Se un negozio di Windows sposta "tutto" nel cloud, ha ancora bisogno di Active Directory?


49

Eliminare questa domanda: ho davvero bisogno di MS Active Directory? in una nuova direzione per il 2014.

Tenendo conto di un'infrastruttura Windows di base:

  • controller di dominio
  • Scambio 2007/2010/2013
  • Sharepoint
  • SQL
  • File server / server di stampa
  • DNS integrato AD
  • Dispositivi di terze parti autenticati da AD (diciamo 802.1X per la rete e forse alcuni filtri per il contenuto, ecc.)
  • Funzioni "amministrative" autenticate da AD / LDAP su app / hardware IT / ecc.
  • forse alcune cose KMS
  • aggiungere una CA se lo si desidera
  • app coltivate in casa
  • App interne di terze parti

Ora, strappiamo tutto e decidiamo che andremo nel cloud. Abbiamo stipulato un contratto per spostare Exchange / Sharepoint / File Services su Office 365. Ora SQL sarà ospitato anche su qualcosa come Azure. Ci siamo allontanati dalla necessità di AD-DNS e abbiamo semplicemente eseguito tutto tramite un semplice server DNS di Windows. Abbiamo ancora bisogno di 802.1X e vorremmo SSO, se possibile, per le nostre varie app cloud. Le app sviluppate in casa e di terze parti probabilmente rimarrebbero, ma avrebbero la possibilità di utilizzare database utente interni anziché l'autenticazione AD

La domanda è ... abbiamo davvero bisogno di Active Directory?

O più precisamente, AD on-premise o persino ospitato tramite Azure o simili (ADFS) o in esecuzione ADDS su una VM ospitata tramite Azure o simili. Potremmo / Dovremmo guardare a qualcos'altro come un'opzione SSO di terze parti come http://www.onelogin.com/partners/app-partners/office-365/ o simile che può fornire funzionalità SSO anche se è semplice come LastPass o simili per ogni utente?

Che tipo di esigenze legittime soddisfa AD se tutto il resto nel cloud?

Un'infrastruttura incentrata sulla SM potrebbe evitare di non avere AD se spostasse tutto ciò che in precedenza si basava su AD in offerte SaaS che non si basavano sull'autenticazione AD?


7
Le workstation dei tuoi utenti non passeranno al "cloud" ... e se lo sono, mi piacerebbe molto sapere come lo fai!
Michael Hampton

Amazon non ha un prodotto VDI ospitato? (Sembra una follia per me, ma poi entrerò in una battaglia tra CAPEX e OPEX con un contatore di fagioli ...)
Evan Anderson

1
Amazon ha un VDI ospitato in beta. Ci sono altre aziende che lo fanno, ma molte non ti permettono di installare software. Se google "esegui Windows su iPad" probabilmente li troverai tutti, poiché sembra essere il solito caso d'uso. (Esempio tipico: nytimes.com/2012/02/23/technology/personaltech/… )
Katherine Villyard,

Risposte:


89

Ho gestito un gran numero di workstation senza AD. Avevo utensili elettrici (Altiris Deployment Solution), ma in certe situazioni mi faceva ancora male:

  1. Il controllo della sicurezza entra e dice che la nostra politica di password della workstation predefinita non è abbastanza buona. Per modificare la complessità e la scadenza della password, ecc., Su 5.000 macchine, abbiamo dovuto scrivere uno script (non banale) e pianificarne l'esecuzione su tutte le macchine. (Buona fortuna a prendere i laptop, comunque!)
  2. Mappatura delle stampanti di reparto. Certo, potremmo usare il numero IP. Ciò significa che se il Dipartimento A e il Dipartimento B entrano in guerra con la stampante, il rimedio prevede il picchettamento della stampante e la successiva reiterazione dell'autore del reato sulla propria stazione di lavoro per rimuovere la stampante dalla propria stazione di lavoro. (Suppongo che potresti acquistare invece un software di gestione della stampa.) Inoltre, come ha fatto quella stampante a finire sulla loro workstation in primo luogo se non dovevano usarla, e come impedirai che finisca di nuovo lì?
  3. Esistono chiavi di registro per WSUS, quindi tecnicamente non hai bisogno di AD per la gestione delle patch. Tuttavia, se includi quelle chiavi di registro nell'immagine, devi assicurarti di eliminare un paio di chiavi (SusClientID e PingID), altrimenti non riceveranno mai aggiornamenti. Oppure, per essere più specifici e precisi, solo uno di essi riceverà aggiornamenti.
  4. Installazioni di software. Puoi farlo con utensili elettrici (LANdesk, Altiris, ecc.), Ma sono soldi extra.
  5. Driver di stampa "Veleno". Ho visto un paio di questi. Il miglior rimedio era una coda di stampa con un driver aggiornato.
  6. La stampa con Windows 7 avrebbe una crisi epatica a meno che non impostassimo le restrizioni consentite per la foresta / host consentiti e la stampa. Forse questo non sarebbe un grosso problema se tutte le stampanti fossero solo ip, purché User1 non volesse mai usare la stampante locale di User2. Senza AD, i nostri tecnici dovevano usare gpedit sulla workstation o sull'immagine master.
  7. Stai assumendo lo scambio di cloud, ma aggiungerò anche che le migrazioni della posta elettronica e altre grandi modifiche infrastrutturali senza AD sono dolorose da parte del client. Ho scritto i lavori "rimuovi software dalla vecchia migrazione non riuscita / aggiungi workstation ad AD / migra il profilo dell'utente da locale a dominio / riduci utenti dall'amministratore a power user / apporta modifiche al firewall" e li ho eseguiti attraverso Altiris. (I consulenti Microsoft hanno suggerito di assumere temps con pen drive fino a quando non ho mostrato loro il mio kung-fu.)

Inoltre, ci sono venditori di software che ti guardano come se avessi tre teste quando dici loro che hai gruppi di lavoro piuttosto che domini. Altiris funziona in gruppi di lavoro, ma i tuoi tecnici desktop non sono mai autorizzati a modificare le loro password, ad esempio. (Va bene, va bene. Possono cambiare la loro password. Ma devono anche passare dal tuo cubo e digitare la loro nuova password nel server, o dirti qual è la loro nuova password.)

Quello che sto ottenendo è: puoi gestire molte workstation senza AD, ma potresti dover acquistare software sostitutivo e anche con un software carino ti imbatterai in cose dolorose.


15
Vorrei poter votare questa risposta due volte. È gratificante leggere una descrizione esperta di questa particolare e rara trincea.
ErikE,

3
Per curiosità, quali erano le ragioni commerciali dietro un ambiente di quelle dimensioni senza AD?

2
Il mio predecessore e entrambi abbiamo chiesto ripetutamente l'AD. Di solito ci veniva detto che eravamo così grandi che sarebbe stato troppo difficile farlo quest'anno e forse potremmo farlo l'anno prossimo, e inoltre, hai Altiris. Un anno, il nostro antico server di posta morente ci ha battuto (la migrazione fallita). L'anno successivo, un vicepresidente decise che avevamo bisogno di Exchange e che dovevamo avere l'AD per fare Exchange. Numfar, fai la danza della gioia!
Katherine Villyard,

6
+1 - Ho un piccolo cliente che non ha un annuncio pubblicitario ed è straziante lavorare con loro. La mia opinione su AD è simile alla mia presa su DHCP: ne hai bisogno quando hai più di zero computer client.
Evan Anderson,

4
Devo ammirare la tua fortezza nell'affrontare un ambiente così orribile senza AD. Penso che avrei lasciato o distribuito un dominio Samba se il peggio fosse peggiorato. (Mi piace anche la tua parte sullo scripting fu in quell'ultimo bit. Sono stufo della morte di "amministratori di sistema" che non possono automatizzare le operazioni di base. È un triste stato di cose quando anche i consulenti fissano le loro aspettative su un livello così basso.)
Evan Anderson,

13

AD e GPO gestiranno comunque la gestione delle workstation. Senza di essa, stai pagando per un'applicazione di terze parti o ti stai davvero fidando davvero dei tuoi utenti.

Se stai facendo qualcosa come il rigorosamente BYOD, o stai distribuendo solo macchine virtuali senza stato per funzionare, allora questo non vale tanto.


8

Il cloud è solo un altro ISP

Sebbene entusiasmante, qualsiasi cloud è solo un altro fornitore di outsourcing: un'azienda che cerca di offrire flessibilità per l'infrastruttura e le operazioni, spesso a costi ridotti e (si spera) maggiore affidabilità. Certo, il Cloud ha lo scopo di semplificare gli obiettivi di servizio comuni ricercati come scalabilità, affidabilità e prestazioni - ma è ancora solo un'opzione di hosting

Hai bisogno di una piattaforma di gestione dell'identità e degli accessi e Active Directory si adatta perfettamente alle esigenze locali o al tuo provider di hosting già che dici?

