Jeśli sklep Windows przenosi „wszystko” do chmury, czy nadal potrzebuje Active Directory?

Odpowiadając na pytanie: Czy naprawdę potrzebuję MS Active Directory? w nowym kierunku na 2014 rok.

Biorąc pod uwagę podstawową infrastrukturę Windows:

• kontrolery domeny
• Wymiana 2007/2010/2013
• Sharepoint
• SQL
• Serwery plików / serwery wydruku
• AD Zintegrowany DNS
• AD uwierzytelnione urządzenia innych firm (powiedzmy 802.1X do pracy w sieci i może filtrowania zawartości itp.)
• Uwierzytelnione funkcje AD / LDAP „administracyjne” w aplikacjach IT / sprzęcie / etc.
• może jakieś rzeczy z KMS
• wrzuć CA, jeśli chcesz
• domowe aplikacje
• Aplikacje wewnętrzne innych firm

Teraz wyrwijmy to wszystko i zdecydujmy, że idziemy do chmury. Zakontraktowaliśmy przeniesienie Exchange / Sharepoint / File Services do Office 365. SQL będzie teraz hostowany również na platformie Azure. Pozbyliśmy się potrzeby AD-DNS i po prostu uruchamiamy wszystko za pomocą prostego serwera DNS systemu Windows. Nadal potrzebujemy 802.1X i chcielibyśmy SSO, jeśli to możliwe, do naszych różnych aplikacji w chmurze. Domowe i zewnętrzne aplikacje wewnętrzne prawdopodobnie pozostaną, ale będą mogły korzystać z wewnętrznych baz danych użytkowników zamiast uwierzytelniania AD

Pytanie brzmi ... czy naprawdę w ogóle potrzebujemy Active Directory?

Lub bardziej do rzeczy, AD lokalnie lub nawet hostowany za pośrednictwem platformy Azure lub podobnej (ADFS) lub z uruchomionym programem ADDS na hostowanej maszynie wirtualnej za pośrednictwem platformy Azure lub podobnej. Czy możemy / powinniśmy szukać czegoś innego, na przykład opcji SSO innej firmy, takiej jak http://www.onelogin.com/partners/app-partners/office-365/ lub podobnej, która może zapewnić funkcjonalność SSO, nawet jeśli jest tak prosta, jak LastPass lub podobny dla każdego użytkownika?

Jakie uzasadnione potrzeby spełnia AD, jeśli wszystko inne w chmurze?

Czy infrastruktura zorientowana na MS mogłaby w ogóle uciec od braku AD, gdyby przenieśli wszystko, co wcześniej polegało na AD do ofert SaaS, które nie polegały na uwierzytelnianiu AD?

Zarządzałem dużą liczbą stacji roboczych bez AD. Miałem elektronarzędzia (Altiris Deployment Solution), ale nadal boli w niektórych sytuacjach:

1. Wchodzi audytor bezpieczeństwa i mówi, że nasza domyślna polityka haseł stacji roboczej nie jest wystarczająco dobra. W celu zmiany złożoności i wygaśnięcia hasła itp. Na 5000 komputerach musieliśmy napisać (nietrywialny) skrypt i zaplanować uruchamianie go na wszystkich komputerach. (Nawiasem mówiąc, powodzenia w łapaniu laptopów!)
2. Drukarki działów mapowania. Jasne, moglibyśmy użyć numeru IP. Oznacza to, że jeśli Departament A i Departament B wezmą udział w wojnie z drukarką, rozwiązaniem jest wytarcie drukarki, a następnie podążenie za sprawcą przestępcy z powrotem na stanowisko robocze w celu usunięcia drukarki ze stanowiska roboczego. (Przypuszczam, że możesz zamiast tego kupić oprogramowanie do zarządzania drukowaniem.) Ponadto, w jaki sposób ta drukarka znalazła się na stacji roboczej, jeśli nie powinna z niej korzystać, i w jaki sposób zapobiegniesz jej powtórzeniu?
3. Istnieją klucze rejestru dla programu WSUS, więc technicznie nie potrzebujesz AD do zarządzania poprawkami. Jeśli jednak umieścisz te klucze rejestru w obrazie, musisz upewnić się i usunąć kilka kluczy (SusClientID i PingID), w przeciwnym razie nigdy nie otrzymają aktualizacji. Lub, aby być bardziej szczegółowym i dokładnym, tylko jeden z nich otrzyma aktualizacje.
4. Oprogramowanie instaluje się. Możesz to zrobić za pomocą elektronarzędzi (LANdesk, Altiris itp.), Ale to dodatkowe pieniądze.
5. Sterowniki drukarki „zatruwają”. Widziałem kilka z nich. Najlepszym rozwiązaniem była kolejka wydruku ze zaktualizowanym sterownikiem.
6. Drukowanie w systemie Windows 7 miałoby epickie napady złości, chyba że ustawimy dozwolone lasu / dozwolone hosty w ograniczeniach punktowych i drukowania. Być może nie byłoby to wielkim problemem, gdyby wszystkie drukarki były tylko ip, o ile Użytkownik1 nigdy nie chce używać lokalnej drukarki Użytkownika2. Bez AD nasi technicy musieli użyć gpedit na stacji roboczej lub na obrazie głównym.
7. Zakładasz Exchange Cloud, ale dodam też, że migracje e-maili i inne duże zmiany infrastrukturalne bez AD są bolesne po stronie klienta. Skryptowałem zadania „usuń oprogramowanie ze starej nieudanej migracji / dodaj stację roboczą do AD / migruj profil użytkownika z lokalnego do domeny / zdegraduj użytkownika z administratora do zaawansowanego użytkownika / wprowadź zmiany w zaporze ogniowej” i uruchomiłem je przez Altiris. (Konsultanci Microsoft sugerowali, aby zatrudniać pracowników z napędami kciukowymi, dopóki nie pokażę im mojego kung-fu).

