Active directory для 20 пользователей
 

Добрый день! Имеется ОС сервер 2008, 20 пользователей ПК. Задумался нужен ли AD
Ранее с этой ролью не сталкивался, но имею некоторое представление.
Сервер это домен (область пространства со своей иерархией и доменым именем). AD по сути это централизованное управление Компьютерами всех пользователей относящихся к домену, которая имеет свою иерархическую структуруструктуру,групповые политики. Можно дать одно задание на 100машин.
Вопросы:
1. Не пойму суть, все пользователи закреплены за определенным доменом, при вкл. пк пользователь может ввести пароль и домен чтобы попасть в рабочую среду. В рабочу среду на сервер(как в терм. доступе rdp) на раб.стол сервера или же он попадает на рабочий стол к себе на пк используя свои ресурсы железа, только учетка хранится на сервере в АД
2. Учетные записи пользователей и пк хрянятся в контейнерах на сервере?
3. Стоит ли устанавливать AD на сервер из 20машин?

обычно вопрос об AD возникает в форме "да за$$$$ло меня за каждым чихом бегать к пользователю/подключаться к нему по удалёнке, надо что-то делать!".
Если админенье такого количества компов без централизованного управления не вызывает у Вас проблем, то жесткой необходимости в AD нет.

окей,спасибо за ответ на 3-й вопрос

Нет. Сервер — это сервер. Домен — это домен.

AD — это иерархическая база данных.

Попадает «к себе» на компьютер. Учётная запись хранится в AD. Одно из преимуществ домена (даже не AD, поскольку сие появилось до появления AD) — перемещаемые (или, реже, назначенные) профили пользователей, позволяющие последним «гулять» по разным машинам и иметь при этом один и тот же профиль и набор документов, «гуляющие» вослед им.

Если полагать «контейнерами» OU AD, то — да.

Не встречал серверов из 20 машин ;). Из 20 машин бывают, например, кластера. Стоит ли заводить домен с AD? Бывает, что стоит. Бывает, что нет: иногда овчинка выделки не стоит. Мы ведь не знаем, каковы Ваши цели и задачи. Чего, например, Вы хотели бы добиться, внедряя домен вместо существующей, очевидно, рабочей группы?

Iska, Хороший ответ, сорри 3-й вопрос неправильно сформулировал) 20машин и 1 сервер.
Задачи для 20 машин простейшие. На данный момент из 20 машин 10 имеют RDP, запускают 1с, Консультант, здают налоговую и бух.отчетность через интернет, т.к удобнее иметь 1крипто про.10 не имеют учетных записей на сервере. Они хранят данные в общей сетевой папке на сервере, доступна печать на сервере.
Задумался поднять домен на сервере, т.к на многих предприятиях имеется. По принципу "у них есть,почему бы не попробовать,интерес превыше всего).

На данный момент 20машин работают без АД на сервере 2003, приобрели сервер по новее с 2008 версией, вот и задумался надо ли? Впринципе обслуживал без него, нужды особой не было. Просто единственное хотелось бы установить для ознакомления,для практики,для наработки опыта.

Есть и ознакомительные версии сервера. Используйте виртуальную машину. Пробовать «на живую» может выйти себе дороже.

Iska, Мы недавно разворачивали домен в торгующей организации по причине обеспечения информационной безопасности. У них всего 10 компьютеров и сервер с роутером. Поэтому вопрос о развертывании AD надо принимать из задач поставленных руководством. Если сам админ, то тебе домен будет в помощь.

Не совсем понятно...
Попробую заново объяснить,возможно не правильно задал вопросы.
Имеем 1сервер win.2008, 20 пользователей,из них 10 пользователи удаленного рабочего стола,остальные 10 пользуются общими файлами и принтерами.

ВОПРОС: Если поставить AD, и назначить в свойствах каждой машине что он является членом моего домена задать пароль, то думаю что при включении пользователей пк, мы увидим вход в домен со своей учеткой.
Т.е пользователи удаленного рабочего стола (10) Должны сначала включить свой пк (здесь применяются правила АД со своим лесом), а потом зайти на удаленный рабочий стол сервака (rdp) здесь групповая политика применяется. Так??? Или АД действует везде и на пк пользователе, и на удаленном рабочем столе? Не пойму связь

pay666, Что значит "удаленный рабочий стол"?
Поясню.
У нас есть основная промплощадка за городом, там же основной ЦОД под бухгалтерию, и т.д.
Есть офис в Москве, и часть пользователей работает на удаленных рабочих столах.
Т.е. они цепляются к терминальному серверу, который расположен в ЦОД (быстрый доступ к 1С и SQL), который так же входит в наш домен. Всё территориально и логически при нас, всё в едином AD.