La modifica della posizione fisica dei servizi di rete non modifica i requisiti.

Active Directory è altamente estensibile, anche con un gran numero di sistemi non direttamente dipendenti da Servizi di dominio Active Directory, è comunque possibile utilizzarlo per gestire componenti di infrastruttura "autonomi", ospitati nel Cloud o in qualsiasi altro luogo.

Se si continua a utilizzare la piattaforma Windows e il middleware Microsoft, il semplice livello di supporto per l'autenticazione di Active Directory nel cloud richiede servizi di dominio Active Directory, anche più che on-premise.

Nuvola fino in fondo

Vuoi davvero spostare tutto sul Cloud? Fallo! Virtualizza i tuoi controller di dominio , non è un blocco dello spettacolo. È solo un'altra soluzione di outsourcing :-)

Penso che la vera domanda sia se puoi spostare il tuo "negozio Windows" incentrato sulla SM sul cloud senza Servizi di dominio Active Directory


Questo non è essenzialmente un modo meno preciso di ripetere la domanda originale? Ho letto la risposta più volte perché desidero vedere il tuo punto, ma non posso. È possibile chiarire? (e non è la parte dei "requisiti che non cambiano" che manca l'intera debacle del sourcing? I requisiti sia funzionali che non funzionali sono sottoposti a un attento esame e spesso vedono i cambiamenti in un progetto di sourcing).
ErikE

La tua ultima affermazione è esattamente il mio punto, scusami per il vago fraseggio. L'aspetto del cloud non è diverso da qualsiasi altro progetto di approvvigionamento in quanto i requisiti aziendali non si trasformano in modo significativo se si sceglie il cloud rispetto a qualsiasi altra soluzione abitativa / di hosting / virtualizzazione. Detto questo, hai ragione, la mia risposta è vigliacamente vile di qualsiasi vero consiglio significativo in relazione all'approvvigionamento
Mathias R. Jessen,

La mia impressione è che la nozione di requisiti aziendali che non cambiano in modo significativo sia un tipico punto di vendita dei fornitori di cloud. I punti di acquisto non sono necessariamente conformi a tale nozione. Esempio01: l'archiviazione e l'elaborazione dei dati potrebbero richiedere una valutazione normativa su dove (in quale paese) possono essere effettuati. Esempio02: l'affare Snowden rivela il cloud come una minaccia attiva in termini di riservatezza e integrità. La Svezia ha effettivamente ricevuto un avviso basato sull'evidenza circa lo spionaggio del cloud industriale dello stato straniero anni prima: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE

... c'è una coincidenza: l'articolo di giornale svedese ha appena avuto un piccolo seguito, anche se è relativamente scarso di informazioni: theguardian.com/world/2014/jan/26/… Il mio punto è semplicemente che la valutazione dei requisiti aziendali i criteri tendono a crescere quando i fornitori di alloggi / hosting / cloud esterni sono alternative prese in considerazione. Naturalmente, i requisiti aziendali espliciti vedono più o meno cambiamenti a causa di ciò, in alcuni casi in modo significativo.
ErikE,

1
+1 per questa riga: "La modifica della posizione fisica dei servizi di rete non modifica i requisiti."
Thomas,

8

Il punto centrale di questo problema dipende da ciò che vedi come AD fa per te. Se viene utilizzato solo come archivio centrale per le credenziali SSO che vengono utilizzate solo per l'autenticazione su app cloud, ovviamente può essere sostituito con un altro archivio centrale.

Ma AD può fare molto di più:

  • Distribuzione del software.

  • Distribuzione del sistema operativo.

  • Gestione della stampante.

  • Gestione del profilo utente (ad es. Utilizzo di profili di roaming o UE-V per consentire agli utenti di accedere ovunque e conservare i dati e le personalizzazioni locali). Penso che questo abbia ancora importanza anche quando tutti i tuoi servizi sono nel cloud, perché i dati possono ancora essere locali e le macchine client possono comunque rompersi o essere sostituite.

  • Scalabilità: preferirei gestire il provisioning e la gestione continua delle mie migliaia di account utente tramite ADUC e script PowerShell "locali", ecc. Piuttosto che semplicemente tramite Office 365.

  • Integrazione con applicazioni non standard - ad esempio, abbiamo un sistema di carte d'identità basato su RFID che si integra con AD e non mi piacerebbe davvero provare a farlo parlare con ADFS basato su Azure.

