Nếu một cửa hàng Windows di chuyển tất cả mọi thứ trên mạng vào đám mây, thì nó vẫn cần Active Directory chứ?

Bỏ qua câu hỏi này: Tôi có thực sự cần MS Active Directory không? theo một hướng mới cho năm 2014.

Có tính đến cơ sở hạ tầng Windows cơ bản:

• bộ điều khiển miền
• Trao đổi 2007/2010/2013
• Điểm chia sẻ
• SQL
• Máy chủ tệp / Máy chủ in
• AD tích hợp DNS
• Các thiết bị bên thứ 3 được xác thực của AD (giả sử là 802.1X để kết nối mạng và có thể một số bộ lọc nội dung, v.v.)
• Các chức năng "quản trị" được xác thực của AD / LDAP trên các ứng dụng / phần cứng / vv.
• có lẽ một số công cụ KMS
• ném vào CA nếu bạn thích
• ứng dụng trồng tại nhà
• Ứng dụng trong nhà của bên thứ 3

Bây giờ, hãy xé tất cả ra và quyết định chúng ta sẽ lên đám mây. Chúng tôi đã ký hợp đồng để chuyển Exchange / Sharepoint / File Services sang Office 365. SQL hiện sẽ được lưu trữ trên một cái gì đó như Azure. Chúng tôi đã thoát khỏi nhu cầu về AD-DNS và chỉ cần chạy mọi thứ thông qua một máy chủ DNS Windows đơn giản. Chúng tôi vẫn cần 802.1X và muốn SSO nếu có thể cho các ứng dụng đám mây khác nhau của chúng tôi. Các ứng dụng nội bộ được phát triển tại nhà và bên thứ 3 có thể sẽ ở lại, nhưng có khả năng sử dụng cơ sở dữ liệu người dùng nội bộ thay vì xác thực AD

Câu hỏi là ... chúng ta có thực sự cần Active Directory không?

Hoặc hơn thế nữa, AD tại cơ sở hoặc thậm chí được lưu trữ qua Azure hoặc tương tự (ADFS) hoặc chạy ADDS trên máy chủ lưu trữ thông qua Azure hoặc tương tự. Có thể / Chúng ta nên tìm đến một cái gì đó khác như tùy chọn SSO của bên thứ 3 như http://www.onelogin.com/partners/app-partners/office-365/ hoặc tương tự có thể cung cấp chức năng SSO ngay cả khi nó đơn giản như LastPass hoặc tương tự cho mỗi người dùng?

AD đáp ứng những nhu cầu chính đáng nào nếu mọi thứ khác trong đám mây?

Cơ sở hạ tầng trung tâm MS có thể thoát khỏi hoàn toàn không có AD nếu họ di chuyển mọi thứ trước đây dựa trên AD sang các dịch vụ SaaS không dựa vào xác thực AD?

Tôi đã quản lý số lượng lớn máy trạm mà không có AD. Tôi đã có các công cụ mạnh mẽ (Giải pháp triển khai Altiris), nhưng nó vẫn bị tổn thương trong một số tình huống:

1. Kiểm toán viên bảo mật đến và nói rằng chính sách mật khẩu máy trạm mặc định của chúng tôi không đủ tốt. Để thay đổi độ phức tạp của mật khẩu và hết hạn, v.v., trên 5.000 máy, chúng tôi đã phải viết một tập lệnh (không cần thiết) và lên lịch để chạy trên tất cả các máy. (Nhân tiện, may mắn bắt được máy tính xách tay!)
2. Bản đồ bộ phận máy in. Chắc chắn, chúng ta có thể sử dụng số IP. Điều đó có nghĩa là nếu Bộ A và Bộ B tham gia vào cuộc chiến máy in, biện pháp khắc phục liên quan đến việc đặt máy in ra và sau đó theo người vi phạm trở lại máy trạm của họ để gỡ máy in khỏi máy trạm của họ. .
3. Có các khóa đăng ký cho WSUS, vì vậy về mặt kỹ thuật bạn không cần AD để quản lý bản vá. Tuy nhiên, nếu bạn bao gồm các khóa đăng ký đó trong hình ảnh, bạn cần đảm bảo và xóa một vài khóa (SusClientID và PingID) nếu không chúng sẽ không bao giờ nhận được cập nhật. Hoặc, để cụ thể và chính xác hơn, chỉ một trong số họ sẽ nhận được cập nhật.
4. Cài đặt phần mềm. Bạn có thể làm những việc này với các công cụ mạnh mẽ (LANdesk, Altiris, v.v.), nhưng đó là thêm tiền.
5. Trình điều khiển máy in "độc". Tôi đã thấy một vài trong số này. Biện pháp khắc phục tốt nhất là một hàng đợi in với trình điều khiển được cập nhật.
6. In Windows 7 sẽ có những cơn giận dữ sử thi trừ khi chúng tôi đặt các máy chủ được phép / rừng được phép trong các hạn chế điểm và in. Có lẽ điều này sẽ không phải là vấn đề lớn nếu tất cả các máy in chỉ có ip, miễn là User1 không bao giờ muốn sử dụng máy in cục bộ của User2. Không có AD, các kỹ thuật viên của chúng tôi phải sử dụng gpedit trên máy trạm hoặc trên ảnh chính.
7. Bạn đang giả định trao đổi trên nền tảng đám mây, nhưng tôi cũng sẽ thêm rằng việc di chuyển email và các thay đổi cơ sở hạ tầng lớn khác mà không có AD gây khó khăn cho khách hàng. Tôi đã viết kịch bản "xóa phần mềm khỏi di chuyển thất bại cũ / thêm máy trạm vào AD / di chuyển hồ sơ người dùng từ cục bộ sang tên miền / hạ cấp người dùng từ quản trị viên sang người dùng điện / thực hiện thay đổi tường lửa" và chạy chúng thông qua Altiris. (Các chuyên gia tư vấn của Microsoft đã đề nghị chúng tôi thuê temps bằng ổ ngón tay cái cho đến khi tôi cho họ xem kung-fu của mình.)

