Dismissione server Active Directory

[cloda02]

Buongiorno a tutti,

devo dismettere un server DC con installato Active directory.
Abbiamo circa 20 pc che effettuano l'accesso a Windows con utenti di dominio configurati su questo server.

Ora dobbiamo dismettere questo server.

Ma è un proprio necessaria la migrazione degli utenti dei singoli PC da utente di dominio ad utente locale?

Sarebbe un lavoro non da poco e sinceramente ho paura di avere più problemi così che spegnendo semplicemente il DC. Non ho però esperienza nel lungo periodo, e quindi vi chiedo se posso avere problemi sui singoli pc dopo un periodo più o meno lungo di assenza del DC.

grazie mille

[Kaya]

Si, a lungo andare avrai problemi, specialmente quando scadranno password varie e non avrai più sincronia.

La strada è "semplice":
Su ogni PC crei un utente locale su quale poi copi tutti i dati dell'utente "di dominio".
Poi verifichi di poterci accedere.
Infine rimuovi la macchina dal dominio.

[cloda02]

Quote:

Originariamente inviato da Kaya

Si, a lungo andare avrai problemi, specialmente quando scadranno password varie e non avrai più sincronia.

La strada è "semplice":
Su ogni PC crei un utente locale su quale poi copi tutti i dati dell'utente "di dominio".
Poi verifichi di poterci accedere.
Infine rimuovi la macchina dal dominio.

Grazie Kaya.

Un'altra soluzione che ho trovato è quella di rendere il NAS domain controller. Ora la mia ipotesi sarebbe:

1) Attivo il DC sul NAS utilizzando lo stesso nome di dominio.
2) Creo gli stessi utenti sul DC del NAS
2) Spengo l'attuale server DC

Facendo in questo modo l'utenza dei singoli PC rimane del tutto identica? Ho semplicemente trasferito la gestione del DC?

Considera che noi non utilizziamo policy o file condivisi su cui gestire i permessi. Semplicemente usiamo il DC per l'accesso a Windows.
Gli utenti posso anche inserirli a mano sul NAS senza problemi. L'importante è che non vada ad impattare nulla sul pc degli utenti.

[Dane]

Quote:

Originariamente inviato da cloda02

Grazie Kaya.

Un'altra soluzione che ho trovato è quella di rendere il NAS domain controller. Ora la mia ipotesi sarebbe:

1) Attivo il DC sul NAS utilizzando lo stesso nome di dominio.
2) Creo gli stessi utenti sul DC del NAS
2) Spengo l'attuale server DC

Facendo in questo modo l'utenza dei singoli PC rimane del tutto identica? Ho semplicemente trasferito la gestione del DC?

Considera che noi non utilizziamo policy o file condivisi su cui gestire i permessi. Semplicemente usiamo il DC per l'accesso a Windows.
Gli utenti posso anche inserirli a mano sul NAS senza problemi. L'importante è che non vada ad impattare nulla sul pc degli utenti.

Dio ce ne scampi dai NAS. (se non è evidente, sono molto critico nei loro confronti)
Perchè non vuoi un server windows?
E poi.... con 20 utenti usi il DC solo come server di autenticazione. Tutto il resto dove lo tienete?


Per 20 utenti un microserver con ssd + windows server nel 99% dei casi è una spada.


Ad ogni modo: dovresti fare il promoto a DC di un nuovo DC,
assicurarti che tutto venga migrato/replicato/copiato. Poi fai il demote del vecchio DC e alla fine lo spegni.
Se "ricrei" gli utenti su un nuovo DC (o nas che sia) viene creato un nuovo SID delle identità, e tutto quello che è "precedente" non lo riconoscerà.

[cloda02]

Quote:

Originariamente inviato da Dane

Dio ce ne scampi dai NAS. (se non è evidente, sono molto critico nei loro confronti)
Perchè non vuoi un server windows?
E poi.... con 20 utenti usi il DC solo come server di autenticazione. Tutto il resto dove lo tienete?

Abbiamo passato gestione di mail e file condivisi su google. Ma va bè quello ormai è fatto ed è sicuramente off-topic. Grazie per consiglio microserver, è un'opzione.

Quote:

Originariamente inviato da Dane

Ad ogni modo: dovresti fare il promoto a DC di un nuovo DC,
assicurarti che tutto venga migrato/replicato/copiato. Poi fai il demote del vecchio DC e alla fine lo spegni.
Se "ricrei" gli utenti su un nuovo DC (o nas che sia) viene creato un nuovo SID delle identità, e tutto quello che è "precedente" non lo riconoscerà.

Chiaro. Questa "ricreazione" degli utenti la evito quindi.

Per questa migrazione degli utenti da vecchio DC a nuovo, se uso un microserver con Windows Server è un'operazione semplice vero?

Grazie!

[Dane]

Quote:

Originariamente inviato da cloda02

Abbiamo passato gestione di mail e file condivisi su google. Ma va bè quello ormai è fatto ed è sicuramente off-topic. Grazie per consiglio microserver, è un'opzione.



Chiaro. Questa "ricreazione" degli utenti la evito quindi.

Per questa migrazione degli utenti da vecchio DC a nuovo, se uso un microserver con Windows Server è un'operazione semplice vero?

Grazie!

Aspetta, torniamo indietro. Se la strategia "globale" era di avere tutto su cloud diciamo che "non va bene" se hai i server di autenticazione in casa - (non ha senso).
A questo punto ti direi di puntare a togliere del tutto il dominio.

Io ho visto usare questo programma (a pagamento) migrare in maniera fantastica i profili utenti da un dominio all'altro.
Forse vale la pena fare una prova per migrare su profili locali ;-)
https://www.forensit.com/domain-migration.html

EDIT: Non conosco GCP, ma magari esiste qualcosa che ti consente di migrare le utenze di AD su GCP.

