Vraag Als een Windows-winkel "alles" naar de cloud verplaatst, heeft Active Directory dan nog steeds Active Directory nodig?


Neem een ​​spin-off van deze vraag: Heb ik echt MS Active Directory nodig? in een nieuwe richting voor 2014.

Rekening houdend met een standaard Windows-infrastructuur:

  • domeincontrollers
  • Exchange 2007/2010/2013
  • Deel punt
  • SQL
  • Bestandsservers / printservers
  • AD Geïntegreerde DNS
  • AD Geverifieerde apparaten van derden (laten we zeggen 802.1X voor netwerken en misschien wat inhoudfiltering, enz.)
  • AD / LDAP authenticeerde "administratieve" functies op IT-apps / hardware / enz.
  • misschien wat KMS-dingen
  • gooi een CA in als je wilt
  • thuis gegroeide apps
  • Interne apps van derden

Laten we nu alles eruit halen en besluiten dat we naar de cloud gaan. We zijn overeengekomen om Exchange / Sharepoint / File Services naar Office 365 te verplaatsen. SQL wordt nu ook gehost op iets als Azure. We zijn weggegaan van de behoefte aan AD-DNS en voeren alles eenvoudig uit via een eenvoudige Windows DNS-server. We hebben nog steeds 802.1X nodig en willen SSO indien mogelijk naar onze verschillende cloud-apps. Home-grown en externe apps in eigen huis blijven waarschijnlijk, maar hebben de mogelijkheid om interne gebruikersdatabases te gebruiken in plaats van AD-verificatie

De vraag is ... hebben we echt Active Directory echt nodig?

Of meer ter zake, AD op locatie of zelfs gehost via Azure of vergelijkbaar (ADFS) of ADDS uitvoert op een gehoste VM via Azure of vergelijkbaar. Kon / moeten we naar iets anders kijken zoals een SSO-optie van een derde partij zoals http://www.onelogin.com/partners/app-partners/office-365/ of vergelijkbaar dat SSO-functionaliteit kan bieden, zelfs als het zo eenvoudig is als LastPass of vergelijkbaar voor elke gebruiker?

Wat voor soort legitieme behoeften vervult AD als al het andere in de cloud?

Kan een MS-gecentraliseerde infrastructuur wegkomen zonder AD helemaal niet te hebben als ze alles verplaatsen dat voorheen op AD was aangewezen voor SaaS-aanbiedingen die niet afhankelijk waren van AD-verificatie?


49
2018-01-24 20:41


oorsprong


De werkstations van uw gebruikers gaan niet naar "de cloud" ... en als ze dat zijn, zou ik heel graag willen weten hoe u het doet! - Michael Hampton♦
Heeft Amazon geen gehost VDI-product? (Klinkt als waanzin voor mij, maar dan kom ik gewoon in een CAPEX versus OPEX gevecht met een boontje ...) - Evan Anderson
Amazon heeft een gehoste VDI in bèta. Er zijn andere bedrijven die het doen, maar veel van hen laten je niet toe om software te installeren. Als u Google "Windows op iPad" gebruikt, zult u ze waarschijnlijk allemaal tegenkomen, want dat lijkt de gebruikelijke use-case te zijn. (Typisch voorbeeld: nytimes.com/2012/02/23/technology/personaltech/...) - Katherine Villyard


antwoorden:


Ik heb grote aantallen werkstations zonder AD beheerd. Ik had elektrisch gereedschap (Altiris Deployment Solution), maar het doet nog steeds pijn in bepaalde situaties:

  1. Beveiligingsauditor komt binnen en zegt dat ons standaard werkstationwachtwoordbeleid niet goed genoeg is. Om de complexiteit en expiratie van het wachtwoord, enz., Op 5.000 machines te wijzigen, moesten we een (niet-triviaal) script schrijven en plannen dat dit op alle computers moest worden uitgevoerd. (Veel succes met het vangen van de laptops trouwens!)
  2. Afdelingsprinters in kaart brengen. Natuurlijk kunnen we het IP-nummer gebruiken. Dat betekent dat als Afdeling A en Afdeling B in een printeroorlog terechtkomen, de oplossing bestaat uit het uitzetten van de printer en het vervolgens volgen van de overtreder naar hun werkstation om de printer van hun werkstation te verwijderen. (In de plaats daarvan zou je in plaats daarvan printbeheer-software kunnen kopen.) Ook, hoe kwam die printer in de eerste plaats op hun werkstation terecht als ze niet zouden worden gebruikt en hoe kun je voorkomen dat hij daar weer terechtkomt?
  3. Er zijn registersleutels voor WSUS, dus jij technisch gezien heb geen AD nodig voor patchbeheer. Als u echter die registersleutels in de afbeelding opneemt, moet u ervoor zorgen dat een aantal sleutels (SusClientID en PingID) worden verwijderd of anders zullen ze nooit ontvang updates ooit. Of, om specifieker en nauwkeuriger te zijn, slechts één van hen krijgt updates.
  4. Software-installaties. U kunt dit doen met elektrische gereedschappen (LANdesk, Altiris, enz.), Maar dat is extra geld.
  5. "Poison" -printerdrivers. Ik heb er een paar gezien. De beste remedie was een afdrukwachtrij met een bijgewerkte driver.
  6. Windows 7-afdrukken zou epische driftbuien hebben, tenzij we toegestane forest / toegestane hosts in punt en afdrukbeperkingen instellen. Misschien zou dit geen probleem zijn als alle printers alleen voor ip zouden zijn, zolang User1 nooit de lokale printer van User2 wil gebruiken. Zonder AD moesten onze technici gpedit gebruiken op het werkstation of op de master image.
  7. U gaat uit van cloud Exchange, maar ik ga ook toevoegen dat e-mailmigraties en andere grote infrastructurele wijzigingen zonder AD pijnlijk zijn aan de kant van de klant. Ik scriptte de "verwijder software van oude mislukte migratie / werkstation toevoegen aan ADVERTENTIE / profiel van gebruiker migreren van lokaal naar domein / degradeer gebruiker van admin naar hoofdgebruiker / wijzig wijzigingen in firewall" -opdrachten en leidde ze door Altiris. (De consultants van Microsoft suggereerden dat we temps inhuren met thumbdrives totdat ik ze mijn kung-fu liet zien.)

Er zijn ook softwareleveranciers die naar je kijken alsof je drie hoofden hebt als je hen vertelt dat je werkgroepen hebt in plaats van domeinen. Altiris werkt in werkgroepen, maar uw desktoptechnici mogen hun wachtwoord nooit wijzigen, bijvoorbeeld. (Oké, oke, ze kunnen hun wachtwoord wijzigen, maar ze moeten ook door je kubus slingeren en hun nieuwe wachtwoord in de server typen, of jou vertellen wat hun nieuwe wachtwoord is.)

Waar ik aan begin is: je kunt veel werkstations beheren zonder AD, maar je moet misschien vervangende software kopen en zelfs met leuke software kom je in pijnlijke dingen.


88
2018-01-24 22:01



Ik wou dat ik dit antwoord twee keer kon overstemmen. Het is de moeite waard om een ​​ervaren beschrijving van deze bijzondere en zeldzame loopgraaf te lezen. - ErikE
Uit nieuwsgierigheid, wat waren de zakelijke redenen achter een omgeving van die omvang zonder AD? - kce
Mijn voorganger en ik hebben allebei herhaaldelijk om AD gevraagd. Ons werd meestal verteld dat we zo groot waren dat het dit jaar te moeilijk zou zijn om te doen en misschien kunnen we het volgend jaar doen, en bovendien, je hebt Altiris. Een jaar lang heeft onze oude, stervende mailserver ons overtroefd (de mislukte migratie). Het jaar daarop besliste een VP dat we Exchange nodig hadden, en we moesten AD hebben om Exchange te doen. Numfar, doe de dans van vreugde! - Katherine Villyard
+1 - Ik heb een kleine klant die geen AD heeft en dat is het ondraaglijk om met hen te werken. Mijn kijk op AD is vergelijkbaar met die van DHCP. Je hebt het nodig als je meer clientcomputers hebt. - Evan Anderson
Ik moet je standvastigheid bewonderen in het omgaan met zo'n vreselijke omgeving zonder AD. Ik denk dat ik zou zijn gestopt met, of een Samba-domein had geïmplementeerd als het erger werd. (Ik hou ook van je stukje over het scripten van fu in dat laatste deel. "Ik ben doodziek van" sysadmins "die basisoperaties niet kunnen automatiseren." Het is een trieste toestand wanneer consultants hun verwachtingen ook zo laag stellen.) - Evan Anderson


AD en GPO zullen nog steeds omgaan met het beheer van werkstations. Zonder dit betaal je voor een applicatie van derden of echt heel erg vertrouwen op uw gebruikers.

Als u zoiets als strikt BYOD doet, of alleen stateloze VM's distribueert om te werken, is dit niet zo veel van toepassing.


12
2018-01-24 21:05





De cloud is gewoon een andere internetprovider

Hoewel het opwindend is, is elke cloud gewoon een andere outsourcingprovider - een bedrijf dat flexibiliteit probeert aan te bieden voor uw infrastructuur en activiteiten, vaak tegen lagere kosten en (hopelijk) betere betrouwbaarheid. Natuurlijk, de cloud is gericht op het vereenvoudigen van veelvoorkomende servicegerichtheid, zoals schaalbaarheid, betrouwbaarheid en prestaties, maar het is nog steeds slechts een hostingoptie

U hebt een Identity and Access Management-platform nodig en Active Directory-aanpassingen die u on-premise nodig hebt of bij uw hostingprovider die u al zegt?

