Якщо магазин Windows переміщує "все" до хмари, чи все-таки потрібен Active Directory?


49

Займаючись цим питанням: чи дійсно мені потрібен MS Active Directory? у новому напрямку на 2014 рік.

Враховуючи базову інфраструктуру Windows:

  • контролери домену
  • Обмін 2007/2010/2013
  • Ділитися думкою
  • SQL
  • Файлові сервери / сервери друку
  • AD інтегрований DNS
  • AD аутентифіковані сторонні пристрої (скажімо, 802.1X для мереж і, можливо, деяка фільтрація контенту тощо)
  • AD / LDAP підтверджує "адміністративні" функції в ІТ-додатках / апараті / тощо.
  • можливо, деякі речі KMS
  • киньте в CA, якщо хочете
  • домашні додатки
  • Внутрішні додаткові програми

Тепер давайте вирвемо все це і вирішимо, що ми йдемо до хмари. Ми домовилися про переміщення служб Exchange / Sharepoint / File в Office 365. Тепер SQL також розміщуватиметься на щось на зразок Azure. Ми позбулися від необхідності AD-DNS і просто запустимо все через простий сервер DNS-сервера Windows. Нам все ще потрібно 802.1X і хотіли б, щоб SSO, якщо це можливо, для наших різних хмарних додатків. Домашні програми та сторонні внутрішні додатки, ймовірно, залишаться, але матимуть можливість використовувати внутрішні бази даних замість автентифікації AD

Питання в тому, чи справді нам взагалі потрібний Active Directory?

Або більше до точки, що знаходиться в приміщенні AD або навіть розміщується через Azure або подібне (ADFS) або працює з ADDS на розміщеному VM через Azure або подібне. Чи можемо / чи варто звернутись на щось інше, наприклад, сторонній варіант SSO, такий як http://www.onelogin.com/partners/app-partners/office-365/ або подібний, що може забезпечити функціональність SSO, навіть якщо це так просто, як LastPass чи подібне для кожного користувача?

Які законні потреби виконує AD, якщо все інше в хмарі?

Чи може інфраструктура, орієнтована на MS, взагалі не мати AD, якщо вони перенесуть все, що раніше покладалося на AD, на пропозиції SaaS, які не покладалися на автентифікацію AD?


7
Робочі станції ваших користувачів не збираються "хмарою" ... і якщо вони є, я дуже хотів би знати, як ви це робите!
Майкл Хемптон

У Amazon немає розміщеного VDI продукту? (Здається мені, як лунатик, але тоді я просто потрапляю на CAPEX проти бою OPEX без лічильника бобів ...)
Еван Андерсон,

1
Amazon має розміщений VDI у бета-версії. Є й інші компанії, які роблять це, але багато з них не дозволяють встановлювати програмне забезпечення. Якщо ви в Google "запустіть Windows на ipad", ви, ймовірно, знайдете їх усіх, як здається, це звичайний випадок використання. (Типовий приклад: nytimes.com/2012/02/23/technology/personaltech/… )
Кетрін Вілляр

Відповіді:


89

Я керував великою кількістю робочих станцій без AD. У мене були електроінструменти (рішення Altiris Deployment Solution), але це все одно боліло в певних ситуаціях:

  1. Ревізор безпеки заходить і каже, що наша політика щодо паролів на робочій станції за замовчуванням недостатньо хороша. Для того, щоб змінити складність і термін дії пароля тощо, на 5000 машинах нам довелося написати (нетривіальний) сценарій і запланувати графік роботи на всіх машинах. (Вдало ловіть ноутбуки, до речі!)
  2. Картування принтерів для відділень. Звичайно, ми могли використовувати номер IP. Це означає, що якщо Департамент А та Відділ B вступають у війну з принтером, засіб захисту передбачає виведення принтера, а потім слідування правопорушника назад на свою робочу станцію, щоб видалити принтер зі своєї робочої станції. (Я припускаю, що ви можете замість цього придбати програмне забезпечення для управління друком.) Крім того, як цей принтер опинився в першу чергу на своїй робочій станції, якщо вони не повинні використовувати його, і як ви запобіжите його знову закінчення?
  3. Існують ключі реєстру для WSUS, тому технічно вам не потрібен AD для управління патчем. Однак якщо ви включите ці ключі реєстру до зображення, вам потрібно переконатися та видалити пару ключів (SusClientID та PingID), інакше вони ніколи не отримуватимуть оновлень. Або, якщо бути більш точним і точним, лише один з них отримає оновлення.
  4. Встановлення програмного забезпечення. Це можна зробити за допомогою електроінструментів (LANdesk, Altiris тощо), але це додаткові гроші.
  5. Драйвери принтера "отруєння". Я бачив пару таких. Найкращим засобом захисту була черга друку з оновленим драйвером.
  6. Друк на Windows 7 мав би епічні істерики, якщо ми не встановимо дозволених лісів / дозволених хостів у точкових та друкованих обмеженнях. Можливо, це не буде великою справою, якби всі принтери були лише ip, доки User1 ніколи не хоче використовувати локальний принтер User2. Без AD наші фахівці повинні були або використовувати gpedit на робочій станції, або на головному зображенні.
  7. Ви припускаєте хмарний обмін, але я також хочу додати, що міграція електронної пошти та інші великі інфраструктурні зміни без AD болісні для клієнта. Я написав сценарій "видалити програмне забезпечення зі старої невдалої міграції / додати робочу станцію до AD / перенести профіль користувача з локального на домен / демотировать користувача від адміністратора до живлення користувача / внести зміни в брандмауер" та запустив їх через Altiris. (Консультанти Майкрософт пропонували найняти темпи з пальчиковими накопичувачами, поки я не показав їм свою кунг-фу.)

Також є постачальники програмного забезпечення, які дивляться на вас так, як у вас є три голови, коли ви говорите їм, що у вас є робочі групи, а не домени. Altiris працює в робочих групах, але вашим настільним технікам ніколи не дозволяється змінювати свої паролі, наприклад. (Гаразд, добре. Вони можуть змінити свій пароль. Але вони також повинні погойдатися вашим кубом і ввести свій новий пароль на сервер, або сказати, який їх новий пароль.)

Що я отримую за те, що ви можете керувати безліччю робочих станцій без AD, але вам може знадобитися придбати програмне забезпечення для заміни, і навіть за допомогою хорошого програмного забезпечення ви натрапите на болючі речі.


15
Я б хотів, щоб я міг підтвердити цю відповідь двічі. Корисно прочитати досвідчений опис цього конкретного та рідкісного траншею.
ЕрікЕ

3
З цікавості, які бізнес-причини стояли в середовищі такого розміру без AD?

2
Ми з моїм попередником неодноразово просили AD. Нам зазвичай казали, що ми настільки великі, що зробити це буде занадто важко в цьому році, і, можливо, ми зможемо це зробити в наступному році, і до того ж у вас є Altiris. Одного року наш стародавній, вмираючий поштовий сервер натнув нас (невдала міграція). Наступного року ВП вирішив, що нам потрібна Exchange, і нам потрібно було мати AD для обміну. Нумфар, займайся танцем радості!
Кетрін Вільярд

6
+1 - У мене є один маленький Клієнт, який не має реклами, і працювати з ними мучеться . Моє прийняття AD схоже з моїм на DHCP - вам це потрібно, коли у вас є більше, ніж нульові клієнтські комп'ютери.
Еван Андерсон

4
Я маю захоплюватися вашою стійкістю в роботі з таким жахливим середовищем без AD. Думаю, я б кинув або розгорнув домен Samba, якби гірше стало гірше. (Мені також подобається ваш твір про написання фу в цей останній шматочок. Мені страждає від смерті "сисадмінів", які не можуть автоматизувати основні операції. Це сумний стан справ, коли консультанти ставлять свої очікування настільки низькими.)
Еван Андерсон

13

AD та GPO як і раніше працюватимуть з керуванням робочими станціями. Без цього ви платите за сторонню заявку або дійсно дуже довіряєте своїм користувачам.

Якщо ви робите щось на кшталт суворо BYOD або розповсюджуєте лише робочі віртуальні машини без роботи, то це стосується не так багато.


8

Хмара - це ще один провайдер

Будучи захоплюючим, будь-яка Хмара - це ще один постачальник послуг аутсорсингу - компанія, яка намагається запропонувати гнучкість для вашої інфраструктури та операцій, часто за меншими витратами та (сподіваємось) кращою надійністю. Звичайно, хмара орієнтована на спрощення загальнодоступних цілей сервісу, таких як масштабованість, надійність та продуктивність - але це все ще лише варіант хостингу

Вам потрібна платформа управління ідентифікацією та доступом, і Active Directory підходить для вашого приміщення або у вашого хостинг-провайдера, ви вже говорите?