[cloda02]

Quote:

Originariamente inviato da Dane

Aspetta, torniamo indietro. Se la strategia "globale" era di avere tutto su cloud diciamo che "non va bene" se hai i server di autenticazione in casa - (non ha senso).
A questo punto ti direi di puntare a togliere del tutto il dominio.

Esatto sto puntando a quello. Tenere in piedi qualcosa in locale solo per AD non mi piace come idea. Ovviamente considerando l'uso che facciamo noi di AD (solo autenticazione).

Quote:

Originariamente inviato da Dane

Io ho visto usare questo programma (a pagamento) migrare in maniera fantastica i profili utenti da un dominio all'altro.
Forse vale la pena fare una prova per migrare su profili locali ;-)
https://www.forensit.com/domain-migration.html

Grazie. Lo provo sicuramente per capire l'impatto.

[lemming]

Quote:

Originariamente inviato da cloda02

Esatto sto puntando a quello. Tenere in piedi qualcosa in locale solo per AD non mi piace come idea. Ovviamente considerando l'uso che facciamo noi di AD (solo autenticazione).



Grazie. Lo provo sicuramente per capire l'impatto.

Le funzionalità aggiuntive come GPO a livello dominio possono essere rimpiazzate più facilmente, specialmente se le impostazioni personalizzate sono poche.
Active Directory si usa principalmente per l'autenticazione.E' un vantaggio che spesso è sottostimato: con Linux se hai decine di server, la gestione dell'autenticazione, per esempio, è molto più complicata così come se andrai a gestire il tutto con account locali.
Un server di fascia bassa come un quad core con 8 GB di RAM è sufficiente per gestire un server con Windows Server 2019 ad un costo anche piuttosto accessibile: sui 1500-1600 euro comprensivo di licenza del sistema operativo (solo questa costa poco meno di 900 euro).

[Kaya]

Premesso che invece io sono PRO ai NAS (ovviamente solo su certe fasce) viste le premesse a questo punto a manina spostati i profili come locali (non hai tanti utenti quindi ci impieghi poco)

Se proprio vuoi, fai un test seguendo lo schema
1) Da pannello utente crei un nuovo utente locale con password
2) Fai accesso con utente locale
3) Copi quanto ti serve nella carella "users" del vecchio utente del dominio.

Se non hai problemi, vai avanti così.

[igiolo]

Quote:

Originariamente inviato da lemming

Le funzionalità aggiuntive come GPO a livello dominio possono essere rimpiazzate più facilmente, specialmente se le impostazioni personalizzate sono poche.
Active Directory si usa principalmente per l'autenticazione.E' un vantaggio che spesso è sottostimato: con Linux se hai decine di server, la gestione dell'autenticazione, per esempio, è molto più complicata così come se andrai a gestire il tutto con account locali.
Un server di fascia bassa come un quad core con 8 GB di RAM è sufficiente per gestire un server con Windows Server 2019 ad un costo anche piuttosto accessibile: sui 1500-1600 euro comprensivo di licenza del sistema operativo (solo questa costa poco meno di 900 euro).

concordo e ci metto i miei 50cent
migra il dominio su qualcosa di piccolo ed eco, o fai tutto cloud, o tieniti il DC on premise migrando il vecchio
le GPO, printserver (a parte quel problemino col printnightmare...) e gestione dei permessi valgono il biglietto

[lemming]

Quote:

Originariamente inviato da igiolo

concordo e ci metto i miei 50cent
migra il dominio su qualcosa di piccolo ed eco, o fai tutto cloud, o tieniti il DC on premise migrando il vecchio
le GPO, printserver (a parte quel problemino col printnightmare...) e gestione dei permessi valgono il biglietto

Nel mondo ideale un server dovrebbe svolgere un solo ruolo e fra l'altro sarebbe sempre meglio avere almeno 2 domain controller, ma nell'ottica di risparmio sui costi un server 4 core con 8 GB e un (doppio) disco da 500GB o 1 TB è usabile come print server, piccolo file server.
La licenza del sistema operativo è molto costosa ma potrai usare questo server fino all'uscita di scena di Windows 2019 a gennaio 2029, quindi per ben 8 anni. Ciò significa che se paghi il server 1600 euro, sono 200 euro all'anno.

[Kaya]

E allora con quel tanto fatelo migrare ad Azure e buona notte, no?

[lemming]

Probabilmente sarebbe meno costoso andare su Azure ma bisogna sapere come usare Azure. Più che altro c'è la questione della fatturazione/pagamento che non è semplice come un semplice acquisto di un server e gestione dell'ammortamento.
Dover spiegare al proprio referente contabile una fattura del cloud con mille voci, può essere un grattacapo.

[igiolo]

Quote:

Originariamente inviato da lemming

Nel mondo ideale un server dovrebbe svolgere un solo ruolo e fra l'altro sarebbe sempre meglio avere almeno 2 domain controller, ma nell'ottica di risparmio sui costi un server 4 core con 8 GB e un (doppio) disco da 500GB o 1 TB è usabile come print server, piccolo file server.
La licenza del sistema operativo è molto costosa ma potrai usare questo server fino all'uscita di scena di Windows 2019 a gennaio 2029, quindi per ben 8 anni. Ciò significa che se paghi il server 1600 euro, sono 200 euro all'anno.

A beh sicuro...qui da me ho 3 dc , di cui uno geografico...
una OEM da battaglia la porti via a poche centinaia di euro
io per piccolissime realtà ho utilizzato licenze usate, tipo vendosoft ecc
trovato molto bene