Nếu một cửa hàng Windows di chuyển tất cả mọi thứ trên mạng vào đám mây, thì nó vẫn cần Active Directory chứ?


49

Bỏ qua câu hỏi này: Tôi có thực sự cần MS Active Directory không? theo một hướng mới cho năm 2014.

Có tính đến cơ sở hạ tầng Windows cơ bản:

  • bộ điều khiển miền
  • Trao đổi 2007/2010/2013
  • Điểm chia sẻ
  • SQL
  • Máy chủ tệp / Máy chủ in
  • AD tích hợp DNS
  • Các thiết bị bên thứ 3 được xác thực của AD (giả sử là 802.1X để kết nối mạng và có thể một số bộ lọc nội dung, v.v.)
  • Các chức năng "quản trị" được xác thực của AD / LDAP trên các ứng dụng / phần cứng / vv.
  • có lẽ một số công cụ KMS
  • ném vào CA nếu bạn thích
  • ứng dụng trồng tại nhà
  • Ứng dụng trong nhà của bên thứ 3

Bây giờ, hãy xé tất cả ra và quyết định chúng ta sẽ lên đám mây. Chúng tôi đã ký hợp đồng để chuyển Exchange / Sharepoint / File Services sang Office 365. SQL hiện sẽ được lưu trữ trên một cái gì đó như Azure. Chúng tôi đã thoát khỏi nhu cầu về AD-DNS và chỉ cần chạy mọi thứ thông qua một máy chủ DNS Windows đơn giản. Chúng tôi vẫn cần 802.1X và muốn SSO nếu có thể cho các ứng dụng đám mây khác nhau của chúng tôi. Các ứng dụng nội bộ được phát triển tại nhà và bên thứ 3 có thể sẽ ở lại, nhưng có khả năng sử dụng cơ sở dữ liệu người dùng nội bộ thay vì xác thực AD

Câu hỏi là ... chúng ta có thực sự cần Active Directory không?

Hoặc hơn thế nữa, AD tại cơ sở hoặc thậm chí được lưu trữ qua Azure hoặc tương tự (ADFS) hoặc chạy ADDS trên máy chủ lưu trữ thông qua Azure hoặc tương tự. Có thể / Chúng ta nên tìm đến một cái gì đó khác như tùy chọn SSO của bên thứ 3 như http://www.onelogin.com/partners/app-partners/office-365/ hoặc tương tự có thể cung cấp chức năng SSO ngay cả khi nó đơn giản như LastPass hoặc tương tự cho mỗi người dùng?

AD đáp ứng những nhu cầu chính đáng nào nếu mọi thứ khác trong đám mây?

Cơ sở hạ tầng trung tâm MS có thể thoát khỏi hoàn toàn không có AD nếu họ di chuyển mọi thứ trước đây dựa trên AD sang các dịch vụ SaaS không dựa vào xác thực AD?


7
Máy trạm của người dùng của bạn sẽ không chuyển sang "đám mây" ... và nếu có, tôi rất muốn biết bạn làm điều đó như thế nào!
Michael Hampton

Không phải Amazon có sản phẩm VDI được lưu trữ sao? (Nghe có vẻ mất trí đối với tôi, nhưng sau đó tôi sẽ tham gia vào trận chiến giữa CAPEX và OPEX với một quầy đậu ...)
Evan Anderson

1
Amazon có VDI được lưu trữ trong phiên bản beta. Có những công ty khác làm điều đó, nhưng rất nhiều trong số họ không cho phép bạn cài đặt phần mềm. Nếu bạn google "chạy Windows trên ipad" thì có lẽ bạn sẽ tìm thấy tất cả, vì đó dường như là trường hợp sử dụng thông thường. (Ví dụ điển hình: nytimes.com/2012/02/23/tĩ/personaltech/
trộm

Câu trả lời:


89

Tôi đã quản lý số lượng lớn máy trạm mà không có AD. Tôi đã có các công cụ mạnh mẽ (Giải pháp triển khai Altiris), nhưng nó vẫn bị tổn thương trong một số tình huống:

  1. Kiểm toán viên bảo mật đến và nói rằng chính sách mật khẩu máy trạm mặc định của chúng tôi không đủ tốt. Để thay đổi độ phức tạp của mật khẩu và hết hạn, v.v., trên 5.000 máy, chúng tôi đã phải viết một tập lệnh (không cần thiết) và lên lịch để chạy trên tất cả các máy. (Nhân tiện, may mắn bắt được máy tính xách tay!)
  2. Bản đồ bộ phận máy in. Chắc chắn, chúng ta có thể sử dụng số IP. Điều đó có nghĩa là nếu Bộ A và Bộ B tham gia vào cuộc chiến máy in, biện pháp khắc phục liên quan đến việc đặt máy in ra và sau đó theo người vi phạm trở lại máy trạm của họ để gỡ máy in khỏi máy trạm của họ. .
  3. Có các khóa đăng ký cho WSUS, vì vậy về mặt kỹ thuật bạn không cần AD để quản lý bản vá. Tuy nhiên, nếu bạn bao gồm các khóa đăng ký đó trong hình ảnh, bạn cần đảm bảo và xóa một vài khóa (SusClientID và PingID) nếu không chúng sẽ không bao giờ nhận được cập nhật. Hoặc, để cụ thể và chính xác hơn, chỉ một trong số họ sẽ nhận được cập nhật.
  4. Cài đặt phần mềm. Bạn có thể làm những việc này với các công cụ mạnh mẽ (LANdesk, Altiris, v.v.), nhưng đó là thêm tiền.
  5. Trình điều khiển máy in "độc". Tôi đã thấy một vài trong số này. Biện pháp khắc phục tốt nhất là một hàng đợi in với trình điều khiển được cập nhật.
  6. In Windows 7 sẽ có những cơn giận dữ sử thi trừ khi chúng tôi đặt các máy chủ được phép / rừng được phép trong các hạn chế điểm và in. Có lẽ điều này sẽ không phải là vấn đề lớn nếu tất cả các máy in chỉ có ip, miễn là User1 không bao giờ muốn sử dụng máy in cục bộ của User2. Không có AD, các kỹ thuật viên của chúng tôi phải sử dụng gpedit trên máy trạm hoặc trên ảnh chính.
  7. Bạn đang giả định trao đổi trên nền tảng đám mây, nhưng tôi cũng sẽ thêm rằng việc di chuyển email và các thay đổi cơ sở hạ tầng lớn khác mà không có AD gây khó khăn cho khách hàng. Tôi đã viết kịch bản "xóa phần mềm khỏi di chuyển thất bại cũ / thêm máy trạm vào AD / di chuyển hồ sơ người dùng từ cục bộ sang tên miền / hạ cấp người dùng từ quản trị viên sang người dùng điện / thực hiện thay đổi tường lửa" và chạy chúng thông qua Altiris. (Các chuyên gia tư vấn của Microsoft đã đề nghị chúng tôi thuê temps bằng ổ ngón tay cái cho đến khi tôi cho họ xem kung-fu của mình.)

Ngoài ra, có những nhà cung cấp phần mềm nhìn vào bạn như bạn có ba đầu khi bạn nói với họ rằng bạn có các nhóm làm việc thay vì các miền. Altiris chạy trong các nhóm làm việc, nhưng công nghệ máy tính để bàn của bạn không bao giờ được phép thay đổi mật khẩu của họ, ví dụ. (Được rồi, được rồi. Họ có thể thay đổi mật khẩu. Nhưng họ cũng phải xoay theo khối của bạn và nhập mật khẩu mới của họ vào máy chủ hoặc cho bạn biết mật khẩu mới của họ là gì.)

Những gì tôi nhận được là: Bạn có thể quản lý nhiều máy trạm mà không cần AD, nhưng bạn có thể cần mua phần mềm thay thế, và ngay cả với phần mềm đẹp, bạn sẽ gặp phải những điều đau đớn.


15
Tôi ước tôi có thể nâng cao câu trả lời này hai lần. Thật bổ ích khi đọc một mô tả có kinh nghiệm về rãnh đặc biệt và hiếm này.
ErikE

3
Vì tò mò, những lý do kinh doanh đằng sau một môi trường có quy mô đó mà không có AD là gì?

2
Người tiền nhiệm của tôi và tôi đều yêu cầu AD nhiều lần. Chúng tôi thường được thông báo rằng chúng tôi quá lớn đến nỗi sẽ quá khó để làm trong năm nay và có lẽ chúng tôi có thể làm điều đó vào năm tới, và bên cạnh đó, bạn có Altiris. Một năm, máy chủ thư cổ, sắp chết của chúng tôi đã vượt qua chúng tôi (cuộc di cư thất bại). Năm sau, một VP quyết định chúng tôi cần Exchange, và chúng tôi phải có AD để thực hiện Exchange. Numfar, làm điệu nhảy của niềm vui!
Kinda Villyard

