从这个问题分离出来: 我真的需要MS Active Directory吗? 在2014年新的方向。
考虑到基本的Windows基础结构:
现在,让我们把所有的东西全部搞定,并决定我们要去云端。 我们已经签约将Exchange / Sharepoint /文件服务迁移到Office 365中。现在,SQL也将托pipe在Azure之类的东西上。 我们已经不再需要AD-DNS,只需通过一个简单的Windows DNS服务器就可以运行所有的事情。 我们仍然需要802.1X,如果可能的话,也希望SSO能够用于我们的各种云应用。 本土和第三方内部应用程序可能会停留,但有能力使用内部用户数据库,而不是ADauthentication
问题是…我们真的需要Active Directory吗?
或者更重要的是,AD内部部署,甚至通过Azure或类似的(ADFS)托pipe,或通过Azure或类似的方式在托pipe的虚拟机上运行ADDS。 我们是否可以/我们应该看看像第三方SSO选项,如http://www.onelogin.com/partners/app-partners/office-365/或类似的,可以提供SSOfunction,即使它是一样简单LastPass或类似的每个用户?
如果云中的其他东西都能满足AD的合理需求,
如果一个以MS为中心的基础设施能够将以前依赖于AD的所有东西移动到不依赖于AD身份validation的SaaS产品中,那么它们是否可以摆脱?
我pipe理了大量没有AD的工作站。 我有电源工具(Altiris Deployment Solution),但是在某些情况下它仍然受到伤害:
另外,有些软件供应商会在看到你时说,你有三个头,当你告诉他们你有工作组而不是域时。 Altiris在工作组中运行,但是您的桌面技术从不被允许更改密码。 (好的,好的,他们可以改变他们的密码,但是他们也必须摆脱立方体的束缚,把新的密码input到服务器中,或者告诉你他们的新密码是什么)。
我得到的是:你可以在没有AD的情况下pipe理大量的工作站,但是你可能需要购买replace软件,即使有了好的软件,你也会遇到痛苦的事情。
AD和GPO仍然会处理工作站的pipe理。 没有它,你要为第三方应用程序支付费用,或者确实真正相信你的用户。
如果您严格按照BYOD的方式进行操作,或者只分配无状态的虚拟机进行工作,那么这并不适用。
令人兴奋的是,任何一家云服务公司都只是另一个外包服务提供商 – 一家试图为您的基础设施和运营提供灵活性的公司,而且这些公司通常以较低的成本和(希望)更好的可靠性。 当然,云的目标是简化常见的服务目标,如可扩展性,可靠性和性能 – 但它仍然只是一个托pipe选项
您需要一个身份和访问pipe理平台,并且您已经说过,Active Directory是否符合本地或您的托pipe服务提供商的需要?
活动目录具有高度的可扩展性,即使有大量不直接依赖于AD DS的系统,仍然可以利用它来pipe理托pipe在云端或其他任何位置的“独立”基础架构组件。
如果您继续使用Windows平台和Microsoft中间件,那么对于Active Directory域中的Active Directory身份validation的严格级别的支持就会超出内部部署的范围。
仍然非常热衷于将所有内容移到云端? 做吧! 虚拟化您的域控制器 ,这不是一个显示限制器。 这只是另一个外包解决scheme:-)
我认为真正的问题是,如果没有 AD DS,是否可以将以MS为中心的“Windows商店”迁移到云端
这个问题的中心点取决于你看到AD在做什么。 如果它只被用作只用于向云应用程序进行身份validation的SSO凭据的中央存储,那么当然可以用另一个中央存储replace它。
但是AD可以做更多的事情:
软件部署。
OS部署。
打印机pipe理。
用户configuration文件pipe理(例如,使用漫游configuration文件或UE-V允许用户login到任何地方并保留其本地数据和定制)。 即使所有的服务都在云中,我认为这仍然很重要,因为数据仍然可能是本地的,客户机仍然崩溃或被取代。
可伸缩性:我宁愿通过ADUC和“本地”PowerShell脚本等pipe理我的成千上万个用户帐户的供应和持续pipe理,而不是纯粹通过Office 365。
与非标准应用程序集成 – 例如,我们有一个与AD集成的基于RFID的身份证系统,我真的不想尝试与基于Azure的ADFS交谈。
当然,并非所有这些东西都会每次都是相关的 – 与我对可扩展性的评论相反,只有less数用户的小企业当然可以购买Office 365或Google Apps,以及本周发售的任何笔记本电脑最近的超级市场,如果他们认为这对他们来说不是那么痛苦的话,对于每一个新雇员来说。
你可以吗? 是。 你想要吗? 我不这么认为。 你提到的所有托pipe解决scheme都支持AD Federation,而且由于你需要SSO,唯一通用的方式就是AD。
像LastPass这样的产品是密码保险库,而不是SSO。
除了一些非常好的答案之外,我想要改变这个问题:如果您运行的是Microsoft商店,那么没有 Active Directory有什么意义? 您可以在没有AD的情况下使用和pipe理Microsoft产品,但是它们只是devise用于处理它,而本机AD集成总是比您可以投入的任何解决scheme都要好。
复杂性较低? 没有AD实际上给你的环境增加了更多的复杂性,因为你必须find合适的替代scheme,以便AD可以直接使用。 有AD添加…什么? 几个域控制器(这可能是虚拟机,因此甚至不需要额外的硬件)? 任何初级的Windowspipe理员都可以pipe理一个小的AD,而所有的高级pipe理员都可以pipe理一个大的AD。 如果您对Microsoft产品足够精通,能够find并实施没有AD的解决方法,您绝对有足够的技巧来实际使用它。
成本? 哪个成本? 你已经说过你要完整的云,所以一些额外的Azure虚拟机甚至不能在你的预算中做一个小小的缩小; 即使您已经花费在线服务(更不用说客户端Windows和Office许可证,您仍然需要您的所有用户),也不会有一些Windows Server的物理DC许可证。
TL; DR:总而言之,我没有看到没有 AD的任何意义,因为实施它(甚至是大规模的)有多么微不足道,而且有多less获得AD。
你不需要“广告”,但它会让你的生活更轻松。 根据你的大小,确保你有2个服务器,1个主服务器,1个备份服务器,否则如果你丢失了你的AD服务器(只有1个),你需要重build一个域,除非你的备份是固定的。