14
« kdy: 21. 07. 2016, 23:48:44 »
Chtěl bych sem zareagovat ještě s odstupem času.
Na hlavní otázku bych tady pro budoucí generace si dovolil zanechat odpověď: I při větším množství počítačů ve firmě není nutné zavádět Active Directory.
Z názorů prakticky všech ostatních v této diskuzi to nevyplívá, ale tedy je potřeba poukázat na fakt, že ti, kteří zde odpovídají mají s AD vesmě velké zkušenosti, ale nikdy o jiné možnosti neuvažovali. Je to jako ptát se zedníků, jestli je lepší dům z cihel nebo dřevostavba.
Ti, kteří AD zavedou bývají buď ti, pro které to opravdu má smysl (školy, velké instituce, korporativistické společnosti, nebo ti co jsou zadrátovaní na Microsoftím OS, ať už obchodníchh/licenčních ohledů nebo hromadou jiného špatně navrženého SW), nebo ti, kteří zjistili, že potřebují něco jako LDAP a spolkli marketing Microsoftu.
Typicky školy využívají uživatelské stanice jako pouhý hloupý prvek v systému, desítky/stovky počítačů mají z pohledu administrátora naprosto totožný význam a vše je nejlepší řešit centrálně. Domovský adresář pak leží někde na serveru a na každém počítači uživateli najíždí stejné prostředí. Kolem toho je pak nutné vybudovat rozsáhlou administrativu, síťové vybavení, havarijní scénáře, zaměstnat několik správců, atp. V těchto případech je potřeba zvolit jaký OS se bude používat a v případě, že vyhraje Microsoft Windows (dnes skoro vždy), tak se nasazuje AD.
Potom je ale spousta případů, kde naopak AD vůbec nutné není. Dnešní menší firmy často nemají díky používání webových aplikací vytvořený vendor lock-in (závislost na dodavateli) k Microsoftu, uvědomují si široké možnosti i jiných zařízení, než je počítač s Windows (zmiňme především smartphony, tablety), takže se i na desktopu nebojí třeba PC od apple, nebo linuxu. Jejich zaměstnanci dále třeba nejsou přikovaní na jednom místě (tedy v rámci jedné LAN) a především i třeba při stovce zaměstnaců/počítačů je zde řada rozličných oddělení (desítky), která mají vždy svá specifické potřeby, takže se všechno stejně nakonec řeší jednotlivě. Věšině lidí se poskytne volnost si svůj počítač spravovat sami (instalovat programy...). Počítače nejsou anonymní, naopak každý zaměstnanec má ten svůj, který používá nejenom jako hloupý terminál, ale prostě jako počítač (třeba si tady stahuje nějaké soubory z internetu se kterými, zálohuje fotky z mobilu, a já nevím co). V této situaci může být AD (tedy LDAP + DC) nadbytečný, přinášející zbytečné komplikace.
Jak jsem psal, mnoho firem zjistí, že potřebují LDAP a tak nasazují AD. LDAP je prakticky nutné nasadit, pokud se používá větší množství nezávislých systémů a tak v každém systémů vzniká další a další seznam uživatelů, jejich hesel a oprávnění. To všechno se pak musí spravovat, dochází k redundancím a z toho plynoucím chybám a uživatelé mají spousty loginů a hesel. To umí LDAP sjednotit - jeden seznam, jedno heslo, jednou uvedená příslušnost do skupiny. Zaměstnanec přichází, odchází - pracujeme s jedním seznamem. Neznamená to ale potřebu vytvářet AD.
AD je LDAP + DC. LDAP je užitečné. DC ne vždy. Navíc DC přináší velké množství komplikací, které se snaží překrýt "výhodami", které přináší. Tyto "výhody" jsou ale vesměs jen řešení problémů, které vznikají když nasazujeme DC. Když DC nenasazujeme, tyto problémy nevzniknou. Řeč je hlavně o group policy. Dovoluji si říct, že se bez ní dá velmi dobře obejít - pak záleží jak moc bizardně máme navržené všechny možné SW a file servery ve firmě. Pokud jsme to navrhli dobře (jeden file server, SW nevyžadující akci správce počítače k aktualizaci), tak jednou počítač nastavíme a funguje.
Jak by tedy mohl vypadat klientský počítač bez DC? Není v doméně, máme zde lokální administrátorský účet (s heslem známým jen správcům), účet uživatele, který počítač používá (uživatel si účet zahesluje), na file server se dostane pod svým LDAP-účtem (na počítači s jedním uživatelem mu toto heslo můžeme uložit a přístup k datům, které vidí na file serveru si uživatel hlídá svým na svou zodpovědnost heslem do windows), do ostatního softu taktéž. To je vše.
Bez AD pak mají servery a tiskárny své pevné IP (což mi přijde dobrý nápad tak jako tak; definovány buď staticky nebo třeba na routeru, který obstarává DHCP), v místním DNSku (na routeru) jim případně můžeme (ručně) přiřadit jméno. Uživatelské stanice jsou uživatelské stanice, ne servery, takže nepotřebujeme řešit, že DNS nezná od DHCP jejich IP, atp. - prostě nikdo na uživatelské stanice nepřistupuje. U jiných zařízení, u kterých je vhodné mít buď pevnou IP nebo jejich pojmenování pak myslím davají smysl jiné VLANy a řešit to odděleně (kamery, čtečky, Voipy, odkapávače,...). Integrace DNS a DHCP v AD podle jen něco navíc pro bizardní setupy.
Na závěr dodám, že problém, který měla má firma před sebou se nakonec řeší pomocí AD (jedna windows doména; Samba4; bez DHCP). A to proto, že jsme dokázali sehnat člověka s velkými zkušenostmi s AD (správce na univerzitě), který nám s přislíbil s mnoha důležitými věcmi pomoct. Ale i tak, taková hromada předem nedefinovatelných problémů, co jsme museli a musíme řešit (především teď při procesu přecházení; a to jsou problémy, které ani zkušený AD harcovník nezná) a vidina všech těch problémů, které nepominou, ale budou s námi stále (a každé další dislokované pracoviště zase hromadu problémů přinese), z toho všeho si říkám, že jsem se nechal ukecat...