如果一个Windows商店将“一切”移到云端,它是否仍然需要Active Directory?

从这个问题分离出来: 我真的需要MS Active Directory吗? 在2014年新的方向。

考虑到基本的Windows基础结构:

  • 域控制器
  • Exchange 2007/2010/2013
  • 的SharePoint
  • SQL
  • 文件服务器/打印服务器
  • AD集成DNS
  • ADauthentication的第三方设备(比如802.1X用于networking连接,也可能是一些内容过滤等)
  • AD / LDAP在IT应用程序/硬件等上validation了“pipe理”function。
  • 也许一些KMS的东西
  • 如果你愿意,可以投入CA.
  • 家庭应用程序
  • 第三方内部应用程序

现在,让我们把所有的东西全部搞定,并决定我们要去端。 我们已经签约将Exchange / Sharepoint /文件服务迁移到Office 365中。现在,SQL也将托pipe在Azure之类的东西上。 我们已经不再需要AD-DNS,只需通过一个简单的Windows DNS服务器就可以运行所有的事情。 我们仍然需要802.1X,如果可能的话,也希望SSO能够用于我们的各种云应用。 本土和第三方内部应用程序可能会停留,但有能力使用内部用户数据库,而不是ADauthentication

问题是…我们真的需要Active Directory吗?

或者更重要的是,AD内部部署,甚至通过Azure或类似的(ADFS)托pipe,或通过Azure或类似的方式在托pipe的虚拟机上运行ADDS。 我们是否可以/我们应该看看像第三方SSO选项,如http://www.onelogin.com/partners/app-partners/office-365/或类似的,可以提供SSOfunction,即使它是一样简单LastPass或类似的每个用户?

如果云中的其他东西都能满足AD的合理需求,

如果一个以MS为中心的基础设施能够将以前依赖于AD的所有东西移动到不依赖于AD身份validation的SaaS产品中,那么它们是否可以摆脱?

我pipe理了大量没有AD的工作站。 我有电源工具(Altiris Deployment Solution),但是在某些情况下它仍然受到伤害:

  1. 安全审计员进来说,我们的默认工作站密码策略不够好。 为了在5000台机器上更改密码的复杂性和过期等,我们必须编写一个(非平凡的)脚本并安排在所有机器上运行。 (顺便提一下,祝你好运,赶上笔记本电脑!)
  2. 映射部门打印机。 当然,我们可以使用IP号码。 这意味着,如果A部门和B部门进入打印机战争,补救措施包括放样打印机,然后跟随罪犯回到他们的工作站,从打印机上卸下打印机。 (我想你可以购买打印pipe理软件。)另外,如果打印机不应该使用它,那么打印机是如何在他们的工作站上运行的呢?又如何防止打印机再次结束呢?
  3. 有WSUS的registry项,所以在技术上不需要AD进行修补程序pipe理。 但是,如果在映像中包含这些registry项,则需要确保并删除一些密钥(SusClientID和PingID),否则将永远无法获取更新。 或者,更具体和更准确的,只有其中一个会得到更新。
  4. 软件安装。 你可以用电动工具(LANdesk,Altiris等)做这些,但这是额外的钱。
  5. “毒药”打印机驱动程序。 我见过这些。 最好的补救措施是使用更新的驱动程序的打印队列。
  6. 除非我们设置允许的森林/允许的主机点和打印限制,否则Windows 7打印将会有史诗般的发脾气。 也许这不会是一个大问题,如果所有的打印机是只有ip,只要User1永远不想使用User2的本地打印机。 没有广告,我们的技术人员不得不在工作站或主图像上使用gpedit。
  7. 你假设云交换,但我也要添加电子邮件迁移和其他大型基础设施的变化没有广告在客户端是痛苦的。 我编写了“从旧的失败的迁移/添加工作站软件到AD /将用户的configuration文件从本地迁移到域/将用户从pipe理员升级到高级用户/更改防火墙”作业,并通过Altiris运行它们。 (微软的顾问build议我们雇用临时工,直到我向他们展示了我的功夫。

另外,有些软件供应商会在看到你时说,你有三个头,当你告诉他们你有工作组而不是域时。 Altiris在工作组中运行,但是您的桌面技术从不被允许更改密码。 (好的,好的,他们可以改变他们的密码,但是他们也必须摆脱立方体的束缚,把新的密码input到服务器中,或者告诉你他们的新密码是什么)。

