Jeśli sklep Windows przenosi „wszystko” do chmury, czy nadal potrzebuje Active Directory?

49

Odpowiadając na pytanie: Czy naprawdę potrzebuję MS Active Directory? w nowym kierunku na 2014 rok.

Biorąc pod uwagę podstawową infrastrukturę Windows:

  • kontrolery domeny
  • Wymiana 2007/2010/2013
  • Sharepoint
  • SQL
  • Serwery plików / serwery wydruku
  • AD Zintegrowany DNS
  • AD uwierzytelnione urządzenia innych firm (powiedzmy 802.1X do pracy w sieci i może filtrowania zawartości itp.)
  • Uwierzytelnione funkcje AD / LDAP „administracyjne” w aplikacjach IT / sprzęcie / etc.
  • może jakieś rzeczy z KMS
  • wrzuć CA, jeśli chcesz
  • domowe aplikacje
  • Aplikacje wewnętrzne innych firm

Teraz wyrwijmy to wszystko i zdecydujmy, że idziemy do chmury. Zakontraktowaliśmy przeniesienie Exchange / Sharepoint / File Services do Office 365. SQL będzie teraz hostowany również na platformie Azure. Pozbyliśmy się potrzeby AD-DNS i po prostu uruchamiamy wszystko za pomocą prostego serwera DNS systemu Windows. Nadal potrzebujemy 802.1X i chcielibyśmy SSO, jeśli to możliwe, do naszych różnych aplikacji w chmurze. Domowe i zewnętrzne aplikacje wewnętrzne prawdopodobnie pozostaną, ale będą mogły korzystać z wewnętrznych baz danych użytkowników zamiast uwierzytelniania AD

Pytanie brzmi ... czy naprawdę w ogóle potrzebujemy Active Directory?

Lub bardziej do rzeczy, AD lokalnie lub nawet hostowany za pośrednictwem platformy Azure lub podobnej (ADFS) lub z uruchomionym programem ADDS na hostowanej maszynie wirtualnej za pośrednictwem platformy Azure lub podobnej. Czy możemy / powinniśmy szukać czegoś innego, na przykład opcji SSO innej firmy, takiej jak http://www.onelogin.com/partners/app-partners/office-365/ lub podobnej, która może zapewnić funkcjonalność SSO, nawet jeśli jest tak prosta, jak LastPass lub podobny dla każdego użytkownika?

Jakie uzasadnione potrzeby spełnia AD, jeśli wszystko inne w chmurze?

Czy infrastruktura zorientowana na MS mogłaby w ogóle uciec od braku AD, gdyby przenieśli wszystko, co wcześniej polegało na AD do ofert SaaS, które nie polegały na uwierzytelnianiu AD?

TheCleaner
źródło
7
Stacje robocze twoich użytkowników nie będą „w chmurze” ... a jeśli tak, bardzo chciałbym wiedzieć, jak to robisz!
Michael Hampton
Czy Amazon nie ma hostowanego produktu VDI? (Dla mnie to szaleństwo, ale potem przejdę do bitwy CAPEX kontra OPEX z licznikiem fasoli ...)
Evan Anderson
1
Amazon ma VDI w wersji beta. Są inne firmy, które to robią, ale wiele z nich nie pozwala na instalowanie oprogramowania. Jeśli google „uruchom system Windows na iPadzie”, prawdopodobnie znajdziesz je wszystkie, ponieważ wydaje się, że jest to zwykły przypadek użycia. (Typowy przykład: nytimes.com/2012/02/23/technology/personaltech/… )
Katherine Villyard

Odpowiedzi:

89

Zarządzałem dużą liczbą stacji roboczych bez AD. Miałem elektronarzędzia (Altiris Deployment Solution), ale nadal boli w niektórych sytuacjach:

  1. Wchodzi audytor bezpieczeństwa i mówi, że nasza domyślna polityka haseł stacji roboczej nie jest wystarczająco dobra. W celu zmiany złożoności i wygaśnięcia hasła itp. Na 5000 komputerach musieliśmy napisać (nietrywialny) skrypt i zaplanować uruchamianie go na wszystkich komputerach. (Nawiasem mówiąc, powodzenia w łapaniu laptopów!)
  2. Drukarki działów mapowania. Jasne, moglibyśmy użyć numeru IP. Oznacza to, że jeśli Departament A i Departament B wezmą udział w wojnie z drukarką, rozwiązaniem jest wytarcie drukarki, a następnie podążenie za sprawcą przestępcy z powrotem na stanowisko robocze w celu usunięcia drukarki ze stanowiska roboczego. (Przypuszczam, że możesz zamiast tego kupić oprogramowanie do zarządzania drukowaniem.) Ponadto, w jaki sposób ta drukarka znalazła się na stacji roboczej, jeśli nie powinna z niej korzystać, i w jaki sposób zapobiegniesz jej powtórzeniu?
  3. Istnieją klucze rejestru dla programu WSUS, więc technicznie nie potrzebujesz AD do zarządzania poprawkami. Jeśli jednak umieścisz te klucze rejestru w obrazie, musisz upewnić się i usunąć kilka kluczy (SusClientID i PingID), w przeciwnym razie nigdy nie otrzymają aktualizacji. Lub, aby być bardziej szczegółowym i dokładnym, tylko jeden z nich otrzyma aktualizacje.
  4. Oprogramowanie instaluje się. Możesz to zrobić za pomocą elektronarzędzi (LANdesk, Altiris itp.), Ale to dodatkowe pieniądze.
  5. Sterowniki drukarki „zatruwają”. Widziałem kilka z nich. Najlepszym rozwiązaniem była kolejka wydruku ze zaktualizowanym sterownikiem.
  6. Drukowanie w systemie Windows 7 miałoby epickie napady złości, chyba że ustawimy dozwolone lasu / dozwolone hosty w ograniczeniach punktowych i drukowania. Być może nie byłoby to wielkim problemem, gdyby wszystkie drukarki były tylko ip, o ile Użytkownik1 nigdy nie chce używać lokalnej drukarki Użytkownika2. Bez AD nasi technicy musieli użyć gpedit na stacji roboczej lub na obrazie głównym.
  7. Zakładasz Exchange Cloud, ale dodam też, że migracje e-maili i inne duże zmiany infrastrukturalne bez AD są bolesne po stronie klienta. Skryptowałem zadania „usuń oprogramowanie ze starej nieudanej migracji / dodaj stację roboczą do AD / migruj profil użytkownika z lokalnego do domeny / zdegraduj użytkownika z administratora do zaawansowanego użytkownika / wprowadź zmiany w zaporze ogniowej” i uruchomiłem je przez Altiris. (Konsultanci Microsoft sugerowali, aby zatrudniać pracowników z napędami kciukowymi, dopóki nie pokażę im mojego kung-fu).

Są też dostawcy oprogramowania, którzy patrzą na ciebie, jakbyś miał trzy głowy, gdy mówisz im, że masz grupy robocze, a nie domeny. Altiris działa w grupach roboczych, ale technicy komputerowi nigdy nie mogą na przykład zmieniać swoich haseł. (Okej, ok. Mogą zmienić swoje hasło. Ale muszą też przechylić się obok twojej kostki i wpisać nowe hasło na serwerze lub powiedzieć, jakie jest ich nowe hasło).

Chodzi mi o to: możesz zarządzać wieloma stacjami roboczymi bez AD, ale być może będziesz musiał kupić oprogramowanie zastępcze, a nawet przy dobrym oprogramowaniu napotkasz bolesne rzeczy.