Авторизация пользователей:
Компьютер: учетка AD, запуск терминального клиента : та же учетка, из того же AD. (Автоматический вход и прочие плюшки пока не в счет)
Теперь еще раз повторю вопрос.
Что значит "удаленный рабочий стол"? Какие у него характеристики?

lxa85, Имею ввиду.
1.Пк включает пользователь и попадает локально к себе на пк используя ресурсы своего пк, далее он через ярлык удаленного рабочего стола попадает на сервер (это и называется удаленый раб.стол)
Отсюда и вопрос: АД действует везде и на пк пользователе, и на удаленном рабочем столе? Или же АД это при вкл. пк пользователю предоставляется возможность попасть сразу на удаленный раб стол присоеденившись к домену. Т.е не обязательно покупать лицензию ОЕМ или BOX локально на пк, а сразу покупать терминальную лицуху.

pay666, вы мне кажется подзапутались в понятиях.
AD - это просто некоторая логическая надстройка над существующей системой. Всё.
Если надо, чтобы компьютер входил в локальную доменную структуру (имеется в виду AD), получал групповые политики (т.е. мог централизованно управляться), то лицензия на локальную ОС + лицензия на терминал. Беру из расчёта, что все ПО от MS.

Пример 1.
Я из домена AD1 подключаюсь к терминалу в AD2.
Локальный я \\AD1\lxa85, на терминале \\AD2\lxa85
Это две разные(!) учетные записи, с различными правами и т.д.

Пример 2.
Я с терминальным сервером нахожусь в едином домене localdomain
Локальный я \\localdomain\lxa85, на терминале \\localdomain\lxa85
Это одна единственная учетная запись в домене localdomain

Прикрепил картинку.

Кроме того, в отдельных случаях, возможно регистрация с учетной запись дружественного домена. И в общем случае, регистрация по локальной учетке \\localhost\lxa85
Политики (предписание поведения системы) могут применяться как к компьютеру, так и к пользователю.

Я бы поставил вопрос иначе: есть ли причины не использовать домен в сети из 20 ПК и сервера?

Покупать целый сервер с серверной ОС и пачкой лицензий для сети из нескольких компьютеров явно не стоит.
Однако если сервер уже есть, то причин использовать домен - множество, даже если самих ПК в сети мало.

Если ПК введён в домен (то есть принадлежит не "рабочей группе" с произвольным именем, а домену), то оператор ПК может работать в учётной записи пользователя домена. При этом он автоматически получает доступ ко всем сетевым ресурсам и службам домена, для которых ему заданы разрешения. Кстати да, если установить в "автозагрузку" подключение к серверу терминалов, то это подключение будет произведено автоматически даже без запроса пароля.

Если же ПК не в домене, а в "рабочей группе", то на нём доступны только учётные записи локальных пользователей компьютера. Однако оператор, работая через учётную запись локального пользователя, всё равно может подключиться к сетевому ресурсу или к службе домена, явно указав логин и пароль учётной записи пользователя домена (как DOMAIN\USER).

Это просто какой-то ад :)
Если ПК введён в домен, то на данный ПК распространяются групповые политики (автоматическая установка программ, автоматическое задание параметров программ, блокировка возможности изменения параметров, которые не стоит изменять, и запуска программ, которые не стоит запускать). Также действе групповых политик распространяется на пользователей домена.
Если оператор работает на ПК через учётную запись пользователя домена, то он работает по одним и тем же правилам и на локальном ПК, и на сервере терминалов (при этом политики сервера терминалов могут отличаться от политик компьютера, однако политики пользователя будут одинаковы). У него будет один и тот же набор личных документов, настроек, прав доступа к сетевым ресурсам и т.д.

Если же оператор работает на ПК через учётную запись локального пользователя, то настройки и документы этого локального пользователя будут отличаться от настроек и документов совсем другого доменного пользователя, работающего на сервере терминалов.

Для ПК, работающего под управлением Windows, лицензия на Windows требуется всегда. А сверху нужно дополнительно покупать лицензии клиентского доступа на Windows Server (если ПК находится в сети с сервером) и лицензии клиентского доступа сервера терминалов (если для работы используется "удалённый рабочий стол").

Лицензия на Windows для ПК не требуется, только если ПК работает под другой операционной системой (Linux, FreeBSD и т.д.), предоставляющей оператору возможности "удалённого рабочего стола". При этом лицензии Windows Server CAL и Windows Server RDP CAL всё равно необходимы, потому что Linux всё равно обращается к соответствующим службам сервера Windows.