我得到的是:你可以在没有AD的情况下pipe理大量的工作站,但是你可能需要购买replace软件,即使有了好的软件,你也会遇到痛苦的事情。

AD和GPO仍然会处理工作站的pipe理。 没有它,你要为第三方应用程序支付费用,或者确实真正相信你的用户。

如果您严格按照BYOD的方式进行操作,或者只分配无状态的虚拟机进行工作,那么这并不适用。

云只是另一个ISP

令人兴奋的是,任何一家云服务公司都只是另一个外包服务提供商 – 一家试图为您的基础设施和运营提供灵活性的公司,而且这些公司通常以较低的成本和(希望)更好的可靠性。 当然,云的目标是简化常见的服务目标,如可扩展性,可靠性和性能 – 但它仍然只是一个托pipe选项

您需要一个身份和访问pipe理平台,并且您已经说过,Active Directory是否符合本地或您的托pipe服务提供商的需要?

更改networking服务的物理位置不会改变您的要求。

活动目录具有高度的可扩展性,即使有大量不直接依赖于AD DS的系统,仍然可以利用它来pipe理托pipe在云端或其他任何位置的“独立”基础架构组件。

如果您继续使用Windows平台和Microsoft中间件,那么对于Active Directory域中的Active Directory身份validation的严格级别的支持就会超出内部部署的范围。

一路云彩

仍然非常热衷于将所有内容移到云端? 做吧! 虚拟化您的域控制器 ,这不是一个显示限制器。 这只是另一个外包解决scheme:-)

我认为真正的问题是,如果没有 AD DS,是否可以将以MS为中心的“Windows商店”迁移到云端

这个问题的中心点取决于你看到AD在做什么。 如果它只被用作只用于向云应用程序进行身份validation的SSO凭据的中央存储,那么当然可以用另一个中央存储replace它。

但是AD可以做更多的事情:

  • 软件部署。

  • OS部署。

  • 打印机pipe理。

  • 用户configuration文件pipe理(例如,使用漫游configuration文件或UE-V允许用户login到任何地方并保留其本地数据和定制)。 即使所有的服务都在云中,我认为这仍然很重要,因为数据仍然可能是本地的,客户机仍然崩溃或被取代。

  • 可伸缩性:我宁愿通过ADUC和“本地”PowerShell脚本等pipe理我的成千上万个用户帐户的供应和持续pipe理,而不是纯粹通过Office 365。

  • 与非标准应用程序集成 – 例如,我们有一个与AD集成的基于RFID的身份证系统,我真的不想尝试与基于Azure的ADFS交谈。

当然,并非所有这些东西都会每次都是相关的 – 与我对可扩展性的评论相反,只有less数用户的小企业当然可以购买Office 365或Google Apps,以及本周发售的任何笔记本电脑最近的超级市场,如果他们认为这对他们来说不是那么痛苦的话,对于每一个新雇员来说。

你可以吗? 是。 你想要吗? 我不这么认为。 你提到的所有托pipe解决scheme都支持AD Federation,而且由于你需要SSO,唯一通用的方式就是AD。

像LastPass这样的产品是密码保险库,而不是SSO。

除了一些非常好的答案之外,我想要改变这个问题:如果您运行的是Microsoft商店,那么没有 Active Directory有什么意义? 您可以在没有AD的情况下使用和pipe理Microsoft产品,但是它们只是devise用于处理它,而本机AD集成总是比您可以投入的任何解决scheme都要好。

复杂性较低? 没有AD实际上给你的环境增加了更多的复杂性,因为你必须find合适的替代scheme,以便AD可以直接使用。 有AD添加…什么? 几个域控制器(这可能是虚拟机,因此甚至不需要额外的硬件)? 任何初级的Windowspipe理员都可以pipe理一个小的AD,而所有的高级pipe理员都可以pipe理一个大的AD。 如果您对Microsoft产品足够精通,能够find并实施没有AD的解决方法,您绝对有足够的技巧来实际使用它。

成本? 哪个成本? 你已经说过你要完整的云,所以一些额外的Azure虚拟机甚至不能在你的预算中做一个小小的缩小; 即使您已经花费在线服务(更不用说客户端Windows和Office许可证,您仍然需要您的所有用户),也不会有一些Windows Server的物理DC许可证。

TL; DR:总而言之,我没有看到没有 AD的任何意义,因为实施它(甚至是大规模的)有多么微不足道,而且有多less获得AD。

你不需要“广告”,但它会让你的生活更轻松。 根据你的大小,确保你有2个服务器,1个主服务器,1个备份服务器,否则如果你丢失了你的AD服务器(只有1个),你需要重build一个域,除非你的备份是固定的。