для вашей организации. Он позволяет объединить всех сотрудников под единой доменной системой, используя минимальные архитектурные накладные расходы на аппаратное обеспечение. Однако важно отметить, что вам потребуется стабильное и быстрое интернет-соединение для обеспечения доступа к облачным сервисам Microsoft.
Преимущества Azure:
- Масштабируемость: По мере роста вашей компании вы сможете легко добавлять пользователей и сервисы.
- Меньше затрат на оборудование: Нет необходимости в покупке и обслуживании физических серверов.
- Легкость в управлении: Azure предоставляет дополнительные инструменты для управления пользователями и группами.
2. Гибридный подход
Если использование только облака не подходит, можно рассмотреть гибридный подход. Это подразумевает использование как облачного, так и локального развертывания:
- Локальный контроллер домена: Вы можете установить один контроллер домена на центральном офисе, который будет реплицироваться с Azure AD. Это обеспечит локальный доступ для сотрудников и централизованное управление.
- VPN-соединение для филиалов: Подключение удаленных офисов через VPN будет обеспечивать безопасность и доступ к ресурсу локального сервера.
Этот подход снижает затраты на облачные решения и обеспечивает вашу компанию высоким уровнем контроля над локальными ресурсами.
3. Использование Samba
Если вам нужна наиболее экономичная альтернатива, рассмотрите установка Samba как адекватный контроллер домена. Это бесплатное ПО, которое позволяет настроить сервер на базе Linux для выполнения функций AD. Вы можете использовать старое оборудование для установки Samba, что значительно снижает затраты.
Преимущества использования Samba:
- Отсутствие лицензий: Вы не будете тратить деньги на лицензионные сборы для Windows Server.
- Гибкость: Вы можете настроить сервер так, чтобы он работал только с теми функциями, которые вам нужны.
- Сообщество поддержки: Благодаря активному сообществу вы получите помощников в решении возможных проблем.
Заключение
Ваша идея о смешанном подходе к внедрению AD-DS имеет смысл, и для вашей компании, вероятно, лучший вариант. Azure предоставит централизацию и экологичность, в то время как локальный сервер обеспечит доступность и экономию ресурсов.
Также, ознакомьтесь с инсталлированием RSAT для удобного управления, а использование Bind 9 как DNS-сервера обеспечит надежность сети.
Как итог, выбор наиболее подходящего решения зависит от текущих возможностей вашей инфраструктуры и бюджета. Все предложенные варианты могут быть правильными, если вы будете учитывать ваши долгосрочные планы и потребности в технической поддержке.