Katherine Villyard
źródło
15
Chciałbym móc dwukrotnie głosować za odpowiedzią. Dobrze jest przeczytać doświadczony opis tego konkretnego i rzadkiego wykopu.
ErikE
3
Z ciekawości, jakie były biznesowe powody takiego środowiska bez AD?
2
Mój poprzednik i ja wielokrotnie prosiliśmy o AD. Zwykle mówiono nam, że jesteśmy tak wielcy, że w tym roku byłoby to zbyt trudne, a może możemy to zrobić w przyszłym roku, a poza tym masz Altiris. Pewnego roku nasz starożytny, umierający serwer pocztowy przeszył nas (nieudana migracja). W przyszłym roku wiceprezes zdecydował, że potrzebujemy wymiany i że musimy mieć AD, aby wykonać Exchange. Numfar, zrób taniec radości!
Katherine Villyard,
6
+1 - Mam jednego małego klienta, który nie ma reklam i praca z nimi jest straszna . Moje podejście do AD jest podobne do mojego do DHCP - potrzebujesz go, gdy masz więcej niż zero komputerów klienckich.
Evan Anderson
4
Muszę podziwiać twój hart ducha w radzeniu sobie z tak okropnym środowiskiem bez AD. Myślę, że bym zrezygnował lub wdrożył domenę Samby, gdyby sytuacja pogorszyła się. (Podoba mi się również twój kawałek skryptu fu w tym ostatnim fragmencie. Mam dość śmierci „sysadminów”, którzy nie potrafią zautomatyzować podstawowych operacji. To smutny stan rzeczy, kiedy konsultanci również tak bardzo ograniczają swoje oczekiwania).
Evan Anderson
13

AD i GPO nadal będą obsługiwać zarządzanie stacjami roboczymi. Bez tego płacisz za aplikację innej firmy lub naprawdę naprawdę ufasz swoim użytkownikom.

Jeśli robisz coś w stylu ściśle BYOD lub dystrybuujesz tylko bezstanowe maszyny wirtualne do pracy, nie dotyczy to tak dużo.

mfinni
źródło
8

Chmura to tylko kolejny dostawca usług internetowych

Choć ekscytujące, każda chmura jest tylko kolejnym dostawcą outsourcingu - firmą starającą się zaoferować elastyczność infrastruktury i operacji, często po niższych kosztach i (miejmy nadzieję) lepszą niezawodność. Jasne, że chmura ma na celu uproszczenie typowych celów usługi, takich jak skalowalność, niezawodność i wydajność - ale nadal jest to tylko opcja hostingu

Potrzebujesz platformy do zarządzania tożsamością i dostępem, a pasują do niej usługi Active Directory, które potrzebujesz lokalnie lub u dostawcy usług hostingowych?

Zmiana fizycznej lokalizacji usług sieciowych nie zmienia twoich wymagań.

Usługa Active Directory jest wysoce rozszerzalna, nawet w przypadku dużej liczby systemów niezależnych bezpośrednio od usług AD DS, nadal można jej używać do zarządzania „autonomicznymi” komponentami infrastruktury, hostowanymi w chmurze lub gdziekolwiek indziej.

Jeśli nadal będziesz korzystać z platformy Windows i oprogramowania pośredniego Microsoft, sama obsługa uwierzytelniania usługi Active Directory w chmurze wymaga usług domenowych w usłudze Active Directory, nawet bardziej niż na miejscu.

Chmura przez całą drogę

Nadal bardzo chcesz przenieść wszystko do chmury? Zrób to! Zwirtualizuj kontrolery domeny , to nie jest zatrzymanie programu. To tylko kolejne rozwiązanie outsourcingowe :-)

Myślę, że prawdziwe pytanie brzmi: czy możesz przenieść swój sklep z Windows do Windowsa do chmury bez AD DS

