Якщо магазин Windows переміщує "все" до хмари, чи все-таки потрібен Active Directory?

Займаючись цим питанням: чи дійсно мені потрібен MS Active Directory? у новому напрямку на 2014 рік.

Враховуючи базову інфраструктуру Windows:

• контролери домену
• Обмін 2007/2010/2013
• Ділитися думкою
• SQL
• Файлові сервери / сервери друку
• AD інтегрований DNS
• AD аутентифіковані сторонні пристрої (скажімо, 802.1X для мереж і, можливо, деяка фільтрація контенту тощо)
• AD / LDAP підтверджує "адміністративні" функції в ІТ-додатках / апараті / тощо.
• можливо, деякі речі KMS
• киньте в CA, якщо хочете
• домашні додатки
• Внутрішні додаткові програми

Тепер давайте вирвемо все це і вирішимо, що ми йдемо до хмари. Ми домовилися про переміщення служб Exchange / Sharepoint / File в Office 365. Тепер SQL також розміщуватиметься на щось на зразок Azure. Ми позбулися від необхідності AD-DNS і просто запустимо все через простий сервер DNS-сервера Windows. Нам все ще потрібно 802.1X і хотіли б, щоб SSO, якщо це можливо, для наших різних хмарних додатків. Домашні програми та сторонні внутрішні додатки, ймовірно, залишаться, але матимуть можливість використовувати внутрішні бази даних замість автентифікації AD

Питання в тому, чи справді нам взагалі потрібний Active Directory?

Або більше до точки, що знаходиться в приміщенні AD або навіть розміщується через Azure або подібне (ADFS) або працює з ADDS на розміщеному VM через Azure або подібне. Чи можемо / чи варто звернутись на щось інше, наприклад, сторонній варіант SSO, такий як http://www.onelogin.com/partners/app-partners/office-365/ або подібний, що може забезпечити функціональність SSO, навіть якщо це так просто, як LastPass чи подібне для кожного користувача?

Які законні потреби виконує AD, якщо все інше в хмарі?

Чи може інфраструктура, орієнтована на MS, взагалі не мати AD, якщо вони перенесуть все, що раніше покладалося на AD, на пропозиції SaaS, які не покладалися на автентифікацію AD?

Я керував великою кількістю робочих станцій без AD. У мене були електроінструменти (рішення Altiris Deployment Solution), але це все одно боліло в певних ситуаціях:

1. Ревізор безпеки заходить і каже, що наша політика щодо паролів на робочій станції за замовчуванням недостатньо хороша. Для того, щоб змінити складність і термін дії пароля тощо, на 5000 машинах нам довелося написати (нетривіальний) сценарій і запланувати графік роботи на всіх машинах. (Вдало ловіть ноутбуки, до речі!)
2. Картування принтерів для відділень. Звичайно, ми могли використовувати номер IP. Це означає, що якщо Департамент А та Відділ B вступають у війну з принтером, засіб захисту передбачає виведення принтера, а потім слідування правопорушника назад на свою робочу станцію, щоб видалити принтер зі своєї робочої станції. (Я припускаю, що ви можете замість цього придбати програмне забезпечення для управління друком.) Крім того, як цей принтер опинився в першу чергу на своїй робочій станції, якщо вони не повинні використовувати його, і як ви запобіжите його знову закінчення?
3. Існують ключі реєстру для WSUS, тому технічно вам не потрібен AD для управління патчем. Однак якщо ви включите ці ключі реєстру до зображення, вам потрібно переконатися та видалити пару ключів (SusClientID та PingID), інакше вони ніколи не отримуватимуть оновлень. Або, якщо бути більш точним і точним, лише один з них отримає оновлення.
4. Встановлення програмного забезпечення. Це можна зробити за допомогою електроінструментів (LANdesk, Altiris тощо), але це додаткові гроші.
5. Драйвери принтера "отруєння". Я бачив пару таких. Найкращим засобом захисту була черга друку з оновленим драйвером.
6. Друк на Windows 7 мав би епічні істерики, якщо ми не встановимо дозволених лісів / дозволених хостів у точкових та друкованих обмеженнях. Можливо, це не буде великою справою, якби всі принтери були лише ip, доки User1 ніколи не хоче використовувати локальний принтер User2. Без AD наші фахівці повинні були або використовувати gpedit на робочій станції, або на головному зображенні.
7. Ви припускаєте хмарний обмін, але я також хочу додати, що міграція електронної пошти та інші великі інфраструктурні зміни без AD болісні для клієнта. Я написав сценарій "видалити програмне забезпечення зі старої невдалої міграції / додати робочу станцію до AD / перенести профіль користувача з локального на домен / демотировать користувача від адміністратора до живлення користувача / внести зміни в брандмауер" та запустив їх через Altiris. (Консультанти Майкрософт пропонували найняти темпи з пальчиковими накопичувачами, поки я не показав їм свою кунг-фу.)

Також є постачальники програмного забезпечення, які дивляться на вас так, як у вас є три голови, коли ви говорите їм, що у вас є робочі групи, а не домени. Altiris працює в робочих групах, але вашим настільним технікам ніколи не дозволяється змінювати свої паролі, наприклад. (Гаразд, добре. Вони можуть змінити свій пароль. Але вони також повинні погойдатися вашим кубом і ввести свій новий пароль на сервер, або сказати, який їх новий пароль.)

Що я отримую за те, що ви можете керувати безліччю робочих станцій без AD, але вам може знадобитися придбати програмне забезпечення для заміни, і навіть за допомогою хорошого програмного забезпечення ви натрапите на болючі речі.

AD та GPO як і раніше працюватимуть з керуванням робочими станціями. Без цього ви платите за сторонню заявку або дійсно дуже довіряєте своїм користувачам.

