作者 主題: 對外伺服器是否加入ad?  (閱讀 2424 次)

0 會員 與 1 訪客 正在閱讀本文。

吉他之繩

  • 憂鬱的高中生
  • ***
  • 文章數: 175
    • 檢視個人資料
對外伺服器是否加入ad?
« 於: 2010-03-11 16:45 »
私底下有人在聊,對外伺服器不可能加入ad的話題,這引起我的興趣

個人以為
如果,只有一個伺服器,答案應該是不用
不加入的優點是:
1.安全性高,一個網站伺服器被破了,也就是她淪陷而已,其他人還是清白的
2.釐清問題,誰的網站做的不好,誰負責

可是,當數量來到五十一百台的時候
不加入的優點依然在,但是缺點也出現了:
管理困難,每部伺服器的密碼依照安全規定必須不同,還須定期更新密碼,系統也不見得是微軟(還有linux跟sun)。當同時需要關機維護時(台電斷電或演習),即使能夠寫script管理,能否拿到最新版的密碼是個問題,誰來負責更新script裡的密碼也是個問題。

如果加入的話,至少微軟的部份還可用server operator的身分來關機(把所有相關人員加入此群組),這至少除掉70%的工作量。有人擔心其他人會因細故而關掉你負責的機器的話,只要開audit也就可以解決。
我自己是偏伺服器這邊的人,對外管理數量也不超過十台,比較沒有管一群混著不同大量系統、網站跟資料庫等等不同服務的經驗。不知道各位的實務作法是什麼?怎樣比較能夠有效率的管理同一公司或單位的大機房?