Ocena wątku:
  • 1 głosów - średnia: 4
  • 1
  • 2
  • 3
  • 4
  • 5

Domena - Active Directory /Windows

#1
Witam
jestem administratorem w urzędzie
Czy warto wejść w domenę?
Mam ok 70 userów wpiętych
Chce z jednego komputera jako admin zarządzać innymi jednostkami typu:
nadawanie praw
instalowanie programów 
zarządzanie
(te niektóre rzeczy mogę zrobić poprzez nVision agent (wiersz poleceń - dać polecenie)


Czy AD nie wpływa na bezpieczeństwo sieci, w jaki sposób?
#2
Moim zdaniem warto, zwłaszcza przy tylu komputerach.

Bezpieczeństwo


System Microsoftu jest stworzony do pracy z domenami. AD wdrożona zgodnie z zasadami jedynie podnosi bezpieczeństwo sieci, ponieważ użytkownika zakłada uprawniony admin grupy na serwerze, co blokuje możliwość różnych kombinacji.

Możliwość logowania do różnych fizycznych komputerów


Mając identyczne komputery i monitory możesz robić grupy OU i pozwalać na logowanie się różnym osobom do różnych fizycznych komputerów w obrębie OU. Gdy ktoś kogoś zastępuje, zmienia stanowisko to bez żadnych kombinacji loguje się na swoje konto i ma swój pulpit, swoje "Moje Dokumenty", konfigurację poczty i innych aplikacji, które korzystają z profilu użytkownika.
Oczywiście jest pełna kontrola kto na którym komputerze może się logować.

Codzienna automatyczna kopia zapasowa dokumentów i ustawień


Ustawiając profile zdalne profil jest synchronizowany z serwerem, wykonuje się wierna kopia profilu użytkownika. W przypadku awarii komputera mówisz, proszę się wylogować i zalogować do tego komputera obok i user ma absolutnie wszystko tak samo jak u siebie (tzn. cały profil użytkownika). Jedynie w ustawieniach trzeba danemu użytkownikowi przypisać nowy komputer.

Centralne zarządzanie


Centralne zarządzanie nie musi być z jednego komputera. Logujesz się do domeny jako admin z dowolnej końcówki i możesz ustawiać wszystko tak jak na serwerze. Pakiet nazywa się RSAT Remote Server Administration Tool.

Nadawanie praw:


Zakładasz OU (jednostki organizacyjne np. pokoje, jakieś grupy pracowników) i przypisujesz użytkowników i komputery do tych grup. Wiele operacji możesz potem zrobić na poziome OU a nie całej sieci. Np. przy logowaniu wymusić zainstalowanie nowej wersji jakiegoś programu używając Instalatora Microsoftu msi w trybie cichym tylko dla tej grupy.

Udziały sieciowe na szywno dla użytkowników.


Przydzielasz grupie użytkowników jakie mają mieć litery dysków i za chwilę je mają nawet bez przelogowania. Co 10 minut na wszystkich komputerach aktualizuje się polityka grup a jak chcesz natychmiast żeby mieli to trzeba napisać GPUpdate.exe /force i już działa.

Instalowanie programów:


Piszesz skrypt instalujący lub aktualizujący program odpalający msi w trybie cichym. wymuszasz uruchomienie skryptu przy najbliższym uruchomieniu komputera. Programy same się przeinstalują gdy pracownicy przyjdą do pracy i włączą komputery  Smile

Zarządzanie


wiadomo, z dowolnego miejsca można zmienić każdemu hasło, prawa, dodać go do jakiejś grupy . Co kto może definujesz na poziomie tych OU - każda grupa może mieć dostęp do innych aplikacji, udziałów sieciowych, itd.

Nie wszystkiego z tego trzeba używać, ale i tak bezwzględnie ułatwia pracę adminowi. W ogóle nie ma porównania.

Wady:
1. Wszystkie komputery muszą mieć bezwzględnie wersję Windows Pro.
2. Jak chcemy profile zdalne (roaming profiles) to sprzęt, monitory cała grupa co mogą przeskakiwać z komputera na komputer musi mieć identyczne, inaczej cyrki wychodzą.
3. Trzeba mieć przy tylu userach dwa serwery DC (kontrolery domeny), licencje na serwery + CAL
4. Czasem ludzie się burzą, że chcą komputery bez logowania do domeny, jak jest praca zdalna i ktoś bardzo długo się nie loguje do domeny to nawet licencja Windowsa wygasa Smile pandemia to wykazała Wink Teraz już temat zniknął. Trzeba zorganizować logowanie do domeny przez VPN i jest ok.
Dopisuję jeszcze piątą wadę - musi być dobra sieć, w miarę szybka ale też dająca się konfigurować. Serwer domeny powinien być serwerem DHCP i DNS dla WSZYSTKICH komputerów w domenie. Sieć może być podzielona na segmenty z różnymi adresacjami, ale routery muszą przepuszczać DHCP, DNS, trochę zabawy jest żeby to dobrze działało.
Większość ludzi tak naprawdę nie chce prawdy. Pragną jedynie ciągłego upewniania się, że to, w co wierzą, jest prawdą. Madaleine Albright
#3
Dzięki

Jakie antywirus byś mi polecał
Obecnie mam Bitdefender GravityZone Busines Security
Firmą, która monitoruje serwer poleca mi Fotineta - jest to wersja szeroko stosowana w businessie (w dużych zakładach)
#4
Co do domeny to zgadam się, problem jest wtedy, gdy ludzie w delegacji chcą używać komputera i domena im w tym przeszkadza. Coś za coś jednak, zawsze mogą się zalogować przez VPN do sieci macierzystej ale pewnie nie chcą Smile Dostęp zdalny tunel jest wbudowany w Windows Serwer jest w cenie rozwiązania MS...
Poziom marudzenia z domeną jest podobny do poziomu marudzenia bez domeny gdy userzy nie mają hasła administratora. Narzekają na domenę, a po prostu chcieliby mieć admina na laptopie służbowym Smile
#5
(26.07.2023 07:25 )Agenesis72 napisał(a): Dzięki

Jakie antywirus byś mi polecał
Obecnie mam  Bitdefender GravityZone Busines Security
Firmą, która monitoruje serwer poleca mi Fotineta - jest to wersja szeroko stosowana w businessie (w dużych zakładach)

Odpowiem w wątku o programach antywirusowych.
https://winforum.pl/Windows-10-Dobry-pro...#pid114230
Większość ludzi tak naprawdę nie chce prawdy. Pragną jedynie ciągłego upewniania się, że to, w co wierzą, jest prawdą. Madaleine Albright
  


Skocz do:


Użytkownicy przeglądający ten wątek:
1 gości