Если магазин Windows переносит «все» в облако, нужен ли ему Active Directory?

Отвлекаясь от этого вопроса: действительно ли мне нужен MS Active Directory? в новом направлении на 2014 год.

С учетом базовой инфраструктуры Windows:

• контроллеры домена
• Exchange 2007/2010/2013
• Sharepoint
• SQL
• Файловые серверы / серверы печати
• AD интегрированный DNS
• Устройства сторонних производителей, прошедшие аутентификацию AD (скажем, 802.1X для работы в сети и, возможно, некоторая фильтрация контента и т. Д.)
• AD / LDAP-аутентифицированные «административные» функции для ИТ-приложений / оборудования / и т. Д.
• возможно некоторые вещи KMS
• добавьте CA, если хотите
• доморощенные приложения
• Сторонние собственные приложения

Теперь давайте разберемся с этим и решим, что мы собираемся в облако. Мы заключили договор на перенос Exchange / Sharepoint / File Services в Office 365. Теперь SQL будет также размещаться на чем-то вроде Azure. Мы избавились от необходимости использовать AD-DNS и просто запускаем все через простой DNS-сервер Windows. Нам все еще нужен 802.1X и мы хотели бы использовать единый вход, если это возможно, для наших различных облачных приложений. Домашние и сторонние собственные приложения, скорее всего, останутся, но будут иметь возможность использовать внутренние пользовательские базы данных вместо аутентификации AD

Вопрос в том ... нужен ли нам вообще Active Directory?

Или, более того, AD локально или даже размещенный через Azure или аналогичный (ADFS) или работающий ADDS на размещенной виртуальной машине через Azure или аналогичный. Могли бы / должны ли мы смотреть на что-то еще, например, на вариант SSO стороннего производителя, такой как http://www.onelogin.com/partners/app-partners/office-365/ или аналогичный, который может обеспечить функциональность SSO, даже если он такой простой, как LastPass или подобное для каждого пользователя?

Какие законные потребности выполняет AD, если все остальное в облаке?

Может ли инфраструктура, ориентированная на MS, обойтись без полной AD, если они перенесут все, что ранее полагалось на AD, на предложения SaaS, которые не основывались на аутентификации AD?

Я управлял большим количеством рабочих станций без AD. У меня были электроинструменты (Altiris Deployment Solution), но в некоторых ситуациях это все еще больно:

1. Приходит аудитор безопасности и говорит, что наша политика паролей для рабочих станций по умолчанию недостаточно хороша. Чтобы изменить сложность и срок действия пароля и т. Д. На 5000 компьютерах, нам пришлось написать (нетривиальный) сценарий и запланировать его запуск на всех машинах. (Удачи в ловле ноутбуков, кстати!)
2. Картографический отдел принтеров. Конечно, мы могли бы использовать номер IP. Это означает, что, если Департамент A и Департамент B вступают в войну за принтер, для устранения этой проблемы необходимо поставить принтер на место, а затем проследить за нарушителем до его рабочей станции, чтобы вынуть принтер из рабочей станции. (Я полагаю, вы могли бы вместо этого купить программное обеспечение для управления печатью.) Кроме того, как этот принтер оказался на своей рабочей станции в первую очередь, если они не должны его использовать, и как вы предотвратите его повторное попадание туда?
3. Есть ключи реестра для WSUS, поэтому вам технически не нужен AD для управления исправлениями. Однако, если вы включите эти ключи реестра в образ, вам нужно убедиться и удалить пару ключей (SusClientID и PingID), иначе они никогда не получат обновления. Или, чтобы быть более конкретным и точным, только один из них будет получать обновления.
4. Установка программного обеспечения. Вы можете сделать это с помощью электроинструментов (LANdesk, Altiris и т. Д.), Но это дополнительные деньги.
5. «Ядовитые» драйверы принтера. Я видел пару из них. Лучшим выходом была очередь печати с обновленным драйвером.
6. Печать Windows 7 будет иметь эпические истерики, если мы не установим разрешенные лесные / разрешенные узлы в точке и ограничения печати. Возможно, это не имело бы большого значения, если бы все принтеры были только для ip, если User1 никогда не хочет использовать локальный принтер User2. Без AD нашим специалистам приходилось использовать gpedit на рабочей станции или на мастер-образе.
7. Вы предполагаете облачный Exchange, но я также добавлю, что миграция электронной почты и другие крупные инфраструктурные изменения без AD болезненны для клиентской стороны. Я написал сценарий «удалить программное обеспечение со старой неудачной миграции / добавить рабочую станцию ​​в AD / перенести профиль пользователя из локального в домен / перевести пользователя из режима администратора в опытного пользователя / внести изменения в межсетевой экран» и запустить их через Altiris. (Консультанты Microsoft предлагали нам нанимать временных сотрудников с флеш-накопителями, пока я не показал им свое кунг-фу.)

Кроме того, есть поставщики программного обеспечения, которые смотрят на вас так, будто у вас три руководителя, когда вы говорите им, что у вас есть рабочие группы, а не домены. Altiris работает в рабочих группах, но вашим специалистам по настольным компьютерам никогда не разрешается менять свои пароли, например. (Хорошо, хорошо. Они могут изменить свой пароль. Но они также должны пройтись по вашему кубу и ввести новый пароль на сервер, или сказать вам, какой у них новый пароль.)

Я понимаю, что вы можете управлять многими рабочими станциями без AD, но вам, возможно, придется купить заменяющее программное обеспечение, и даже с хорошим программным обеспечением вы столкнетесь с трудными вещами.