6
1 - Tôi có một khách hàng nhỏ, những người không có AD và nó tột cùng làm việc với họ. Việc sử dụng AD của tôi tương tự như việc tôi sử dụng DHCP-- bạn cần nó khi bạn có nhiều máy tính khách hơn.
Evan Anderson

4
Tôi phải khâm phục sự dũng cảm của bạn trong việc đối phó với một môi trường khủng khiếp như vậy. Tôi nghĩ rằng tôi đã bỏ, hoặc triển khai một tên miền Samba nếu điều tồi tệ trở nên tồi tệ hơn. .
Evan Anderson

13

AD và GPO vẫn sẽ xử lý việc quản lý các máy trạm. Không có nó, bạn đang trả tiền cho ứng dụng bên thứ 3 hoặc thực sự thực sự tin tưởng người dùng của bạn.

Nếu bạn đang làm một cái gì đó giống như BYOD, hoặc chỉ phân phối các máy ảo không trạng thái để làm việc, thì điều này sẽ không áp dụng nhiều.


8

Đám mây chỉ là một ISP khác

Mặc dù thú vị, bất kỳ Cloud nào cũng chỉ là một nhà cung cấp gia công phần mềm khác - một công ty đang cố gắng cung cấp sự linh hoạt cho cơ sở hạ tầng và hoạt động của bạn, thường với chi phí thấp hơn và (hy vọng) có độ tin cậy tốt hơn. Chắc chắn, Cloud được nhắm mục tiêu đơn giản hóa các mục tiêu dịch vụ tìm kiếm phổ biến như khả năng mở rộng, độ tin cậy và hiệu suất - nhưng nó vẫn chỉ là một tùy chọn lưu trữ

Bạn yêu cầu một nền tảng Quản lý truy cập và Nhận dạng và Active Directory phù hợp với nhu cầu tại chỗ hoặc tại nhà cung cấp dịch vụ lưu trữ của bạn, bạn đã nói gì chưa?

Thay đổi vị trí thực của dịch vụ mạng của bạn không thay đổi yêu cầu của bạn.

Active Directory có khả năng mở rộng rất cao, ngay cả với một số lượng lớn hệ thống không phụ thuộc trực tiếp vào AD DS, bạn vẫn có thể sử dụng nó để quản lý các thành phần cơ sở hạ tầng "độc lập", được lưu trữ trong Đám mây hoặc bất kỳ nơi nào khác.

Nếu bạn tiếp tục sử dụng nền tảng Windows và phần mềm trung gian của Microsoft, mức độ hỗ trợ tuyệt đối cho xác thực Active Directory trong Đám mây cầu xin Dịch vụ miền Active Directory, thậm chí còn hơn cả tiền đề.

Đám mây trên mọi nẻo đường

Vẫn thực sự quan tâm đến việc di chuyển mọi thứ lên Cloud? Làm đi! Ảo hóa Bộ kiểm soát miền của bạn , nó không phải là một công cụ chặn hiển thị. Nó chỉ là một giải pháp gia công khác :-)

Tôi nghĩ rằng câu hỏi thực sự là liệu bạn có thể chuyển "cửa hàng Windows" trung tâm của mình sang Đám mây mà không cần AD DS không


Đây không phải là một cách ít chính xác hơn để lặp lại câu hỏi ban đầu sao? Tôi đã đọc câu trả lời nhiều lần vì tôi muốn thấy quan điểm của bạn, nhưng không thể. Có thể làm rõ? (và không phải là phần 'yêu cầu không thay đổi' thiếu toàn bộ sự cố tìm nguồn cung ứng? Cả hai yêu cầu chức năng và phi chức năng đều được xem xét kỹ lưỡng và thường thấy sự thay đổi trong một dự án tìm nguồn cung ứng).
ErikE

Tuyên bố cuối cùng của bạn là chính xác quan điểm của tôi, xin lỗi cho cụm từ mơ hồ. Khía cạnh đám mây không khác với bất kỳ dự án tìm nguồn cung ứng nào khác ở chỗ các yêu cầu kinh doanh của bạn không biến đổi đáng kể nếu bạn chọn đám mây hơn bất kỳ giải pháp nhà ở / lưu trữ / ảo hóa nào khác. Điều đó đang được nói, quyền của bạn, câu trả lời của tôi là vô hiệu của bất kỳ lời khuyên có ý nghĩa thực sự nào liên quan đến tìm nguồn cung ứng
Mathias R. Jessen