Ngoài ra, có những nhà cung cấp phần mềm nhìn vào bạn như bạn có ba đầu khi bạn nói với họ rằng bạn có các nhóm làm việc thay vì các miền. Altiris chạy trong các nhóm làm việc, nhưng công nghệ máy tính để bàn của bạn không bao giờ được phép thay đổi mật khẩu của họ, ví dụ. (Được rồi, được rồi. Họ có thể thay đổi mật khẩu. Nhưng họ cũng phải xoay theo khối của bạn và nhập mật khẩu mới của họ vào máy chủ hoặc cho bạn biết mật khẩu mới của họ là gì.)

Những gì tôi nhận được là: Bạn có thể quản lý nhiều máy trạm mà không cần AD, nhưng bạn có thể cần mua phần mềm thay thế, và ngay cả với phần mềm đẹp, bạn sẽ gặp phải những điều đau đớn.

AD và GPO vẫn sẽ xử lý việc quản lý các máy trạm. Không có nó, bạn đang trả tiền cho ứng dụng bên thứ 3 hoặc thực sự thực sự tin tưởng người dùng của bạn.

Nếu bạn đang làm một cái gì đó giống như BYOD, hoặc chỉ phân phối các máy ảo không trạng thái để làm việc, thì điều này sẽ không áp dụng nhiều.

Đám mây chỉ là một ISP khác

Mặc dù thú vị, bất kỳ Cloud nào cũng chỉ là một nhà cung cấp gia công phần mềm khác - một công ty đang cố gắng cung cấp sự linh hoạt cho cơ sở hạ tầng và hoạt động của bạn, thường với chi phí thấp hơn và (hy vọng) có độ tin cậy tốt hơn. Chắc chắn, Cloud được nhắm mục tiêu đơn giản hóa các mục tiêu dịch vụ tìm kiếm phổ biến như khả năng mở rộng, độ tin cậy và hiệu suất - nhưng nó vẫn chỉ là một tùy chọn lưu trữ

Bạn yêu cầu một nền tảng Quản lý truy cập và Nhận dạng và Active Directory phù hợp với nhu cầu tại chỗ hoặc tại nhà cung cấp dịch vụ lưu trữ của bạn, bạn đã nói gì chưa?

Thay đổi vị trí thực của dịch vụ mạng của bạn không thay đổi yêu cầu của bạn.

Active Directory có khả năng mở rộng rất cao, ngay cả với một số lượng lớn hệ thống không phụ thuộc trực tiếp vào AD DS, bạn vẫn có thể sử dụng nó để quản lý các thành phần cơ sở hạ tầng "độc lập", được lưu trữ trong Đám mây hoặc bất kỳ nơi nào khác.

Nếu bạn tiếp tục sử dụng nền tảng Windows và phần mềm trung gian của Microsoft, mức độ hỗ trợ tuyệt đối cho xác thực Active Directory trong Đám mây cầu xin Dịch vụ miền Active Directory, thậm chí còn hơn cả tiền đề.

Đám mây trên mọi nẻo đường

Vẫn thực sự quan tâm đến việc di chuyển mọi thứ lên Cloud? Làm đi! Ảo hóa Bộ kiểm soát miền của bạn , nó không phải là một công cụ chặn hiển thị. Nó chỉ là một giải pháp gia công khác :-)

Tôi nghĩ rằng câu hỏi thực sự là liệu bạn có thể chuyển "cửa hàng Windows" trung tâm của mình sang Đám mây mà không cần AD DS không

Điểm trung tâm của vấn đề này phụ thuộc vào những gì bạn thấy AD đang làm cho bạn. Nếu nó chỉ được sử dụng làm cửa hàng trung tâm cho thông tin SSO chỉ được sử dụng để xác thực các ứng dụng đám mây thì tất nhiên nó có thể được thay thế bằng một cửa hàng trung tâm khác.

