23 октября 2017

Зачем организации нужен домен?


Зачем каждой организации обязательно нужен свой домен и почему нельзя обойтись персональными аккаунтами Google или Microsoft, ведь и с ними "всё работает"?

Каждый современный пользователь компьютера должен обладать минимальными базовыми знаниями о его функционировании, чтобы, как минимум, смочь подключиться к сети своей организации, где системный администратор поможет решить ему все остальные задачи.

Тем не менее, в последнее время, одновременно с увеличением количества доступных и удобных ИТ сервисов, угрожающе много пользователей стали показывать свою полную неосведомлённость о самых базовых понятиях ИТ отрасли. В частности, по моему субъективному мнению, многие пользователи не до конца понимают, что делает и зачем вообще нужен домен для их организации (предприятия, ВУЗа, школы и т.п.), если в облачных сервисах Google и Microsoft есть бесплатные персональные аккаунты с "такими же" приложениями.

Формальное определение домена

Домен - это выделенная область сети, являющаяся частью вышестоящей иерархии доменов, представляющая собой единицу административной автономии.

Неформальное определение домена

Домен - это совокупность из службы каталога, содержащей сведения обо всех объектах ИТ инфраструктуры предприятия (записи о всех зарегистрированных в домене пользователях, компьютерах и сервисах), а также доменных инструментов и политик, позволяющих администраторам домена полностью управлять состоянием всех объектов из службы каталога.

Таким образом, задача домена организации - обеспечить полный централизованный конроль, безопасность данных и управление любыми объектами службы каталога организации, включая настройки всех пользователей, компьютеров и программ с использованием консоли системного администратора и доменных политик.

Преимущества использования единого домена в организации

Если в организации нет общего домена, а есть только набор персональных аккаунтов, то никакого централизованного контроля и управления соответственно быть просто не может и сеть организации представляет собой полный хаос, где каждый пользователь сам по себе и никакая безопасность, не говоря уже какой-либо централизованной политике по хранению и доступу к персональным и коммерческим данным не обеспечивается. 

Более того, при отсутствии домена невозможно обеспечить централизованную установку программ и часто, даже технически невозможно взаимодействие нескольких пользователей с одной программой одновременно. Хотя персональные и доменные программы часто делают с полностью похожим интерфейсом, чтобы не заставлять пользователей переучиваться, они тем не менее отличаются функционально, по части обеспечения безопасности и возможности коллективной работы.

Например, персональные Google Docs, Google Sheets и Google Slides всегда создают документы в персональном аккаунте пользователя, который их может всегда удалить, предоставить третьим лицам или заблокировать от других пользователей. В тоже время  Google Docs, Google Sheets и Google Slides в составе домена G Suite могут создавать документы в доменном аккаунте (с помощью Team Drive), ограничивать доступ к нему третьих лиц с помощью политик G Suite и обеспечивать сохранность документа вечно (с помощью Google Vault), независимо от воли создателя документа и любого из его редакторов.

Краткая история появления доменов

Для того, чтобы понять суть доменов, полезно проследить историю их появления, основные вехи которой изложены ниже в хронологическом порядке:

1971 - Появление первой работающей версии ОС UNIX. 

Поскольку в то время, компьютеры представляли собой большой набор огромных стоек (Mainframe), часто занимающих целую комнату и стоили миллионы долларов, о персональной работе на них говорить не приходилось. ОС UNIX как раз и была создана для того, чтобы разделить множество пользователей на ОДНОМ Mainframe компьютере. Администратор UNIX (по совместительству он же системный администратор всего предприятия, т.к. на предприятии мог быть только один компьютер), мог из своей удалённой консоли добавлять и удалять на компьютере персональные аккаунты других пользователей, выделять им место на общем диске и давать доступ к программам. При этом, остальные пользователи работали с этим одним компьютером, используя простейшие неуправляемые удалённые терминалы, которые не требовали отдельной поддержки, т.к. их можно было только включить или выключить. В результате, администратор UNIX фактически управлял всеми ИТ ресурсами предприятия удалённо, со своего терминала, и все пользователи работали только в рамках его настроек.