Mathias R. Jessen
źródło
Czy to nie jest mniej precyzyjny sposób na powtórzenie pierwotnego pytania? Przeczytałem odpowiedź kilka razy, ponieważ chcę zobaczyć twój punkt widzenia, ale nie mogę. Czy można to wyjaśnić? (i czy w części „wymagania się nie zmieniają” brakuje całej klęski pozyskiwania? Zarówno wymagania funkcjonalne, jak i niefunkcjonalne podlegają ścisłej kontroli i często widzą zmiany w projekcie pozyskiwania).
ErikE
Twoje ostatnie stwierdzenie jest dokładnie moim celem, przepraszam za niejasne sformułowanie. Aspekt chmurowy nie różni się od żadnego innego projektu pozyskiwania, ponieważ wymagania biznesowe nie ulegają znaczącej transformacji, jeśli wybierzesz chmurę w stosunku do innych rozwiązań mieszkaniowych / hostingowych / wirtualizacyjnych. Biorąc to pod uwagę, masz rację, moja odpowiedź jest tchórzliwa pozbawiona jakiejkolwiek realnej sensownej porady w odniesieniu do pozyskiwania
Mathias R. Jessen
Mam wrażenie, że pojęcie wymagań biznesowych, które nie zmieniają się znacząco, jest typowym punktem sprzedaży dostawców usług w chmurze. Punkty zakupu niekoniecznie są zgodne z tym pojęciem. Przykład 01: przechowywanie i przetwarzanie danych może wymagać oceny prawnej pod kątem tego, gdzie (w jakim kraju) można to zrobić. Przykład 02: romans Snowdena ujawnia chmurę jako aktywne zagrożenie dotyczące poufności i integralności. Szwecja faktycznie dostała oparte na dowodach ostrzeżenie o szpiegostwie przemysłowym w obcym państwie przed laty
ErikE
... jest zbieg okoliczności: artykuł w szwedzkiej gazecie otrzymał drobną kontynuację, nawet jeśli jest stosunkowo mało informacji: theguardian.com/world/2014/jan/26/… Chodzi mi o to, że ocena wymagań biznesowych kryteria mają tendencję do wzrostu, gdy rozważane są alternatywy dla zewnętrznych dostawców mieszkań / hostingu / chmury. Oczywiście w wyraźnych wymaganiach biznesowych widać mniej lub bardziej zmiany z tego powodu, w niektórych przypadkach znacznie tak.
ErikE
1
+1 dla tej linii: „Zmiana fizycznej lokalizacji usług sieciowych nie zmienia twoich wymagań”.
Thomas
8

Centralny punkt tego problemu zależy od tego, co uważasz za AD. Jeśli jest używany tylko jako centralny sklep dla danych logowania jednokrotnego, które są używane tylko do uwierzytelniania w aplikacjach w chmurze, to oczywiście można go zastąpić innym sklepem centralnym.

Ale AD może zrobić znacznie więcej:

  • Wdrożenie oprogramowania.

  • Wdrożenie systemu operacyjnego.

  • Zarządzanie drukarką.

  • Zarządzanie profilami użytkowników (np. Korzystanie z profili roamingowych lub UE-V, aby umożliwić użytkownikom logowanie się w dowolnym miejscu oraz zachowanie lokalnych danych i dostosowań). Myślę, że to nadal ma znaczenie, nawet gdy wszystkie twoje usługi są w chmurze, ponieważ dane mogą nadal być lokalne, a komputery klienckie nadal się psują lub mogą zostać wymienione.

  • Skalowalność: wolę zarządzać udostępnianiem i bieżącym zarządzaniem tysiącami kont użytkowników za pomocą ADUC i „lokalnych” skryptów PowerShell itp. Niż wyłącznie za pomocą Office 365.

  • Integracja z niestandardowymi aplikacjami - np. Mamy system kart identyfikacyjnych oparty na RFID, który integruje się z AD, a ja naprawdę nie wyobrażałbym sobie próby zmuszenia go do rozmowy z ADFS opartym na platformie Azure.

Oczywiście nie wszystkie te rzeczy będą miały znaczenie za każdym razem - na odwrót mojego komentarza na temat skalowalności jest to, że mała firma z zaledwie kilkoma użytkownikami z pewnością mogłaby po prostu kupić Office 365 lub Google Apps, a także laptopa w tym tygodniu w sprzedaży w najbliższy supermarket, dla każdego nowego wynajmu, jeśli zdecydują, że jest to dla nich mniej bolesne.

Rob Moir
źródło
Jaki supermarket sprzedaje laptopy?
kittykittybangbang
Aldi je ma, Tesco, Asda / Walmart ...
Rob Moir
Hmm, wciąż zdezorientowany. To musi być sprawa Europy ...?
kittykittybangbang
5

Mógłbyś? Tak. Czy chciałbyś? Nie wydaje mi się Wszystkie wymienione hostowane rozwiązania obsługują federację AD, a ponieważ chcesz, aby SSO było wszędzie jedynym uniwersalnym sposobem na osiągnięcie tego celu, jest AD.