Зміна фізичного розташування ваших мережевих служб не змінює ваших вимог.

Active Directory є дуже розширюваним, навіть якщо велика кількість систем, безпосередньо не залежних від AD DS, ви все одно можете використовувати його для управління "окремими" компонентами інфраструктури, розміщеними в Хмарі або деінде.

Якщо ви продовжуєте використовувати платформу Windows та проміжне програмне забезпечення Microsoft, то рівень підтримки для автентифікації Active Directory у хмарі просить для доменних служб Active Directory навіть більше, ніж у приміщенні.

Хмара всю дорогу

Все ще дійсно прагнете перемістити все до Хмари? Зроби це! Віртуалізуйте свої контролери домену , це не стоп-шоу. Це просто чергове рішення аутсорсингу :-)

Я думаю, що справжнє питання полягає в тому, чи можете ви перенести свій MS-орієнтований "магазин Windows" у хмару без AD DS


Хіба це по суті не менш точний спосіб ітерації вихідного питання? Я прочитав відповідь кілька разів, тому що хочу побачити вашу думку, але не можу. Чи можна уточнити? (а чи не в частині "вимоги не змінюються" пропущено весь дебакл джерел? Як функціональні, так і нефункціональні вимоги підпадають під суворий контроль і часто бачите зміни в проекті пошуку).
ЕрікЕ

Ваше останнє твердження - це саме моя думка, вибачте за розпливчасті фрази. Хмарний аспект не відрізняється від будь-якого іншого ресурсного проекту тим, що ваші бізнес-вимоги не змінюються суттєво, якщо ви вибираєте хмару над будь-яким іншим рішенням для житла / хостингу / віртуалізації. Коли це було сказано, ваше право, моя відповідь боягузлива не має жодної реальної змістовної поради стосовно джерела пошуку
Матіас Р. Єссен

Моє враження, що поняття, що вимоги бізнесу не змінюються суттєво, є типовою точкою продажу хмарних постачальників. Купівля очок не обов'язково відповідає цьому поняттю. Приклад01: зберігання та обробка даних може потребувати регуляторної оцінки щодо того, де (в якій країні) це може бути зроблено. Приклад02: Справа Сноудена розкриває хмару як активну загрозу щодо конфіденційності та цілісності. Швеція фактично отримала попередження на основі доказів про шпигунство за кордоном в індустріальній державі до попередніх років: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE

... є збіг: стаття шведської газети просто отримала незначне спостереження, навіть якщо вона порівняно мізерна щодо інформації: theguardian.com/world/2014/jan/26/… Моя думка полягає лише в тому, що оцінка вимог бізнесу критерії, як правило, зростають, коли зовнішні постачальники житла / хостингу / хмар є альтернативою, що розглядається. Природно, що явні вимоги бізнесу бачать більш-менш зміни через це, в деяких випадках значно.
ЕрікЕ

1
+1 для цього рядка: "Зміна фізичного розташування ваших мережевих служб не змінює ваші вимоги."
Томас

8

Центральний пункт цього питання залежить від того, що ви бачите AD для вас. Якщо він використовується лише як центральний магазин для облікових даних SSO, які використовуються лише для аутентифікації хмарних програм, то, звичайно, його можна замінити іншим центральним сховищем.

Але AD може зробити набагато більше, ніж це:

  • Розгортання програмного забезпечення.

  • Розгортання ОС.

  • Управління принтером

  • Управління профілями користувачів (наприклад, використання роумінгових профілів або UE-V, щоб дозволити користувачам входити в будь-яке місце і зберігати свої локальні дані та налаштування). Я думаю, це все ще має значення навіть тоді, коли всі ваші послуги перебувають у хмарі, оскільки дані все ще можуть бути локальними, а клієнтські машини все ще руйнуються або замінюються.

  • Масштабованість: Я б краще керував забезпеченням та постійним управлінням тисячами своїх облікових записів користувачів за допомогою сценаріїв ADUC & 'локальних' повноважень тощо, а не через Office 365.

  • Інтеграція з нестандартними програмами - наприклад, у нас є система ідентифікаційних карт на основі RFID, яка інтегрується з AD, і я дійсно не хотів би намагатись поговорити з ADFS на базі Azure.