1981 - Появление первого массового персонального компьютера IBM PC. 

Поскольку купить Mainframe, могли позволить себе только крупные организации, их распространение было сильно ограниченным. Персональный компьютер, меж тем, стал доступен не только малым организациям, но даже отдельным частным лицам. Буквально сразу после своего появления персональный компьютер IBM PC обзавёлся сетевым адаптером, так что их можно было включить в локальную сеть, однако ввиду того, что в MS-DOS никаких серверных возможностей не было придусмотрено в принципе, использовать совместно два и более персональных компьютера для чего-то более, чем копирование файла с одного на другой не было никакой возможности, поэтому дорогие Mainframe для бизнеса продолжили своё успешное существование ещё в течение многих лет.

1983 - Появление ОС Novell Netware

Ввиду бурного развития персональных компьютеров, с подключением к локальной сети, появилась необходимость в сетевой ОС, которой и явилась Novell Netware. Однако, поскольку ОС от Microsoft и прочих производителей на клиенте никак не позволяли ими управлять удалённо, Novell Netware сосредоточилась на поддержке общего файлового сервиса на сервере и общего сервиса печати, т.е. фактически скопировала на сервер для ПК основную функциональность терминала UNIX на тот момент. Для этого, на Novell Netware был реализован первый прототип службы каталога, который содержал записи пользователей и их права доступа на файлы и принтеры. Сами персональные компьютеры меж тем требовали ручной установки всех программ и клиента Netware, а также настройки сети для работы с серверами предприятия, что привело к повсеместному созданию служб ИТ поддержки на предприятиях состоящих из двух уровней (на верхнем уровне - системный администратор каталога Novell Netware, а на нижнем - технический персонал для поддержки пользователей).

1993 - Появление Netware Directory Services

Несмотря на астрономический рост числа персональных компьютеров, функциональность ОС Microsoft на них, с точки зрения администрирования, за десять лет никак не менялась. Для того, чтобы решить проблему "неуправляемого клиента", коим являлась ОС MS-DOS и её внешняя графическая оболочка Windows 3.1  на то время, компания Netware выпустила наконец в широкие массы службу каталога, а также инструменты и политики управления, которые можно назвать полноценным доменом. Служба каталога Netware Directory Services, а также совместимый с ней клиент для MS-DOS, позволяли централизованно управлять настройками пользователей, как для входящих в комплект сетевых сервисов, типа электронной почты GroupWise, так и даже для некоторых десктопных приложений, что фактически явилось прообразом доменных политик пользователя.

2001- Появление Windows XP, совместимой с Microsoft Active Directory

В ответ на выход Novell Directory Srvices компания Microsoft выпустила последовательно: 
1) В 1994 году SMS в качестве управляемого клиента, но он был в то время настолько плох, что про него почти никто не слышал (и уж точно не слышал ничего хорошего)
2) В 1996 году ОС Windows NT с иерархической службой каталога и пользовательским политиками, которая была крайне нестабильной и имела абсолютно кривой клиент в виде ОС Windows NT Workstation, который не поддерживал большинство программ для MS-DOS
3) В 2000 году Microsoft выпустил полноценную распределённую службу каталога Active Directory и клиента в виде ОС Microsoft Windows 2000 Professional к ней, который был уже чуть более прямой, чем Windows NT Workstation, но всё ещё не поддерживал никаких графических приложений для DirectX.
И наконец, лишь в 2001 году (через двадцать лет после появления персонального компьютера) вышла легендарная ОС Windows XP, которая впервые в мире персональных компьютеров на базе ОС Microsoft, с одной стороны могла полностью управляться компьютерными доменными политиками из Microsoft Active Directory, а с другой стороны поддерживала все типы приложений Microsoft, начиная от MS-DOS и далее по всей линейке десктопных ОС от этой компании. 

В результате, связка клиента (Windows XP) с доменом (Microsoft Active Directory) стала доминирующей на рынке на десять лет во всех смыслах, а в связи с тем, что компьютерная грамотность в России начала появляться у большинства только с 2000-х годов, то для многих понятие домен и Active Directory просто стали синонимичными. 

