Отказ от доменной структуры для сети с большим кол-вом ПК
 

Доброго времени суток!
Понимаю, что рискую разжечь холивар, но вопрос крайне важный.
Понимаю, что споров на данную тематику море (сам просмотрел с пару десятков статей и споров на всевозможных форумах), но конкретных ответов не нашел.
Итак.
Попросили по знакомству проанализировать IT-инфраструктуру предприятия в связи с уходом сисадмина и его крайним нежеланием добровольно отдавать все "явки и пароли".
Вобщем, сетка из 20 ПК с доменом. Больше, увидеть за 15 минут беглого осмотра (сколько удалось выделить), не удалось. Скорее всего, пароли-явки, с сисадмина получат. Встал вопрос, что делать дальше. Есть сильное желание избавиться, на фиг, от домена и сделать нормальную рабочую группу. Ибо из плюсов домена вижу только большую управляемость с точки зрения администрирования учеток юзеров и групповых политик. Из минусов - был опыт реанимации сдохшего контроллера домена в условиях ограниченного финансирования (Больше не хочу!) + напрягают вопросы поставщиков софта (а есть ли у вас домен?), как бы намекающие на то, что при наличии домена есть некоторые особенности установки и эксплуатации. Пресловутое разграничение прав юзеров там, на хрен, не нужно.
Один аргумент, который особо нигде не рассмотрен - это упрощенная возможность, при наличии домена, админить сетку удаленно. Буду очень и очень благодарен, если кто-нибудь проконсультирует по данному вопросу.
Добавлю. Сам работаю в конторе с сеткой из 80 ПК (включая сервера). С самого начала (уже лет 16) рабочая группа. Все 16 лет полет нормальный.
Проблемы, которые возникали и возникают можно уложить в 2 пункта:
1. Косяки в системном ПО (слетели дрова, накрылась ОСь и т.п.) на станциях и серверах
2. Косяки в железе там же
Очень хочется понять какой выигрыш был бы при наличии домена.

Заранее благодарен.
С уважением.

vlv, неправильно ты, дядя Фёдор, бутерброд ешь не то, аполитично рассуждаешь, понимаешь опять не то, Вы неправильно ставите вопрос, коллега: «Что я потеряю, если откажусь от доменной структуры?». Я лично не знаю ни одного аргумента за отказ от доменной структуры, кроме финансовых затрат на сервер и клиентские лицензии.

Цитата:

Цитата vlv Добавлю. Сам работаю в конторе с сеткой из 80 ПК (включая сервера). С самого начала (уже лет 16) рабочая группа. Все 16 лет полет нормальный. »

В сказки не верю.

vlv, эт смотря какие задачи перед Вами стоят.
Можно и в группе работать, а можно и в домене - на практике встречаются и такие и другие варианты. Например, в Моем случае - некоторые образовательные организации, которые не заморачиваются администрированием работают в рабочей группе с DNS, DHCP, SAMBA и KSC, а кто-то с тем же самым + AD. Во втором случае плюшек больше.

Про проблемы, с которыми я сталкивался - описал выше. Ну, вот так работаем.
Есть возможность избежать этих проблем при наличии домена?
Согласен, одна из причин нормального - контингент пользователей, которые, максимум, что могут сделать - посерфить инет. Поскольку, например, термин ip-адрес вызывает у них широко раскрытые глаза. Это я к тому, что у нас, в принципе, не работают те, кто может случайно или нарочно что-то серьезно зарубить.

У части юзеров - основная работа в EPR системе.
Разграничения прав не требуется. Доступ к принтерам и пр. регламентироваться не должен.

Меня варианты построения сетки интересуют с точки зрения возможности удаленного решения (причем, удаленного, не только из внутренней сети) проблем возникающих на локальных компах (драйвера, установка софта и т.п.)

Почти в точку. Дело в том. что на данном предприятии с лицензированием беда. Руководство сильно опасается, что обиженный сисадмин может стукануть на эту тему, куда следует. Поэтому надо все срочно лицензировать. А, поскольку, там на локальных компах сплошь 32-битная семерка, которой сейчас уже не найти, приобретать придется 10-ку. И переставлять на всех локальных компах и, что-то мне подсказывает, что на серваках, та же песня (только там 2008). Т.е. перестановка вероятнее всего потребуется и на серваках. А это значит создание всей структуры сети заново, причем, в кратчайшие сроки. Посему, мне надо четко понимать, заниматься ли танцем с бубнами с доменами или быстро настроить рабочую группу.

С уважением

Вряд ли - пойдёт, как соучастник. И даже за "чиста сердечное" получит условный срок и судимость.
Однако лицензировать надо в любом случае.

При покупке корпоративных лицензий можно будет использовать старые системы, как downgrade. Это касается и серверов. Так что переустановка систем может потребоваться только в случае использования "зверей" и других криво ломаных сборок.

Опять в домене достаточно один раз правильно настроить групповые политики, и можно будет установить всё нужное ПО на любое количество компьютеров.


При условии хоть сколько-либо достаточного финансирования для избежания подобного опыта используется второй контроллер.