Ovviamente, non tutte queste cose saranno rilevanti ogni volta: il contrario del mio commento sulla scalabilità è che una piccola impresa con solo pochi utenti potrebbe sicuramente acquistare Office 365 o Google Apps, oltre a qualsiasi laptop sia in vendita questa settimana su il supermercato più vicino, per ogni nuovo noleggio se decidono che per loro è meno doloroso.


Quale supermercato vende laptop?
kittykittybangbang

Aldi li ha, Tesco, Asda / Walmart ...
Rob Moir,

Mmm, ancora confuso. Deve essere una cosa europea ..?
kittykittybangbang

5

Potresti? Sì. Vorresti farlo? Io non la penso così. Tutte le soluzioni ospitate che hai citato supportano AD Federation e poiché desideri SSO ovunque, l'unico modo universale per raggiungere questo obiettivo sarà AD.

E prodotti come LastPass sono un vault password, non SSO.


Sebbene sia vero che LastPass non sia SSO, per l'utente finale è irrilevante. Tutto quello che sanno è che non devono ricordare più password. OneLogin è l'esempio migliore qui. Ripreso per un secondo dall'altra parte del dibattito (sono dalla tua parte, sto solo discutendo) ... forse non vuoi occuparti delle licenze / spese generali / ecc. di avere AD in giro una volta che sei diventato cloud al 100%. Forse un'opzione SSO di terze parti è una valida alternativa all'AD?
TheCleaner

Se si tratta solo di costi di licenza, OpenLDAP soddisfa le tue esigenze, ma il costo di manutenzione / tempo probabilmente supererebbe il costo delle licenze.
James Snell,

2

A parte alcune risposte davvero valide, vorrei invertire la domanda: che senso ha non avere Active Directory se si esegue un negozio Microsoft? È possibile andare in giro da utilizzare e gestire i prodotti Microsoft senza dC, ma sono solo progettati per lavorare con esso, e l'integrazione nativa dC sarà sempre meglio di qualsiasi soluzione alternativa si può buttare in.

Meno complessità? Non avere AD in realtà aggiunge più complessità al tuo ambiente, perché devi trovare alternative adatte a tutto ciò che AD avrebbe fatto immediatamente; avere AD aggiunge ... cosa? Un paio di controller di dominio (che potrebbero benissimo essere macchine virtuali, quindi non richiedono nemmeno hardware aggiuntivo)? Qualsiasi amministratore di Windows junior può gestire un annuncio di piccole dimensioni e tutti quelli senior possono gestirne uno di grandi dimensioni. Se sei abbastanza esperto sui prodotti Microsoft per essere in grado di trovare e implementare soluzioni alternative per non avere AD, sei sicuramente abbastanza esperto per usarlo effettivamente .

Costi? Quali costi? Hai già detto che stai passando al cloud completo, quindi un paio di VM di Azure aggiuntive non saranno nemmeno in grado di intaccare il budget; nemmeno un paio di licenze di Windows Server per controller di dominio fisici, dato ciò che stai già spendendo in servizi online (per non parlare delle licenze Windows e Office client, che sono ancora necessarie per tutti i tuoi utenti).

TL; DR: tutto sommato, non vedo davvero alcun senso nel non avere AD, dato quanto sia banale implementarlo (anche su larga scala) e quanto guadagni ottenendolo.


Sono d'accordo con questo ed è simile ad alcune delle altre risposte e ai loro punti chiave / takeaway. Penso che siamo tutti d'accordo sul fatto che la maggior parte delle offerte possono trarre vantaggio dall'AD molto più facilmente che vivere forzatamente senza di essa. Inoltre (per andare con il mio PO), ora che Azure offre ADaaS con una stretta integrazione con O365, se dovessi percorrere il percorso Azure / O365 solo per un piccolo negozio che mette tutto nel "cloud", sarebbe più di un dolore per NON usare AD.
TheCleaner,

-2

Non hai "bisogno" di AD, ma ti renderà la vita più semplice. A seconda delle dimensioni, assicurati di disporre di 2 server, 1 primario, 1 backup, altrimenti se perdi il tuo server AD (e ne hai solo 1) dovrai ricostruire un dominio, a meno che i tuoi backup non siano SOLIDI.


4
Scusa, ma penso che tu abbia completamente perso il punto della domanda.
Rob Moir,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.