Produkty takie jak LastPass to przechowalnia haseł, a nie logowanie jednokrotne.

długa szyja
źródło
Chociaż prawda, że ​​LastPass nie jest jednokrotnym logowaniem, dla użytkownika końcowego jest nieistotna. Wiedzą tylko, że nie muszą pamiętać wielu haseł. OneLogin jest tutaj lepszym przykładem. Na sekundę wziąłem drugą stronę debaty (jestem po twojej stronie, tylko debatuję) ... może nie chcesz zajmować się licencjonowaniem / narzutem / etc. posiadania AD po przejściu w 100% do chmury. Może opcja SSO innej firmy jest realną alternatywą dla AD?
TheCleaner
Jeśli chodzi wyłącznie o koszt licencji, OpenLDAP zaspokoi Twoje potrzeby, ale koszt konserwacji / czasu prawdopodobnie przewyższy koszt licencji.
James Snell
2

Oprócz kilku naprawdę dobrych odpowiedzi, chciałbym odwrócić pytanie: po co nie mieć Active Directory, jeśli prowadzisz sklep Microsoft? Państwo może obejść w użyciu i zarządzaniu produktami firmy Microsoft bez reklam, ale są one tak zaprojektowane, aby z nim pracować, a integracja rodzimy AD zawsze będzie lepiej niż jakikolwiek obejście można dorzucić.

Mniej złożoności? Nie mając AD faktycznie dodaje większą złożoność środowiska, ponieważ trzeba znaleźć odpowiednie alternatywy dla wszystkiego AD zrobiłby out-of-the-box; mając AD dodaje ... co? Kilka kontrolerów domeny (które mogą równie dobrze być maszynami wirtualnymi, a więc nawet nie wymagają dodatkowego sprzętu)? Każdy młodszy administrator systemu Windows może zarządzać małą AD, a wszyscy starsi mogą zarządzać dużą AD. Jeśli jesteś wystarczająco biegły w produktach Microsoft, aby móc znaleźć i wdrożyć obejścia dla braku AD, na pewno jesteś wystarczająco wykwalifikowany, aby z niego korzystać .

Koszty? Jakie koszty Powiedziałeś już, że przechodzisz na pełną chmurę, więc kilka dodatkowych maszyn wirtualnych platformy Azure nawet nie będzie w stanie zrobić drobnego obniżenia budżetu; nawet kilka licencji Windows Server na fizyczne kontrolery domeny nie byłoby, biorąc pod uwagę to, co już wydajesz na usługi online (nie wspominając o klienckich licencjach Windows i Office, które nadal są potrzebne wszystkim użytkownikom).

TL; DR: w sumie, naprawdę nie widzę sensu w braku AD, biorąc pod uwagę, jak trywialne jest wdrożenie go (nawet na dużą skalę) i ile zyskujesz, mając go.

Massimo
źródło
Zgadzam się z tym i jest podobny do niektórych innych odpowiedzi oraz ich kluczowych punktów / wynos. Myślę, że wszyscy się zgadzamy, że większość ofert może korzystać z AD o wiele łatwiej niż życie bez niego. Ponadto (aby przejść z moją OP), teraz, gdy Azure oferuje ADaaS z ścisłą integracją z O365, jeśli pójdziesz ścieżką tylko Azure / O365 dla małego sklepu, umieszczając wszystko w „chmurze”, to byłoby więcej ból NIE używać AD.
TheCleaner
-2

Nie potrzebujesz „AD”, ale ułatwi ci to życie. W zależności od rozmiaru upewnij się, że masz 2 serwery, 1 podstawową i 1 kopię zapasową, w przeciwnym razie, jeśli stracisz serwer AD (i masz tylko 1), musisz odbudować domenę, chyba że kopie zapasowe są SOLIDNE.

tkrabec
źródło
4
Przepraszam, ale myślę, że całkowicie nie trafiłeś w sedno pytania.
Rob Moir