2010 - Появление Chrome OS, совместимой с доменными политиками в Google Apps

В то время, как Microsoft захватил корпоративный рынок и почевал на лаврах, последовательно разоряя всех конкурентов, начиная от Novell и заканчивая всех сторонников UNIX, в недрах молодой, но очень амбициозной компании Google, появились последовательно:
1) В 2006 году Google Apps со службой каталога поддерживающей только записи о пользователях
2) В 2007 году ОС Android, сначала как "неуправляемый клиент" для смартфонов
3) В 2009 году Chrome OS, как управляемый доменом клиент для десктопов и смартфонов

И, наконец, только в 2010 году в Google Apps официально появилась служба каталога и доменные политики для пользователей и компьютеров (Chrome OS), которые по функциональности сразу стали в один ряд с Micrsooft Active Directory.

Microsoft поначалу предпочла проигнорировать этот факт, ведь доля Chrome OS на рынке в 2010 году была крайне мала относительно ОС Windows, хотя и стала быстро расти.

Наконец, в 2012 году Google Apps получили доменные политики для управления смартфонами на Android и iOS, чего у Microsoft Active Directory нет до сих пор (для управления смартфонами на платформе Microsoft необходимо использовать дополнительное семейство приложений Microsoft System Center за очень приличные деньги).

Таким образом, Google Apps бесплатно стала более функциональней для системного администратора, чем Microsoft Active Directory, на большинстве потенциальных клиентских ОС (количество смартфонов уже давно в разы превышает количество ПК).

Здесь Microsoft уже сильно разозлился, но не нашёл ничего лучшего, чем развязать компанию чёрного PR против Chromebook (основного клиента домена Google Apps). Google тем временем, лишь продолжил улучшать свой домен, переименовав его в G Suite Directory.

В настоящее время, функциональность доменов Microsoft Active Directory и G Suite Directory стала настолько продвинутой с точки зрения управления ПК, что прямые сравнения в общем потеряли всякий смысл, ввиду наличия сотен разных доменных политик. Сравнение можно проводить лишь для узких задач и на предмет того, какой домен лучше и проще с точки зрения системного администратора справляется с той или иной задачей (от блокировки для школьников недетского контента на YouTube, до автоматической настройки определённых программ).

При этом, домен G Suite Directory может управлять своими доменными политиками как смартфонами Android и iOS, так и ноутбуками и ПК на Chrome OS, macOS и Windows (при наличии на двух последних браузера Google Chrome), в то время как домен Microsoft Active Directory может управлять только компьютерами на базе Windows и Chrome OS (при наличии корпоративной лицензии на управление для последнего).

В общем, если вы даже не системный администратор, то должны понимать, что домен необходим организации для создания безопасной среды для работы с данными предприятия и централизованного управления всеми компьютерными устройствами. По этой причине, если вдруг ваши коллеги предлагают вам завести персональный аккаунт для работы, направьте их почитать эту статью.

В заключение

Приложения для персональных аккаунтов уже много лет, как не предназначены для использования внутри организаций и никаким образом в будущем не получат функциональность, необходимую для обеспечения безопасности совместной работы, так как разделение на доменные и персональные приложения, кроме чисто технических соображений, также специально поддерживается самими производителями ПО для разделения рынка по ценовым категориям.

В тоже время, созданный проблемой "неуправляемого клиента" почти тридцать лет назад рынок низко квалифицированных сотрудников технической поддержки себя полностью исчерпал, так как после грамотного внедрения домена на предприятии (не важно G Suite Directory или Microsoft Active Directory) бегать по рабочим местам клиентов для их настройки более не требуется (один грамотный системный администратор может легко управлять неограниченным числом пользоватлей и устройств в домене с помощью доменных политик). 

В виду вышеизложенного, предприятиям и самим пользователям, которые хотят на работе нормально работать, а не бороться постоянно с проблемами с настройками своего рабочего компьютера, планшета или смартфона, просто необходимо внедрить у себя корпоративный домен G Suite Directory или Microsoft Active Directory, а не выслушивать в очередной раз от низко квалифицированных администраторов, которые просто боятся сокращения, рекомендации по работе в персональных аккаунтах. 
Отправить комментарий