Ấn tượng của tôi là khái niệm về yêu cầu kinh doanh không thay đổi đáng kể là một điểm bán hàng điển hình của các nhà cung cấp đám mây. Điểm mua không nhất thiết phải phù hợp với quan niệm đó. Ví dụ01: lưu trữ và xử lý dữ liệu có thể cần đánh giá theo quy định về việc nó có thể được thực hiện ở đâu (quốc gia nào). Ví dụ02: vụ Snowden tiết lộ đám mây là mối đe dọa tích cực liên quan đến tính bảo mật và tính toàn vẹn. Thụy Điển thực sự đã có một bằng chứng cảnh báo dựa trên các vụ gián điệp công nghiệp nhà nước nước ngoài nhiều năm trước: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE

... có một sự trùng hợp: các bài báo Thụy Điển chỉ có trẻ vị thành niên theo dõi, thậm chí nếu nó là tương đối ít về thông tin: theguardian.com/world/2014/jan/26/... Quan điểm của tôi chỉ đơn giản là rằng các yêu cầu kinh doanh đánh giá tiêu chí có xu hướng tăng lên khi các nhà cung cấp nhà ở / lưu trữ / đám mây bên ngoài là những lựa chọn thay thế đang được xem xét. Đương nhiên, các yêu cầu kinh doanh rõ ràng thấy ít nhiều thay đổi do điều này, trong một số trường hợp đáng kể như vậy.
ErikE

1
+1 cho dòng này: "Thay đổi vị trí thực của dịch vụ mạng của bạn không thay đổi yêu cầu của bạn."
Thomas

8

Điểm trung tâm của vấn đề này phụ thuộc vào những gì bạn thấy AD đang làm cho bạn. Nếu nó chỉ được sử dụng làm cửa hàng trung tâm cho thông tin SSO chỉ được sử dụng để xác thực các ứng dụng đám mây thì tất nhiên nó có thể được thay thế bằng một cửa hàng trung tâm khác.

Nhưng AD có thể làm được nhiều hơn thế:

  • Triển khai phần mềm.

  • Triển khai hệ điều hành.

  • Quản lý máy in.

  • Quản lý hồ sơ người dùng (ví dụ: sử dụng hồ sơ chuyển vùng hoặc UE-V để cho phép người dùng đăng nhập ở bất cứ đâu và giữ dữ liệu và tùy chỉnh cục bộ của họ). Tôi nghĩ điều này vẫn quan trọng ngay cả khi tất cả các dịch vụ của bạn nằm trên đám mây, vì dữ liệu vẫn có thể là cục bộ và máy khách vẫn bị hỏng hoặc bị thay thế.

  • Khả năng mở rộng: Tôi muốn quản lý việc cung cấp và quản lý liên tục hàng ngàn tài khoản người dùng của mình thông qua kịch bản quyền hạn của ADUC & 'local', v.v. hơn là hoàn toàn thông qua Office 365.

  • Tích hợp với các ứng dụng không chuẩn - ví dụ: chúng tôi có hệ thống thẻ ID dựa trên RFID tích hợp với AD và tôi thực sự không thích thử làm cho nó nói chuyện với ADFS dựa trên Azure.

Tất nhiên, không phải tất cả những điều này đều có liên quan mọi lúc - mặt trái của nhận xét của tôi về khả năng mở rộng là một doanh nghiệp nhỏ chỉ có một vài người dùng chắc chắn có thể mua Office 365 hoặc Google Apps, cộng với bất kỳ máy tính xách tay nào được bán trong tuần này tại siêu thị gần nhất, cho mỗi người thuê mới nếu họ quyết định điều này sẽ ít gây đau đớn hơn cho họ.


Siêu thị nào bán laptop?
kittykittybangbang

Aldi có chúng, Tesco, Asda / Walmart ...
Rob Moir

Hừm, vẫn bối rối. Phải là một điều châu Âu ..?
kittykittybangbang

5

Bạn có thể? Đúng. Bạn có muốn không? Tôi không nghĩ vậy. Tất cả các giải pháp được lưu trữ mà bạn đề cập đều hỗ trợ Liên đoàn quảng cáo và vì bạn muốn SSO ở mọi nơi, cách duy nhất để thực hiện đó là AD.

Và các sản phẩm như LastPass là một hầm mật khẩu, không phải SSO.