Якщо ви робите щось на кшталт суворо BYOD або розповсюджуєте лише робочі віртуальні машини без роботи, то це стосується не так багато.

Хмара - це ще один провайдер

Будучи захоплюючим, будь-яка Хмара - це ще один постачальник послуг аутсорсингу - компанія, яка намагається запропонувати гнучкість для вашої інфраструктури та операцій, часто за меншими витратами та (сподіваємось) кращою надійністю. Звичайно, хмара орієнтована на спрощення загальнодоступних цілей сервісу, таких як масштабованість, надійність та продуктивність - але це все ще лише варіант хостингу

Вам потрібна платформа управління ідентифікацією та доступом, і Active Directory підходить для вашого приміщення або у вашого хостинг-провайдера, ви вже говорите?

Зміна фізичного розташування ваших мережевих служб не змінює ваших вимог.

Active Directory є дуже розширюваним, навіть якщо велика кількість систем, безпосередньо не залежних від AD DS, ви все одно можете використовувати його для управління "окремими" компонентами інфраструктури, розміщеними в Хмарі або деінде.

Якщо ви продовжуєте використовувати платформу Windows та проміжне програмне забезпечення Microsoft, то рівень підтримки для автентифікації Active Directory у хмарі просить для доменних служб Active Directory навіть більше, ніж у приміщенні.

Хмара всю дорогу

Все ще дійсно прагнете перемістити все до Хмари? Зроби це! Віртуалізуйте свої контролери домену , це не стоп-шоу. Це просто чергове рішення аутсорсингу :-)

Я думаю, що справжнє питання полягає в тому, чи можете ви перенести свій MS-орієнтований "магазин Windows" у хмару без AD DS

Центральний пункт цього питання залежить від того, що ви бачите AD для вас. Якщо він використовується лише як центральний магазин для облікових даних SSO, які використовуються лише для аутентифікації хмарних програм, то, звичайно, його можна замінити іншим центральним сховищем.

Але AD може зробити набагато більше, ніж це:

• Розгортання програмного забезпечення.

• Розгортання ОС.

• Управління принтером

• Управління профілями користувачів (наприклад, використання роумінгових профілів або UE-V, щоб дозволити користувачам входити в будь-яке місце і зберігати свої локальні дані та налаштування). Я думаю, це все ще має значення навіть тоді, коли всі ваші послуги перебувають у хмарі, оскільки дані все ще можуть бути локальними, а клієнтські машини все ще руйнуються або замінюються.

• Масштабованість: Я б краще керував забезпеченням та постійним управлінням тисячами своїх облікових записів користувачів за допомогою сценаріїв ADUC & 'локальних' повноважень тощо, а не через Office 365.

• Інтеграція з нестандартними програмами - наприклад, у нас є система ідентифікаційних карт на основі RFID, яка інтегрується з AD, і я дійсно не хотів би намагатись поговорити з ADFS на базі Azure.

Звичайно, не всі ці речі будуть актуальними щоразу - зворотній мій коментар щодо масштабованості полягає в тому, що малий бізнес із лише кількома користувачами, безумовно, може просто придбати Office 365 або Google Apps, а також будь-який ноутбук продається цього тижня на найближчий супермаркет, для кожного нового найму, якщо вони вирішать, це для них менш болісно.

Можеш ти? Так. Хочете? Я не думаю, що так. Усі згадані вами рішення підтримують Федерацію AD, і оскільки ви хочете, щоб SSO скрізь був єдиним універсальним способом досягнення, який буде AD.

А такі продукти як LastPass - це сховище паролів, а не SSO.

Окрім кількох дійсно хороших відповідей, я хотів би змінити питання: який сенс у тому, щоб не мати Active Directory, якщо ви працюєте в магазині Microsoft? Ви можете заохочувати використовувати та керувати продуктами Microsoft без AD, але вони просто розроблені для роботи з нею, а інтеграція з рідною рекламою завжди буде кращою, ніж будь-яка обробка, яку ви можете ввести.

Менша складність? Відсутність AD фактично додає більше складності вашому оточенню, тому що ви повинні знайти відповідні альтернативи для всього, що AD зробив би поза коробкою; AD додає ... що? Кілька контролерів домену (які цілком можуть бути VM, не вимагаючи навіть додаткового обладнання)? Будь-який молодший адміністратор Windows може керувати невеликою рекламою, а всі старші можуть керувати великою. Якщо ви досить досвідчені в продуктах Microsoft, щоб мати можливість знайти та реалізувати обхідні шляхи для відсутності AD, ви, безумовно, достатньо кваліфіковані, щоб реально їх використовувати .

Витрати? Які кошти? Ви вже сказали, що збираєтесь з повною хмарою, тому пара додаткових візуальних машин Azure навіть не зможе зробити невелику вм'ятину у вашому бюджеті; навіть пара ліцензій на сервер Windows для фізичних постійних клієнтів не зважатиме на те, що ви вже витрачаєте на Інтернет-сервіси (не кажучи вже про клієнтські ліцензії на Windows та Office, які вам ще потрібні для всіх ваших користувачів).

TL; DR: загалом , я дійсно не бачу сенсу не мати AD, враховуючи, наскільки тривіальним є його реалізація (навіть у великому масштабі) та скільки ви отримуєте, отримавши її.

Вам не потрібно "AD", але це полегшить ваше життя. Залежно від вашого розміру, переконайтеся, що у вас є 2 сервери, 1 первинна, 1 резервна копія, інакше, якщо ви втратите сервер AD (і у вас є лише 1), вам потрібно буде відновити домен, якщо тільки ваші резервні копії не будуть СОЛІДНІ.