Нужен ли мне Active Directory?
В комментариях читатели попросили разобрать отдельно этот вопрос, когда и как следует понять, что одноранговая структура себя изжила и пора внедрять Active Directory или не пора…
Вопрос непростой и при его рассмотрении следует учитывать ряд аспектов, главные из которых мы разберем.
1️⃣ Экономический. Лицензирование Windows Server, начиная с выпуска 2016 предусматривает новую модель лицензирования, согласно ей вы должны лицензировать все физические ядра сервера, при этом минимальное количество лицензий на процессор – 8, на физический хост – 16.
Даже если у вас 1 процессор и 6 физических ядер вы все равно должны лицензировать 16. То же самое касается и виртуальных машин, допустим у вас Windows Server запушен на Proxmox и ему выделено скромных 2 ядра.
Сэкономили? Не тут-то было, по условиям лицензии вы обязаны пролицензировать все ядра хоста виртуализации, даже если он работает под ОС отличной от Windows. Т.е. в любом случае это от 16 лицензий на ядро и выше.
Если делать все по уму, т.е. два контроллера AD на разных физических узлах – это минимум две лицензии на 16 ядер, также не забываем про CAL для каждого клиента, который использует сервисы Windows прямо или опосредованно.
2️⃣ Поддержка со стороны ПО. У вас в эксплуатации может быть совершенно разное ПО, с разными свойствами и возможностями интеграции. После чего вам нужно изучить насколько оно совместимо c AD.
Как минимум, оно должно поддерживать сквозную аутентификацию и авторизацию. И эти два термина путать не в коем случае нельзя.
Аутентификация – процесс установления личности пользователя, которая указывает на то, что он действительно тот, за которого себя выдает. И не более.
Авторизация – проверка прав доступа аутентифицированного пользователя к некоторому ресурсу. Т.е. на этапе аутентификации мы установили, что это действительно Иванов, а на этапе авторизации мы проверяем, имеет ли Иванов доступ к запрашиваемому ресурсу.
Active Directory, как и любая другая служба каталогов решает в первую очередь вопрос Single Sign-On (SSO, единый вход), т.е. пользователь один раз вводит пароль при входе в учетную запись и получает доступ везде, куда у него есть права.
Это позволяет избежать отдельных списков доступа и набора учетных записей для каждой службы, но при этом все используемые вами службы должны поддерживать вход через домен AD.
Где-то приложения могут поддерживать только сквозную аутентификацию и вам все равно придется вести отдельные списки доступа на уровне приложения.
3️⃣ Централизация администрирования. Третий краеугольный столп AD – групповые политики, которые позволяют централизованно настраивать операционную систему и ПО. Здесь мы тоже исходим из принципа целесообразности.
Как активно мы используем GPO? Какое количество политик используем? Как часто изменяем и добавляем новые? Какой выигрыш по времени мы от этого всего имеем?
Если наше ПО не имеет возможности работать с GPO, то в чем смысл применения данной технологии? Все равно нам нужно настраивать каждую рабочую станцию руками.
Убрать из работы рутину? А сколько ее там? Может можно переложить эту работу на скрипты или выполнить вместе с настройкой производственного ПО.
4️⃣ И четвертое, не столь очевидное – квалификация персонала. AD более требовательна к квалификации обслуживающих специалистов, так как централизация это и возможность быстро и просто настроить сеть, и возможность также быстро и просто все уронить.
И выиграв на выполнении некоторых административных задач вы проиграете на стоимости обслуживающего персонала. А в наше время еще надо смотреть на возможные перспективы развития и импортозамещения и только после этого делать выбор в пользу проприетарных технологий.