AD и GPO по-прежнему будут обрабатывать управление рабочими станциями. Без этого вы платите за стороннее приложение или действительно действительно доверяете своим пользователям.

Если вы делаете что-то вроде строго BYOD или распределяете только виртуальные машины без состояния для работы, то это не так уж и много.

Облако это просто еще один провайдер

Любое Облако - это просто еще один поставщик услуг по аутсорсингу - компания, которая пытается предложить гибкость для вашей инфраструктуры и операций, часто с более низкими затратами и (надеюсь) большей надежностью. Конечно, облако нацелено на упрощение общих задач, таких как масштабируемость, надежность и производительность, - но это все еще просто вариант хостинга

Вам требуется платформа Identity and Access Management, и Active Directory подходит для тех, кто нуждается в локальной среде или у вашего хостинг-провайдера, уже говорите?

Изменение физического местоположения ваших сетевых служб не меняет ваших требований.

Active Directory обладает высокой расширяемостью, даже при большом количестве систем, не зависящих напрямую от AD DS, вы все равно можете использовать его для управления «автономными» компонентами инфраструктуры, размещенными в облаке или где-либо еще.

Если вы продолжаете использовать платформу Windows и промежуточное программное обеспечение Microsoft, уровень поддержки проверки подлинности Active Directory в облаке требует от доменных служб Active Directory даже больше, чем на месте.

Облако полностью

Вы все еще хотите перенести все в облако? Сделай это! Виртуализируйте свои контроллеры домена , это не остановка шоу. Это просто еще одно решение аутсорсинга :-)

Я думаю, что реальный вопрос заключается в том, можете ли вы переместить свой MS-ориентированный "магазин Windows" в облако без AD DS

Центральная точка этого вопроса зависит от того, что вы видите, AD делает для вас. Если он используется только в качестве центрального хранилища для учетных данных единого входа, которые используются только для аутентификации в облачных приложениях, то, конечно, его можно заменить другим центральным хранилищем.

Но AD может сделать гораздо больше:

• Развертывание программного обеспечения.

• Развертывание ОС.

• Управление принтером.

• Управление профилями пользователей (например, использование перемещаемых профилей или UE-V, чтобы позволить пользователям входить в систему где угодно и сохранять свои локальные данные и настройки). Я думаю, что это все еще имеет значение, даже когда все ваши сервисы находятся в облаке, потому что данные все еще могут быть локальными, а клиентские машины по-прежнему выходить из строя или заменяться.

• Масштабируемость. Я бы предпочел управлять обеспечением и текущим управлением тысячами учетных записей пользователей с помощью ADUC и «локальных» сценариев PowerShell и т. Д., А не только с помощью Office 365.

• Интеграция с нестандартными приложениями - например, у нас есть система ID-карт на основе RFID, которая интегрируется с AD, и мне действительно не хотелось бы пытаться заставить ее общаться с ADFS на основе Azure.

Конечно, не все эти вещи будут актуальны каждый раз, и обратная сторона моего комментария о масштабируемости заключается в том, что малый бизнес с небольшим количеством пользователей может просто купить Office 365 или Google Apps, плюс любой ноутбук, который поступит в продажу на этой неделе по адресу ближайший супермаркет, за каждый новый прокат, если они решат, что это менее болезненно для них.

Можете ли вы? Да. Хотели бы вы? Я так не думаю. Все упомянутые вами хостинговые решения поддерживают федерацию AD, и, поскольку вы хотите, чтобы единый вход везде был единственным универсальным способом реализации, которым будет AD.

И такие продукты, как LastPass, являются паролем, а не SSO.

Помимо некоторых действительно хороших ответов, я бы хотел перевернуть вопрос: какой смысл в отсутствии Active Directory, если вы работаете в магазине Microsoft? Вы можете использовать продукты Microsoft и управлять ими без AD, но они просто предназначены для работы с ним, и встроенная интеграция с AD всегда будет лучше, чем любой обходной путь, который вы можете использовать.

Меньше сложности? Не имея AD фактически добавляет больше сложности в вашу среду, потому что вы должны найти подходящие альтернативы для всего AD сделали бы вне коробки; имея AD добавляет ... что? Пара контроллеров домена (которые вполне могут быть виртуальными машинами, поэтому даже не требуют дополнительного оборудования)? Любой младший администратор Windows может управлять небольшой AD, а все старшие могут управлять большой. Если вы достаточно опытны в продуктах Microsoft, чтобы иметь возможность находить и реализовывать обходные пути для отсутствия AD, вы, безусловно, достаточно опытны, чтобы фактически использовать его.

Расходы? Какие расходы? Вы уже сказали, что собираетесь работать в полном облаке, поэтому пара дополнительных виртуальных машин Azure не сможет даже повлиять на ваш бюджет; даже пара лицензий Windows Server на физические контроллеры домена не будет с учетом того, что вы уже тратите на онлайн-сервисы (не говоря уже о клиентских лицензиях Windows и Office, которые вам все еще нужны для всех ваших пользователей).

TL; DR: в общем, я действительно не вижу никакого смысла в отсутствии AD, учитывая, как тривиально его реализовать (даже в больших масштабах) и сколько вы получаете, имея его.

Вам не «нужен» AD, но это облегчит вашу жизнь. В зависимости от вашего размера убедитесь, что у вас есть 2 сервера, 1 основной, 1 резервная копия, в противном случае, если вы потеряете свой сервер AD (и только 1), вам потребуется перестроить домен, если ваши резервные копии не являются твердыми.