Są też dostawcy oprogramowania, którzy patrzą na ciebie, jakbyś miał trzy głowy, gdy mówisz im, że masz grupy robocze, a nie domeny. Altiris działa w grupach roboczych, ale technicy komputerowi nigdy nie mogą na przykład zmieniać swoich haseł. (Okej, ok. Mogą zmienić swoje hasło. Ale muszą też przechylić się obok twojej kostki i wpisać nowe hasło na serwerze lub powiedzieć, jakie jest ich nowe hasło).

Chodzi mi o to: możesz zarządzać wieloma stacjami roboczymi bez AD, ale być może będziesz musiał kupić oprogramowanie zastępcze, a nawet przy dobrym oprogramowaniu napotkasz bolesne rzeczy.

AD i GPO nadal będą obsługiwać zarządzanie stacjami roboczymi. Bez tego płacisz za aplikację innej firmy lub naprawdę naprawdę ufasz swoim użytkownikom.

Jeśli robisz coś w stylu ściśle BYOD lub dystrybuujesz tylko bezstanowe maszyny wirtualne do pracy, nie dotyczy to tak dużo.

Chmura to tylko kolejny dostawca usług internetowych

Choć ekscytujące, każda chmura jest tylko kolejnym dostawcą outsourcingu - firmą starającą się zaoferować elastyczność infrastruktury i operacji, często po niższych kosztach i (miejmy nadzieję) lepszą niezawodność. Jasne, że chmura ma na celu uproszczenie typowych celów usługi, takich jak skalowalność, niezawodność i wydajność - ale nadal jest to tylko opcja hostingu

Potrzebujesz platformy do zarządzania tożsamością i dostępem, a pasują do niej usługi Active Directory, które potrzebujesz lokalnie lub u dostawcy usług hostingowych?

Zmiana fizycznej lokalizacji usług sieciowych nie zmienia twoich wymagań.

Usługa Active Directory jest wysoce rozszerzalna, nawet w przypadku dużej liczby systemów niezależnych bezpośrednio od usług AD DS, nadal można jej używać do zarządzania „autonomicznymi” komponentami infrastruktury, hostowanymi w chmurze lub gdziekolwiek indziej.

Jeśli nadal będziesz korzystać z platformy Windows i oprogramowania pośredniego Microsoft, sama obsługa uwierzytelniania usługi Active Directory w chmurze wymaga usług domenowych w usłudze Active Directory, nawet bardziej niż na miejscu.

Chmura przez całą drogę

Nadal bardzo chcesz przenieść wszystko do chmury? Zrób to! Zwirtualizuj kontrolery domeny , to nie jest zatrzymanie programu. To tylko kolejne rozwiązanie outsourcingowe :-)

Myślę, że prawdziwe pytanie brzmi: czy możesz przenieść swój sklep z Windows do Windowsa do chmury bez AD DS

Centralny punkt tego problemu zależy od tego, co uważasz za AD. Jeśli jest używany tylko jako centralny sklep dla danych logowania jednokrotnego, które są używane tylko do uwierzytelniania w aplikacjach w chmurze, to oczywiście można go zastąpić innym sklepem centralnym.