Het wijzigen van de fysieke locatie van uw netwerkservices heeft geen invloed op uw vereisten.

Active Directory is zeer uitbreidbaar, zelfs met een groot aantal systemen die niet direct afhankelijk zijn van AD DS, kunt u het nog steeds gebruiken om "stand-alone" infrastructuurcomponenten te beheren, gehost in de cloud of waar dan ook.

Als u het Windows-platform en Microsoft-middleware blijft gebruiken, smeekt de enorme mate van ondersteuning voor Active Directory-verificatie in de cloud om Active Directory Domain Services, zelfs meer dan op locatie.

Cloud helemaal

Ben je nog steeds erg gecharmeerd van het verplaatsen van alles naar de cloud? Doe het! Virtualiseer uw domeincontrollers, het is geen showstopper. Het is gewoon een andere oplossing voor outsourcing :-)

Ik denk dat de echte vraag is of je je MS-centrische "Windows-winkel" naar de cloud kunt verplaatsen zonder AD DS


8
2018-01-25 03:27



Is dit niet in essentie een minder nauwkeurige manier om de oorspronkelijke vraag te herhalen? Ik heb het antwoord verschillende keren gelezen omdat ik wil weten wat u bedoelt, maar ik kan het niet. Is het mogelijk om te verduidelijken? (en is het 'requirements not changing'-onderdeel niet het missen van het sourcing-debacle? Zowel functionele als niet-functionele vereisten worden sterk bestudeerd en zien vaak veranderingen in een sourcing-project). - ErikE
Uw laatste verklaring is precies mijn punt, sorry voor de vage formulering. Het Cloud-aspect is niet anders dan elk ander sourcing-project in dat uw zakelijke vereisten transformeert niet significant, mocht u overstappen naar een andere housing / hosting / virtualisatie-oplossing. Dat gezegd hebbende, uw recht, mijn antwoord is laf en nietig van enig echt zinvol advies met betrekking tot sourcing - Mathias R. Jessen
Mijn indruk is dat het idee van zakelijke vereisten niet significant verandert, typisch is verkooppunt van cloudleveranciers. Punten kopen zijn niet noodzakelijk in overeenstemming met dat begrip. Example01: voor gegevensopslag en -verwerking is mogelijk een evaluatie van de regelgeving nodig over waar (welk land) dit kan gebeuren. Example02: de Snowden-affaire onthult de cloud als een actieve bedreiging met betrekking tot vertrouwelijkheid en integriteit. Zweden kreeg feitelijk een op feiten gebaseerde waarschuwing over jarenlange industriële spionage in de industriële staat van de staat: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd - ErikE
... er is een toeval: het Zweedse krantenartikel kreeg zojuist een kleine follow-up, zelfs als het betrekkelijk weinig informatie bevat: theguardian.com/world/2014/jan/26/... Mijn punt is simpelweg dat de evaluatiecriteria voor zakelijke vereisten de neiging hebben om te groeien wanneer externe huisvesting / hosting / cloudleveranciers als alternatieven worden overwogen. Uiteraard zien de expliciete bedrijfsvereisten hier min of meer verandering in, in sommige gevallen aanzienlijk. - ErikE
+1 voor deze regel: "Het wijzigen van de fysieke locatie van uw netwerkservices heeft geen invloed op uw vereisten." - Thomas


Het centrale punt van dit probleem hangt af van wat je ziet dat AD doet voor jou. Als het alleen wordt gebruikt als de centrale opslag voor SSO-inloggegevens die alleen worden gebruikt voor verificatie bij cloud-apps, kan deze natuurlijk worden vervangen door een andere centrale winkel.

Maar AD kan veel meer dan dat doen:

  • Software inzet.

  • OS-implementatie.

  • Printerbeheer.

  • Gebruikersprofielbeheer (bijvoorbeeld met behulp van zwervende profielen of UE-V om gebruikers toe te staan ​​om zich overal aan te melden en hun lokale gegevens en aanpassingen te behouden). Ik denk dat dit nog steeds van belang is, zelfs wanneer al je services in de cloud zitten, omdat data nog steeds lokaal kunnen zijn en clientcomputers nog steeds kapot gaan of worden vervangen.

  • Schaalbaarheid: ik beheer liever de provisioning en het doorlopende beheer van mijn duizenden gebruikersaccounts via ADUC & 'local' powershell scripting, etc. dan puur via Office 365.

  • Integratie met niet-standaard applicaties - bijv. we hebben een op RFID gebaseerd ID-kaartsysteem dat integreert met AD en ik zou echt niet willen proberen om het te laten praten met op Azure gebaseerde ADFS.

