Se un negozio di Windows sposta "tutto" nel cloud, ha ancora bisogno di Active Directory?

Eliminare questa domanda: ho davvero bisogno di MS Active Directory? in una nuova direzione per il 2014.

Tenendo conto di un'infrastruttura Windows di base:

• controller di dominio
• Scambio 2007/2010/2013
• Sharepoint
• SQL
• File server / server di stampa
• DNS integrato AD
• Dispositivi di terze parti autenticati da AD (diciamo 802.1X per la rete e forse alcuni filtri per il contenuto, ecc.)
• Funzioni "amministrative" autenticate da AD / LDAP su app / hardware IT / ecc.
• forse alcune cose KMS
• aggiungere una CA se lo si desidera
• app coltivate in casa
• App interne di terze parti

Ora, strappiamo tutto e decidiamo che andremo nel cloud. Abbiamo stipulato un contratto per spostare Exchange / Sharepoint / File Services su Office 365. Ora SQL sarà ospitato anche su qualcosa come Azure. Ci siamo allontanati dalla necessità di AD-DNS e abbiamo semplicemente eseguito tutto tramite un semplice server DNS di Windows. Abbiamo ancora bisogno di 802.1X e vorremmo SSO, se possibile, per le nostre varie app cloud. Le app sviluppate in casa e di terze parti probabilmente rimarrebbero, ma avrebbero la possibilità di utilizzare database utente interni anziché l'autenticazione AD

La domanda è ... abbiamo davvero bisogno di Active Directory?

O più precisamente, AD on-premise o persino ospitato tramite Azure o simili (ADFS) o in esecuzione ADDS su una VM ospitata tramite Azure o simili. Potremmo / Dovremmo guardare a qualcos'altro come un'opzione SSO di terze parti come http://www.onelogin.com/partners/app-partners/office-365/ o simile che può fornire funzionalità SSO anche se è semplice come LastPass o simili per ogni utente?

Che tipo di esigenze legittime soddisfa AD se tutto il resto nel cloud?

Un'infrastruttura incentrata sulla SM potrebbe evitare di non avere AD se spostasse tutto ciò che in precedenza si basava su AD in offerte SaaS che non si basavano sull'autenticazione AD?

Ho gestito un gran numero di workstation senza AD. Avevo utensili elettrici (Altiris Deployment Solution), ma in certe situazioni mi faceva ancora male:

1. Il controllo della sicurezza entra e dice che la nostra politica di password della workstation predefinita non è abbastanza buona. Per modificare la complessità e la scadenza della password, ecc., Su 5.000 macchine, abbiamo dovuto scrivere uno script (non banale) e pianificarne l'esecuzione su tutte le macchine. (Buona fortuna a prendere i laptop, comunque!)
2. Mappatura delle stampanti di reparto. Certo, potremmo usare il numero IP. Ciò significa che se il Dipartimento A e il Dipartimento B entrano in guerra con la stampante, il rimedio prevede il picchettamento della stampante e la successiva reiterazione dell'autore del reato sulla propria stazione di lavoro per rimuovere la stampante dalla propria stazione di lavoro. (Suppongo che potresti acquistare invece un software di gestione della stampa.) Inoltre, come ha fatto quella stampante a finire sulla loro workstation in primo luogo se non dovevano usarla, e come impedirai che finisca di nuovo lì?
3. Esistono chiavi di registro per WSUS, quindi tecnicamente non hai bisogno di AD per la gestione delle patch. Tuttavia, se includi quelle chiavi di registro nell'immagine, devi assicurarti di eliminare un paio di chiavi (SusClientID e PingID), altrimenti non riceveranno mai aggiornamenti. Oppure, per essere più specifici e precisi, solo uno di essi riceverà aggiornamenti.
4. Installazioni di software. Puoi farlo con utensili elettrici (LANdesk, Altiris, ecc.), Ma sono soldi extra.
5. Driver di stampa "Veleno". Ho visto un paio di questi. Il miglior rimedio era una coda di stampa con un driver aggiornato.
6. La stampa con Windows 7 avrebbe una crisi epatica a meno che non impostassimo le restrizioni consentite per la foresta / host consentiti e la stampa. Forse questo non sarebbe un grosso problema se tutte le stampanti fossero solo ip, purché User1 non volesse mai usare la stampante locale di User2. Senza AD, i nostri tecnici dovevano usare gpedit sulla workstation o sull'immagine master.
7. Stai assumendo lo scambio di cloud, ma aggiungerò anche che le migrazioni della posta elettronica e altre grandi modifiche infrastrutturali senza AD sono dolorose da parte del client. Ho scritto i lavori "rimuovi software dalla vecchia migrazione non riuscita / aggiungi workstation ad AD / migra il profilo dell'utente da locale a dominio / riduci utenti dall'amministratore a power user / apporta modifiche al firewall" e li ho eseguiti attraverso Altiris. (I consulenti Microsoft hanno suggerito di assumere temps con pen drive fino a quando non ho mostrato loro il mio kung-fu.)

Inoltre, ci sono venditori di software che ti guardano come se avessi tre teste quando dici loro che hai gruppi di lavoro piuttosto che domini. Altiris funziona in gruppi di lavoro, ma i tuoi tecnici desktop non sono mai autorizzati a modificare le loro password, ad esempio. (Va bene, va bene. Possono cambiare la loro password. Ma devono anche passare dal tuo cubo e digitare la loro nuova password nel server, o dirti qual è la loro nuova password.)

Quello che sto ottenendo è: puoi gestire molte workstation senza AD, ma potresti dover acquistare software sostitutivo e anche con un software carino ti imbatterai in cose dolorose.

