去中心化的企業應該如何使用 Active Directory?
我不知何故被提名為我家小企業的系統管理員。雖然管理這應該很容易,但我對最好的方法是什麼感到困惑。
上述業務的一個獨特方面是它非常分散——有 30 個地點,每個地點只有一台電腦。還有 5-10 名員工經常在不同地點之間移動,每個員工和分支機構都有一台公司提供的執行 Windows 10 專業版的筆記型電腦。
雖然我可以(並且已經)手動將組策略應用到每台電腦並手動安裝程序,但在對 40 台機器執行此操作並在這些相距很遠的分支之間行駛數百英里之後,它會變得很累。理想情況下,該公司將擁有集中的 Windows 身份驗證、分支機構之間的漫遊使用者配置文件和文件夾重定向、集中的組策略以及某些使用者之間共享的網路驅動器。
我認為在正常環境中執行此操作的最佳方法是在每個分支中都有一個 Active Directory 域控制器,並使用它來集中管理這些方面並提供文件共享。但是,對於小型企業來說,在頻繁變化的位置擁有如此多的專用伺服器並不經濟。事實上,這是不可能的——公司沒有固定的總部,理論上我可以執行這樣的伺服器。
似乎我唯一的解決方案是雲計算……我的第一個想法是在雲中擁有一個 AD DC(對我來說聽起來很愚蠢),並且客戶端使用 VPN 連接到它(DirectAccess 在雲由於IP的東西)。然後他們像往常一樣加入域,一切都會得到執行。
我去了Google云平台(我最熟悉的,Azure 並沒有太大的不同),配置一個 Windows 伺服器,使它成為一個 AD DC,安裝 OpenVPN 伺服器,配置路由,製作一些證書,將它們安裝在筆記型電腦上,成功加入域,一切似乎都很好(除了組策略只應用了一半,但我稍後會弄清楚)。
電子郵件也是運營不可或缺的一部分。每天的停機時間大約會損失 10,000 英鎊(13,000 美元)的收入,而且這個數字每年翻一番。我的前任沒有進行容量規劃,所以一切都非常倉促。這將需要針對 AD DS 進行身份驗證,因為員工和管理層都希望單點登錄。除非我使用第三方電子郵件服務,否則我無法在雲中發送電子郵件,但我們需要保持 100% 的可傳遞性,並且目前我們正在維護自己的 IP 聲譽。目前沒有電子郵件 SSO,電子郵件執行在具有單獨 VPS 提供程序的單獨 Linux 伺服器上(顯然不易擴展)。
此外,還存在通過高延遲連接進行 SMB 共享的問題。雖然在我使用它時這不是問題,但我知道這可能會造成問題。
那麼,**我這樣做是否正確?**這是對 Active Directory 的適當使用嗎?我們是否應該將所有內容都轉移到託管的群件產品和網路郵件中,而完全不為此煩惱?如果是這樣,那將大大降低管理層同意我的計劃的可能性。
編輯:我們正在管理自己的電子郵件,因為我們的地址比機器多得多(很多兼職員工),所以我們負擔不起按使用者付費。
我的建議是研究 Office 365。您可以購買 O365 服務,包括 Office 應用程序、Sharepoint(文件庫和儲存)、OneDrive for Business(個人文件/文件儲存)、Exchange Online、Microsoft Teams(群聊)、Skype用於商務等
這使您不必管理許可證、Office 安裝、更新,使您不必管理自己的電子郵件伺服器,並使您不必購買、安裝或管理您自己的任何基礎設施。