Mặc dù LastPass không phải là SSO, nhưng đối với người dùng cuối, điều đó không liên quan. Tất cả những gì họ biết là họ không phải nhớ nhiều mật khẩu. OneLogin là ví dụ tốt hơn ở đây. Lấy mặt khác của cuộc tranh luận trong một giây (Tôi đứng về phía bạn, chỉ tranh luận) ... có lẽ bạn không muốn đối phó với việc cấp phép / chi phí / v.v. về việc có AD xung quanh khi bạn đã đi 100% trên đám mây. Có lẽ tùy chọn SSO của bên thứ 3 là một lựa chọn khả thi cho AD?
TheCleaner

Nếu đó hoàn toàn là về chi phí cấp phép thì OpenLDAP sẽ đáp ứng nhu cầu của bạn nhưng chi phí bảo trì / thời gian có thể sẽ vượt xa chi phí cấp phép.
James Snell

2

Ngoài một số câu trả lời thực sự hay, tôi muốn đảo ngược câu hỏi: điểm quan trọng của việc không có Active Directory nếu bạn đang điều hành một cửa hàng của Microsoft là gì? Bạn có thể sử dụng và quản lý các sản phẩm của Microsoft mà không cần AD, nhưng chúng chỉ được thiết kế để hoạt động với nó và tích hợp AD gốc sẽ luôn tốt hơn bất kỳ cách giải quyết nào bạn có thể đưa vào.

Ít phức tạp hơn? Không có AD thực sự làm tăng thêm sự phức tạp cho môi trường của bạn, bởi vì bạn phải tìm các giải pháp thay thế phù hợp cho mọi thứ mà AD sẽ thực hiện ngoài luồng; có AD thêm ... cái gì? Một vài bộ điều khiển miền (rất có thể là VM, do đó thậm chí không yêu cầu phần cứng bổ sung)? Bất kỳ quản trị viên Windows cơ sở nào cũng có thể quản lý một AD nhỏ và tất cả những người cao cấp có thể quản lý một AD lớn. Nếu bạn đủ thành thạo về các sản phẩm của Microsoft để có thể tìm và triển khai các giải pháp cho việc không có AD, bạn chắc chắn đủ kỹ năng để thực sự sử dụng nó.

Chi phí? Những chi phí nào? Bạn đã nói rằng bạn sẽ sử dụng đám mây đầy đủ, do đó, một vài máy ảo Azure bổ sung thậm chí sẽ không thể tạo ra một khoản tiền nhỏ trong ngân sách của bạn; thậm chí không có một vài giấy phép Windows Server cho các DC vật lý, sẽ đưa ra những gì bạn đã chi tiêu cho các dịch vụ trực tuyến (không đề cập đến giấy phép Windows và Office khách mà bạn vẫn cần cho tất cả người dùng của mình).

TL; DR: tất cả trong tất cả, tôi thực sự không thấy bất kỳ điểm nào khi không có AD, do việc thực hiện nó tầm thường như thế nào (ngay cả trên quy mô lớn) và bạn kiếm được bao nhiêu khi có nó.


Tôi đồng ý với điều này và nó tương tự như một số câu trả lời khác và những điểm chính / vấn đề quan trọng của họ. Tôi nghĩ rằng tất cả chúng ta đều đồng ý rằng hầu hết các dịch vụ có thể tận dụng lợi thế của AD dễ dàng hơn nhiều so với việc buộc phải sống mà không có nó. Ngoài ra (đi cùng với OP của tôi), giờ đây Azure cung cấp ADaaS tích hợp chặt chẽ với O365, nếu bạn đi xuống con đường duy nhất Azure / O365 cho một cửa hàng nhỏ đưa mọi thứ vào "đám mây" thì sẽ nhiều hơn một nỗi đau để KHÔNG sử dụng AD.
TheCleaner

-2

Bạn không "cần" AD, nhưng nó sẽ giúp cuộc sống của bạn dễ dàng hơn. Tùy thuộc vào kích thước của bạn, đảm bảo bạn có 2 Máy chủ, 1 chính, 1 sao lưu, nếu không, nếu bạn mất máy chủ AD (và chỉ có 1), bạn sẽ cần phải xây dựng lại một tên miền, trừ khi các bản sao lưu của bạn là RẮN.


4
Xin lỗi, nhưng tôi nghĩ bạn đã hoàn toàn bỏ lỡ điểm của câu hỏi.
Rob Moir
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.