Кстати, поделитесь опытом восстановления доступа к сетевым папкам у 80 пользователей при отказе файлового сервера.
А использование домена с DFS обеспечивает резервирование сетевых папок и репликацию серверов в автоматическом режиме. Что касается тех ресурсов, которые резервировать нежелательно (файловые базы данных и т.д.), то там достаточно изменить ссылку на исправный сервер в дереве DFS.

Цитата:

Цитата vlv Есть сильное желание избавиться, на фиг, от домена и сделать нормальную рабочую группу. »

Есть сильное желание посоветовать вашему заказчику избавиться, нафиг, от вас и обратиться к нормальному специалисту

холивар так холивар
Не вижу проблемы в использовании ПК без домена в простой сети без иерарохии. Win на любой машине с образа подымается в течение получаса со всем софтом, уже настроенная как надо в рамках местных ограничений, если таковые нужны. Много раз выводил машины из домена, оставляя, если надо, только роль TS - мне не в ломы в случае необходимости пройти поправить что-либо в пределах одного этажа на ПК, хотя из практики - менять что-либо на ВСЕХ машинах требуется в лучшем случае раз в год. Всегда наблюдаю жесткое торможение машин в домене - особенно на стадии загрузки ОС до рабочего стола - проще загнать все рабочие задачи в терминал и там всем рулить, чем заставлять юзеров работать на тормозящем ПК, конфиг которого при этом может быть вполне ничего (один из таких вариантов - i5-3xxx\8Gb). Опять же, средства типа тимвьевер никто не отменял - хочешь никуда не ходить и все делать - заведи все ПК в учетку оной программы и меняй все от и до оперативно. А если вин ложится - все равно ногами идти, что так что эдак, обсуждали уже.

ЗЫ:
это 20-то - большое?

Что тут консультировать? Берешь комп, разворачиваешь на нем любой гипервизор, на гостевой системе разворачиваешь КД (да хоть SAMBA AD DC - он бесплатен), а гостевую систему бэкапишь. КД можно развернуть на любом компе, у него системные требования маленькие.
Какие там могут быть танцы? Нет практически никакой разницы по времени как устанавливать сервер с доменом или без, но зато пользователи не будут устанавливать что попало на свои компы.
Нормальный вопрос, т.к. в home версии windows нет такой функции.
Тормозить будет если настроены перемещаемые профили. В других случаях лично я не наблюдал никакого торможения.

Цитата:

Цитата vlv Сам работаю в конторе с сеткой из 80 ПК (включая сервера). С самого начала (уже лет 16) рабочая группа. Все 16 лет полет нормальный »

И скачешь весь день как сайгак от одного компа к другому.

чаще всего так и есть, видимо настройка по-умолчанию или чье-то устоявшееся убеждение. Но всегда по факту человек, просидевший за данным ПК достаточно длительное количество времени и вдруг получивший его обратно без АД, весьма сильно удивляется тому, что его ПК "тааак быстро работает".
>
а без домена права никак не раздаются?

Проще установить домен и не заморачиваться, чем использовать всякие "костыли". Права NTFS можно ограничить легко, а групповая политика?

а что ГП? Давно ее локально отменили?

ShaddyR, отсутствие домена порождает множество проблем, в первую очередь — с безопасностью, из-за того, что все учётные записи — локальные. Разумеется, где-то можно жить и без домена, смотреть надо каждый конкретный случай с привязкой к конкретным реалиям. Например, все машины собраны в ограниченном физически пространстве, люди с машины на машину не прыгают, доступ к телу посторонних жёстко ограничен или в принципе невозможен — уже легче. В противном случае без доменной структуры будет бардак.

Iska, там, где люди прыгают бесконтрольно по машинам - вот там бардак. А в остальном как домен убережет от там, где все желают доступа к телу? Или он спасет от грузявой флешки? Чем домен без флешек безопаснее локали с ограниченными юзер-правами?

С помощью всяких запретов, которые намного проще и эффективнее настроить имея доменную структуру.
Если даже ты и загрузишься с этой флешки, то максимум "снесешь" пароль локального админа и попадешь в систему как локальный админ данного компьютера - больше никаких прав у тебя не будет.
Тем, что можно все сделать быстро (налету) и без всяких "костылей", а время - это очень важный фактор.
ShaddyR, странные ты вопросы задаешь...

да ладно?
Т.е. для 20 ПК в пределах одного этажа настроить что-либо без домена - ну никак? Или политики меняются каждые пол-часа? Еще раз и конкретно: что именно требует домена в такой ситуации, что настолько затруднительно реализовать локально?
>

Цитата:

Цитата zai странные ты вопросы задаешь... »

меня взломали, не отвечай, пож.
Или просто ответов кроме "'это все и так знают" не имеется? ;)

А что делать? Пьянству — бой! Специфика производства, например, такая может быть. Скажем, с утра человек здесь, с обеда — за полтора десятка километров, на следующий день — в третьем месте, что ещё дальше.

Домен не панацея, но позволяет управлять сетью централизованно, что опосредованно улучшает ситуацию с безопасностью.

20 машин? ну можно и без домена, домен нужен от 30+ компов. Это если нет специфических сервисов .

Iska, т.е. такой же костыль, как удаленное управление, только встроенный Микрософтом. :)