AD e GPO gestiranno comunque la gestione delle workstation. Senza di essa, stai pagando per un'applicazione di terze parti o ti stai davvero fidando davvero dei tuoi utenti.

Se stai facendo qualcosa come il rigorosamente BYOD, o stai distribuendo solo macchine virtuali senza stato per funzionare, allora questo non vale tanto.

Il cloud è solo un altro ISP

Sebbene entusiasmante, qualsiasi cloud è solo un altro fornitore di outsourcing: un'azienda che cerca di offrire flessibilità per l'infrastruttura e le operazioni, spesso a costi ridotti e (si spera) maggiore affidabilità. Certo, il Cloud ha lo scopo di semplificare gli obiettivi di servizio comuni ricercati come scalabilità, affidabilità e prestazioni - ma è ancora solo un'opzione di hosting

Hai bisogno di una piattaforma di gestione dell'identità e degli accessi e Active Directory si adatta perfettamente alle esigenze locali o al tuo provider di hosting già che dici?

La modifica della posizione fisica dei servizi di rete non modifica i requisiti.

Active Directory è altamente estensibile, anche con un gran numero di sistemi non direttamente dipendenti da Servizi di dominio Active Directory, è comunque possibile utilizzarlo per gestire componenti di infrastruttura "autonomi", ospitati nel Cloud o in qualsiasi altro luogo.

Se si continua a utilizzare la piattaforma Windows e il middleware Microsoft, il semplice livello di supporto per l'autenticazione di Active Directory nel cloud richiede servizi di dominio Active Directory, anche più che on-premise.

Nuvola fino in fondo

Vuoi davvero spostare tutto sul Cloud? Fallo! Virtualizza i tuoi controller di dominio , non è un blocco dello spettacolo. È solo un'altra soluzione di outsourcing :-)

Penso che la vera domanda sia se puoi spostare il tuo "negozio Windows" incentrato sulla SM sul cloud senza Servizi di dominio Active Directory

Il punto centrale di questo problema dipende da ciò che vedi come AD fa per te. Se viene utilizzato solo come archivio centrale per le credenziali SSO che vengono utilizzate solo per l'autenticazione su app cloud, ovviamente può essere sostituito con un altro archivio centrale.

Ma AD può fare molto di più:

• Distribuzione del software.

• Distribuzione del sistema operativo.

• Gestione della stampante.

• Gestione del profilo utente (ad es. Utilizzo di profili di roaming o UE-V per consentire agli utenti di accedere ovunque e conservare i dati e le personalizzazioni locali). Penso che questo abbia ancora importanza anche quando tutti i tuoi servizi sono nel cloud, perché i dati possono ancora essere locali e le macchine client possono comunque rompersi o essere sostituite.

• Scalabilità: preferirei gestire il provisioning e la gestione continua delle mie migliaia di account utente tramite ADUC e script PowerShell "locali", ecc. Piuttosto che semplicemente tramite Office 365.

• Integrazione con applicazioni non standard - ad esempio, abbiamo un sistema di carte d'identità basato su RFID che si integra con AD e non mi piacerebbe davvero provare a farlo parlare con ADFS basato su Azure.

Ovviamente, non tutte queste cose saranno rilevanti ogni volta: il contrario del mio commento sulla scalabilità è che una piccola impresa con solo pochi utenti potrebbe sicuramente acquistare Office 365 o Google Apps, oltre a qualsiasi laptop sia in vendita questa settimana su il supermercato più vicino, per ogni nuovo noleggio se decidono che per loro è meno doloroso.

Potresti? Sì. Vorresti farlo? Io non la penso così. Tutte le soluzioni ospitate che hai citato supportano AD Federation e poiché desideri SSO ovunque, l'unico modo universale per raggiungere questo obiettivo sarà AD.

E prodotti come LastPass sono un vault password, non SSO.

A parte alcune risposte davvero valide, vorrei invertire la domanda: che senso ha non avere Active Directory se si esegue un negozio Microsoft? È possibile andare in giro da utilizzare e gestire i prodotti Microsoft senza dC, ma sono solo progettati per lavorare con esso, e l'integrazione nativa dC sarà sempre meglio di qualsiasi soluzione alternativa si può buttare in.

Meno complessità? Non avere AD in realtà aggiunge più complessità al tuo ambiente, perché devi trovare alternative adatte a tutto ciò che AD avrebbe fatto immediatamente; avere AD aggiunge ... cosa? Un paio di controller di dominio (che potrebbero benissimo essere macchine virtuali, quindi non richiedono nemmeno hardware aggiuntivo)? Qualsiasi amministratore di Windows junior può gestire un annuncio di piccole dimensioni e tutti quelli senior possono gestirne uno di grandi dimensioni. Se sei abbastanza esperto sui prodotti Microsoft per essere in grado di trovare e implementare soluzioni alternative per non avere AD, sei sicuramente abbastanza esperto per usarlo effettivamente .

Costi? Quali costi? Hai già detto che stai passando al cloud completo, quindi un paio di VM di Azure aggiuntive non saranno nemmeno in grado di intaccare il budget; nemmeno un paio di licenze di Windows Server per controller di dominio fisici, dato ciò che stai già spendendo in servizi online (per non parlare delle licenze Windows e Office client, che sono ancora necessarie per tutti i tuoi utenti).

TL; DR: tutto sommato, non vedo davvero alcun senso nel non avere AD, dato quanto sia banale implementarlo (anche su larga scala) e quanto guadagni ottenendolo.

Non hai "bisogno" di AD, ma ti renderà la vita più semplice. A seconda delle dimensioni, assicurati di disporre di 2 server, 1 primario, 1 backup, altrimenti se perdi il tuo server AD (e ne hai solo 1) dovrai ricostruire un dominio, a meno che i tuoi backup non siano SOLIDI.