Ale AD może zrobić znacznie więcej:

• Wdrożenie oprogramowania.

• Wdrożenie systemu operacyjnego.

• Zarządzanie drukarką.

• Zarządzanie profilami użytkowników (np. Korzystanie z profili roamingowych lub UE-V, aby umożliwić użytkownikom logowanie się w dowolnym miejscu oraz zachowanie lokalnych danych i dostosowań). Myślę, że to nadal ma znaczenie, nawet gdy wszystkie twoje usługi są w chmurze, ponieważ dane mogą nadal być lokalne, a komputery klienckie nadal się psują lub mogą zostać wymienione.

• Skalowalność: wolę zarządzać udostępnianiem i bieżącym zarządzaniem tysiącami kont użytkowników za pomocą ADUC i „lokalnych” skryptów PowerShell itp. Niż wyłącznie za pomocą Office 365.

• Integracja z niestandardowymi aplikacjami - np. Mamy system kart identyfikacyjnych oparty na RFID, który integruje się z AD, a ja naprawdę nie wyobrażałbym sobie próby zmuszenia go do rozmowy z ADFS opartym na platformie Azure.

Oczywiście nie wszystkie te rzeczy będą miały znaczenie za każdym razem - na odwrót mojego komentarza na temat skalowalności jest to, że mała firma z zaledwie kilkoma użytkownikami z pewnością mogłaby po prostu kupić Office 365 lub Google Apps, a także laptopa w tym tygodniu w sprzedaży w najbliższy supermarket, dla każdego nowego wynajmu, jeśli zdecydują, że jest to dla nich mniej bolesne.

Mógłbyś? Tak. Czy chciałbyś? Nie wydaje mi się Wszystkie wymienione hostowane rozwiązania obsługują federację AD, a ponieważ chcesz, aby SSO było wszędzie jedynym uniwersalnym sposobem na osiągnięcie tego celu, jest AD.

Produkty takie jak LastPass to przechowalnia haseł, a nie logowanie jednokrotne.

Oprócz kilku naprawdę dobrych odpowiedzi, chciałbym odwrócić pytanie: po co nie mieć Active Directory, jeśli prowadzisz sklep Microsoft? Państwo może obejść w użyciu i zarządzaniu produktami firmy Microsoft bez reklam, ale są one tak zaprojektowane, aby z nim pracować, a integracja rodzimy AD zawsze będzie lepiej niż jakikolwiek obejście można dorzucić.

Mniej złożoności? Nie mając AD faktycznie dodaje większą złożoność środowiska, ponieważ trzeba znaleźć odpowiednie alternatywy dla wszystkiego AD zrobiłby out-of-the-box; mając AD dodaje ... co? Kilka kontrolerów domeny (które mogą równie dobrze być maszynami wirtualnymi, a więc nawet nie wymagają dodatkowego sprzętu)? Każdy młodszy administrator systemu Windows może zarządzać małą AD, a wszyscy starsi mogą zarządzać dużą AD. Jeśli jesteś wystarczająco biegły w produktach Microsoft, aby móc znaleźć i wdrożyć obejścia dla braku AD, na pewno jesteś wystarczająco wykwalifikowany, aby z niego korzystać .

Koszty? Jakie koszty Powiedziałeś już, że przechodzisz na pełną chmurę, więc kilka dodatkowych maszyn wirtualnych platformy Azure nawet nie będzie w stanie zrobić drobnego obniżenia budżetu; nawet kilka licencji Windows Server na fizyczne kontrolery domeny nie byłoby, biorąc pod uwagę to, co już wydajesz na usługi online (nie wspominając o klienckich licencjach Windows i Office, które nadal są potrzebne wszystkim użytkownikom).

TL; DR: w sumie, naprawdę nie widzę sensu w braku AD, biorąc pod uwagę, jak trywialne jest wdrożenie go (nawet na dużą skalę) i ile zyskujesz, mając go.

Nie potrzebujesz „AD”, ale ułatwi ci to życie. W zależności od rozmiaru upewnij się, że masz 2 serwery, 1 podstawową i 1 kopię zapasową, w przeciwnym razie, jeśli stracisz serwer AD (i masz tylko 1), musisz odbudować domenę, chyba że kopie zapasowe są SOLIDNE.