Звичайно, не всі ці речі будуть актуальними щоразу - зворотній мій коментар щодо масштабованості полягає в тому, що малий бізнес із лише кількома користувачами, безумовно, може просто придбати Office 365 або Google Apps, а також будь-який ноутбук продається цього тижня на найближчий супермаркет, для кожного нового найму, якщо вони вирішать, це для них менш болісно.


Який супермаркет продає ноутбуки?
kittykittybangbang

У Алді є їх, Теско, Асда / Вальмарт ...
Роб Моїр

Хм, все ще розгублений. Повинна бути річ Європи ..?
kittykittybangbang

5

Можеш ти? Так. Хочете? Я не думаю, що так. Усі згадані вами рішення підтримують Федерацію AD, і оскільки ви хочете, щоб SSO скрізь був єдиним універсальним способом досягнення, який буде AD.

А такі продукти як LastPass - це сховище паролів, а не SSO.


Хоча правда, що LastPass не є SSO, для кінцевого користувача це не має значення. Вони знають лише те, що їм не потрібно запам’ятовувати декілька паролів. OneLogin - кращий приклад тут. Зайнявши іншу сторону дебатів на секунду (я на вашій стороні, якраз обговорюю) ... можливо, ви не хочете мати справу з ліцензуванням / накладними витратами / тощо. після того, як ви перейшли на 100% хмару. Можливо, опція сторонніх службовців SSO є життєздатною альтернативою AD?
TheCleaner

Якщо мова йде лише про вартість ліцензування, то OpenLDAP буде задовольняти ваші потреби, але вартість обслуговування / час, ймовірно, випереджає вартість ліцензування.
Джеймс Снелл

2

Окрім кількох дійсно хороших відповідей, я хотів би змінити питання: який сенс у тому, щоб не мати Active Directory, якщо ви працюєте в магазині Microsoft? Ви можете заохочувати використовувати та керувати продуктами Microsoft без AD, але вони просто розроблені для роботи з нею, а інтеграція з рідною рекламою завжди буде кращою, ніж будь-яка обробка, яку ви можете ввести.

Менша складність? Відсутність AD фактично додає більше складності вашому оточенню, тому що ви повинні знайти відповідні альтернативи для всього, що AD зробив би поза коробкою; AD додає ... що? Кілька контролерів домену (які цілком можуть бути VM, не вимагаючи навіть додаткового обладнання)? Будь-який молодший адміністратор Windows може керувати невеликою рекламою, а всі старші можуть керувати великою. Якщо ви досить досвідчені в продуктах Microsoft, щоб мати можливість знайти та реалізувати обхідні шляхи для відсутності AD, ви, безумовно, достатньо кваліфіковані, щоб реально їх використовувати .

Витрати? Які кошти? Ви вже сказали, що збираєтесь з повною хмарою, тому пара додаткових візуальних машин Azure навіть не зможе зробити невелику вм'ятину у вашому бюджеті; навіть пара ліцензій на сервер Windows для фізичних постійних клієнтів не зважатиме на те, що ви вже витрачаєте на Інтернет-сервіси (не кажучи вже про клієнтські ліцензії на Windows та Office, які вам ще потрібні для всіх ваших користувачів).

TL; DR: загалом , я дійсно не бачу сенсу не мати AD, враховуючи, наскільки тривіальним є його реалізація (навіть у великому масштабі) та скільки ви отримуєте, отримавши її.


Я погоджуюся з цим, і це схоже на деякі відповіді та їх ключові моменти. Я думаю, що ми всі згодні, що більшість пропозицій може скористатися AD набагато простіше, ніж насильно жити без цього. Окрім цього (якщо я пішов з моїм ОП), тепер, коли Azure пропонує ADaaS з тісною інтеграцією до O365, якби ви спускалися лише по шляху Azure / O365 для невеликого магазину, вкладаючи все в "хмару", тоді було б більше біль НЕ використовувати AD.
TheCleaner

-2

Вам не потрібно "AD", але це полегшить ваше життя. Залежно від вашого розміру, переконайтеся, що у вас є 2 сервери, 1 первинна, 1 резервна копія, інакше, якщо ви втратите сервер AD (і у вас є лише 1), вам потрібно буде відновити домен, якщо тільки ваші резервні копії не будуть СОЛІДНІ.


4
Вибачте, але я думаю, що ви повністю пропустили суть питання.
Роб Моїр
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.