Nhưng AD có thể làm được nhiều hơn thế:

• Triển khai phần mềm.

• Triển khai hệ điều hành.

• Quản lý máy in.

• Quản lý hồ sơ người dùng (ví dụ: sử dụng hồ sơ chuyển vùng hoặc UE-V để cho phép người dùng đăng nhập ở bất cứ đâu và giữ dữ liệu và tùy chỉnh cục bộ của họ). Tôi nghĩ điều này vẫn quan trọng ngay cả khi tất cả các dịch vụ của bạn nằm trên đám mây, vì dữ liệu vẫn có thể là cục bộ và máy khách vẫn bị hỏng hoặc bị thay thế.

• Khả năng mở rộng: Tôi muốn quản lý việc cung cấp và quản lý liên tục hàng ngàn tài khoản người dùng của mình thông qua kịch bản quyền hạn của ADUC & 'local', v.v. hơn là hoàn toàn thông qua Office 365.

• Tích hợp với các ứng dụng không chuẩn - ví dụ: chúng tôi có hệ thống thẻ ID dựa trên RFID tích hợp với AD và tôi thực sự không thích thử làm cho nó nói chuyện với ADFS dựa trên Azure.

Tất nhiên, không phải tất cả những điều này đều có liên quan mọi lúc - mặt trái của nhận xét của tôi về khả năng mở rộng là một doanh nghiệp nhỏ chỉ có một vài người dùng chắc chắn có thể mua Office 365 hoặc Google Apps, cộng với bất kỳ máy tính xách tay nào được bán trong tuần này tại siêu thị gần nhất, cho mỗi người thuê mới nếu họ quyết định điều này sẽ ít gây đau đớn hơn cho họ.

Bạn có thể? Đúng. Bạn có muốn không? Tôi không nghĩ vậy. Tất cả các giải pháp được lưu trữ mà bạn đề cập đều hỗ trợ Liên đoàn quảng cáo và vì bạn muốn SSO ở mọi nơi, cách duy nhất để thực hiện đó là AD.

Và các sản phẩm như LastPass là một hầm mật khẩu, không phải SSO.

Ngoài một số câu trả lời thực sự hay, tôi muốn đảo ngược câu hỏi: điểm quan trọng của việc không có Active Directory nếu bạn đang điều hành một cửa hàng của Microsoft là gì? Bạn có thể sử dụng và quản lý các sản phẩm của Microsoft mà không cần AD, nhưng chúng chỉ được thiết kế để hoạt động với nó và tích hợp AD gốc sẽ luôn tốt hơn bất kỳ cách giải quyết nào bạn có thể đưa vào.

Ít phức tạp hơn? Không có AD thực sự làm tăng thêm sự phức tạp cho môi trường của bạn, bởi vì bạn phải tìm các giải pháp thay thế phù hợp cho mọi thứ mà AD sẽ thực hiện ngoài luồng; có AD thêm ... cái gì? Một vài bộ điều khiển miền (rất có thể là VM, do đó thậm chí không yêu cầu phần cứng bổ sung)? Bất kỳ quản trị viên Windows cơ sở nào cũng có thể quản lý một AD nhỏ và tất cả những người cao cấp có thể quản lý một AD lớn. Nếu bạn đủ thành thạo về các sản phẩm của Microsoft để có thể tìm và triển khai các giải pháp cho việc không có AD, bạn chắc chắn đủ kỹ năng để thực sự sử dụng nó.

Chi phí? Những chi phí nào? Bạn đã nói rằng bạn sẽ sử dụng đám mây đầy đủ, do đó, một vài máy ảo Azure bổ sung thậm chí sẽ không thể tạo ra một khoản tiền nhỏ trong ngân sách của bạn; thậm chí không có một vài giấy phép Windows Server cho các DC vật lý, sẽ đưa ra những gì bạn đã chi tiêu cho các dịch vụ trực tuyến (không đề cập đến giấy phép Windows và Office khách mà bạn vẫn cần cho tất cả người dùng của mình).

TL; DR: tất cả trong tất cả, tôi thực sự không thấy bất kỳ điểm nào khi không có AD, do việc thực hiện nó tầm thường như thế nào (ngay cả trên quy mô lớn) và bạn kiếm được bao nhiêu khi có nó.

Bạn không "cần" AD, nhưng nó sẽ giúp cuộc sống của bạn dễ dàng hơn. Tùy thuộc vào kích thước của bạn, đảm bảo bạn có 2 Máy chủ, 1 chính, 1 sao lưu, nếu không, nếu bạn mất máy chủ AD (và chỉ có 1), bạn sẽ cần phải xây dựng lại một tên miền, trừ khi các bản sao lưu của bạn là RẮN.