Natuurlijk zullen niet al deze dingen altijd relevant zijn - het omgekeerde van mijn opmerking over schaalbaarheid is dat een klein bedrijf met slechts een paar gebruikers zeker alleen Office 365 of Google Apps zou kunnen kopen, plus welke laptop deze week ook te koop is op de dichtstbijzijnde supermarkt, voor elke nieuwe huur als ze besluiten dat dit minder pijnlijk voor hen is.


8
2018-01-24 23:36



Welke supermarkt verkoopt laptops? - kittykittybangbang
Aldi heeft ze, Tesco, Asda / Walmart ... - Rob Moir
Hmm, nog steeds in de war. Moet een ding van Europa zijn ..? - kittykittybangbang


Kunt u? Ja. Zou je willen? Ik denk het niet. Alle door u genoemde gehoste oplossingen ondersteunen AD Federation en aangezien u overal SSO wilt, is de enige universele manier om dat te bereiken AD.

En producten zoals LastPass zijn een wachtwoordkluis, geen SSO.


5
2018-01-24 21:14



Hoewel het waar is dat LastPass geen SSO is, is het voor de eindgebruiker irrelevant. Alles wat ze weten is dat ze niet meerdere wachtwoorden hoeven te onthouden. OneLogin is hier het betere voorbeeld. Aan de andere kant van het debat voor een seconde (ik sta aan uw kant, alleen debatteren) ... misschien wilt u niet omgaan met de licenties / overheadkosten / enz. van het hebben van AD rond wanneer je 100% cloud bent gegaan. Misschien is een SSO-optie van een derde partij een haalbaar alternatief voor AD? - TheCleaner
Als het puur om licentiekosten gaat, zou OpenLDAP aan uw behoeften voldoen, maar de kosten van onderhoud / tijd zouden waarschijnlijk de licentiekosten overtreffen. - James Snell


Afgezien van enkele zeer goede antwoorden, zou ik de vraag willen omdraaien: waar gaat het om? niet met Active Directory als u een Microsoft-winkel heeft? U kan om Microsoft-producten zonder AD te gebruiken en te beheren, maar ze zijn er gewoon op ontworpen om ermee te werken en native AD-integratie is altijd beter dan elke omzeiling die je kunt inslaan.

Minder complexiteit? Het hebben van AD voegt niets toe meercomplexiteit voor uw omgeving, omdat u geschikte alternatieven moet vinden voor alles wat AD out-of-the-box zou hebben gedaan; met AD voegt toe ... wat? Een paar domeincontrollers (wat misschien wel VM's zijn, dus zelfs geen extra hardware nodig hebben)? Elke junior Windows-beheerder kan een kleine AD beheren en alle senioren kunnen een grote AD beheren. Als je voldoende bekwaam bent in Microsoft-producten om workarounds te vinden en te implementeren omdat je geen AD hebt, ben je zeker bekwaam genoeg om daadwerkelijk gebruik het.

Kosten? Welke kosten? U zei al dat u de volledige cloud gebruikt, dus een paar extra Azure-VM's zullen niet eens een klein deukje in uw budget kunnen maken; niet eens een paar Windows Server-licenties voor fysieke DC's, gezien wat u al uitgeeft aan online services (om maar te zwijgen over client Windows- en Office-licenties, die u nog steeds nodig hebt voor al uw gebruikers).

TL; DR: al met al zie ik er echt geen punt in niet AD hebben, gegeven hoe triviaal het is om het te implementeren (zelfs op grote schaal) en hoeveel je wint door het te hebben.


2
2017-09-13 22:41



Ik ben het hiermee eens en het is vergelijkbaar met sommige van de andere antwoorden en hun belangrijkste punten / afhaalrestaurants. Ik denk dat we het er allemaal over eens zijn dat de meeste offers veel beter kunnen profiteren van AD dan geforceerd zonder te leven. Daarnaast (om bij mijn OP te passen), nu Azure ADaaS aanbiedt met een nauwe integratie met O365, als je alleen het Azure / O365-pad zou gaan voor een kleine winkel die alles in de "cloud" plaatst, zou het meer van een pijn om AD NIET te gebruiken. - TheCleaner


Je hebt AD niet "nodig", maar het zal je leven gemakkelijker maken. Afhankelijk van je grootte moet je ervoor zorgen dat je 2 Servers, 1 primaire, 1 back-up hebt, anders moet je een domein opnieuw opbouwen als je je AD-server kwijt bent (en er maar 1 hebt), tenzij je back-ups SOLID zijn.


-2
2018-01-31 13:40



Sorry, maar ik denk dat je het punt van de vraag volledig hebt gemist. - Rob Moir