Frage Wenn ein Windows-Shop "alles" in die Cloud verlagert, braucht es noch Active Directory?


Eine Ablenkung von dieser Frage: Brauche ich wirklich MS Active Directory? in eine neue Richtung für 2014.

Unter Berücksichtigung einer grundlegenden Windows-Infrastruktur:

  • Domänencontroller
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Dateiserver / Druckserver
  • AD Integriertes DNS
  • AD authentifizierte 3rd-Party-Geräte (sagen wir 802.1X für Netzwerk und vielleicht einige Content-Filter, etc.)
  • AD / LDAP authentifizierte "administrative" Funktionen auf IT-Anwendungen / Hardware / etc.
  • vielleicht etwas KMS-Zeug
  • Wenn Sie möchten, werfen Sie eine CA ein
  • selbst entwickelte Apps
  • Inhouse-Apps von Drittanbietern

Nun, lasst uns alles rausreißen und entscheiden, dass wir in die Cloud gehen. Wir haben den Vertrag geschlossen, um Exchange / Sharepoint / File Services zu Office 365 zu verschieben. SQL wird nun auch auf so etwas wie Azure gehostet. Wir sind von der Notwendigkeit von AD-DNS befreit und führen einfach alles über einen einfachen Windows-DNS-Server aus. Wir brauchen weiterhin 802.1X und möchten SSO wenn möglich zu unseren verschiedenen Cloud-Apps. Eigenentwickelte und Drittanbieter-interne Apps bleiben wahrscheinlich erhalten, können aber anstelle von AD-Authentifizierung interne Benutzerdatenbanken verwenden

Die Frage ist ... brauchen wir überhaupt Active Directory?

Oder mehr auf den Punkt, AD vor Ort oder sogar gehostet über Azure oder ähnlich (ADFS) oder ADDS auf einer gehosteten VM durch Azure oder ähnliches ausgeführt. Könnten / sollten wir uns etwas anderes ansehen, wie beispielsweise eine SSO-Option eines Drittanbieters http://www.onelogin.com/partners/app-partners/office-365/ oder Ähnliches, das SSO-Funktionalität bereitstellen kann, selbst wenn es für jeden Benutzer so einfach wie LastPass oder ähnlich ist?

Welche legitimen Bedürfnisse erfüllt AD, wenn alles andere in der Cloud ist?

Könnte eine MS-zentrierte Infrastruktur überhaupt keine AD haben, wenn sie alles, was bisher auf AD beruhte, auf SaaS-Angebote verlagern, die nicht auf AD-Authentifizierung angewiesen waren?


49
2018-01-24 20:41


Ursprung


Die Workstations Ihrer Benutzer gehen nicht in die "Cloud" ... und wenn ja, würde ich gerne wissen, wie Sie es tun! - Michael Hampton♦
Hat Amazon kein gehostetes VDI-Produkt? (Klingt für mich nach Wahnsinn, aber dann komme ich einfach in einen CAPEX versus OPEX Kampf mit einem Bohnenzähler ...) - Evan Anderson
Amazon hat einen gehosteten VDI in der Betaversion. Es gibt andere Unternehmen, die das tun, aber viele von ihnen erlauben Ihnen nicht, Software zu installieren. Wenn Sie googlen "Windows auf dem iPad ausführen", werden Sie wahrscheinlich alle finden, da dies der übliche Anwendungsfall zu sein scheint. (Typisches Beispiel: nytimes.com/2012/02/23/technology/personaltech/ ...) - Katherine Villyard


Antworten:


Ich habe eine große Anzahl von Arbeitsplätzen ohne AD verwaltet. Ich hatte Elektrowerkzeuge (Altiris Deployment Solution), aber in bestimmten Situationen schmerzte es immer noch:

  1. Sicherheitsauditor tritt ein und sagt, dass unsere Standard-Workstation-Passwortrichtlinie nicht gut genug ist. Um die Komplexität und das Ablaufdatum eines Passwortes zu ändern, mussten wir auf 5.000 Maschinen ein (nicht-triviales) Skript schreiben und planen, dass es auf allen Maschinen laufen sollte. (Viel Glück beim Abfangen der Laptops!)
  2. Mapping Abteilungsdrucker. Sicher, wir könnten die IP-Nummer verwenden. Das bedeutet, dass, wenn Abteilung A und Abteilung B in einen Druckerkrieg geraten, das Mittel darin besteht, den Drucker abzustützen und dann dem Verursacher zu seiner Arbeitsstation zurückzukehren, um den Drucker von seiner Arbeitsstation zu entfernen. (Ich nehme an, Sie könnten stattdessen eine Druckverwaltungssoftware kaufen.) Und wie ist dieser Drucker überhaupt auf seiner Workstation gelandet, wenn er sie nicht benutzen soll, und wie verhindern Sie, dass er dort wieder landet?
  3. Es gibt Registrierungsschlüssel für WSUS, also Sie technisch benötigen keine AD für das Patch-Management. Wenn Sie jedoch diese Registrierungsschlüssel in das Bild einfügen, müssen Sie einige Schlüssel (SusClientID und PingID) sicherstellen und löschen, sonst werden sie noch nie bekomme Updates immer. Oder, genauer gesagt, nur einer von ihnen wird Updates erhalten.
  4. Software wird installiert. Sie können dies mit Elektrowerkzeugen (LANdesk, Altiris, etc.) tun, aber das ist zusätzliches Geld.
  5. "Poison" -Druckertreiber. Ich habe ein paar davon gesehen. Das beste Mittel war eine Druckerwarteschlange mit einem aktualisierten Treiber.
  6. Das Drucken von Windows 7 würde epische Wutanfälle haben, wenn wir erlaubte forstliche / erlaubte Hosts nicht in Punkt- und Druckbeschränkungen setzen. Vielleicht wäre dies keine große Sache, wenn alle Drucker nur ip-only wären, solange User1 niemals den lokalen Drucker von User2 benutzen möchte. Ohne AD mussten unsere Techniker entweder gpedit auf der Workstation oder auf dem Master-Image verwenden.
  7. Sie nehmen Cloud Exchange an, aber ich werde auch hinzufügen, dass E-Mail-Migrationen und andere große infrastrukturelle Änderungen ohne AD auf der Clientseite schmerzhaft sind. Ich schrieb die Software "Software von alter fehlgeschlagener Migration entfernen / Arbeitsstation zu AD hinzufügen / Benutzerprofil von lokalen zu Domäne migrieren / Benutzer von Admin abmelden, um Benutzer zu aktivieren / Änderungen an Firewall-Jobs vorzunehmen" und führte sie über Altiris durch. (Die Microsoft-Berater schlugen vor, dass wir Tempora mit USB-Sticks anstellen, bis ich ihnen mein Kung-Fu gezeigt habe.)

Außerdem gibt es Softwarehersteller, die Sie so ansehen, als hätten Sie drei Köpfe, wenn Sie ihnen sagen, dass Sie Arbeitsgruppen anstatt Domänen haben. Altiris läuft in Arbeitsgruppen, aber Ihre Desktop-Techniker dürfen zum Beispiel niemals ihre Passwörter ändern. (Okay, okay. Sie können ihr Passwort ändern. Aber sie müssen auch an Ihrem Würfel pendeln und ihr neues Passwort in den Server eingeben, oder sage dir was ihr neues Passwort ist.)

Worauf ich hinaus will: Sie können viele Workstations ohne AD verwalten, aber Sie müssen vielleicht Ersatzsoftware kaufen, und selbst mit guter Software werden Sie schmerzhafte Dinge erleben.


88
2018-01-24 22:01



Ich wünschte, ich könnte diese Antwort zweimal verbessern. Es lohnt sich, eine erfahrene Beschreibung dieses besonderen und seltenen Grabens zu lesen. - ErikE
Aus Neugier, was waren die geschäftlichen Gründe für ein Umfeld dieser Größe ohne AD? - kce
Mein Vorgänger und ich haben beide wiederholt nach AD gefragt. Uns wurde normalerweise gesagt, dass wir so groß sind, dass es in diesem Jahr zu schwer wäre, und vielleicht können wir es nächstes Jahr machen, und außerdem hast du Altiris. Ein Jahr, unser uralter, sterbender Mailserver hat uns übertrumpft (die gescheiterte Migration). Im nächsten Jahr entschied ein VP, dass wir Exchange brauchten, und wir mussten AD haben, um Exchange zu machen. Nufar, tanzt den Freuden! - Katherine Villyard
+1 - Ich habe einen kleinen Kunden, der keine AD hat und es ist quälend mit ihnen zu arbeiten. Meine Annahme von AD ist ähnlich wie meine Annahme von DHCP - Sie brauchen es, wenn Sie mehr als Null Client-Computer haben. - Evan Anderson
Ich muss deine Stärke im Umgang mit solch einer schrecklichen Umgebung ohne AD bewundern. Ich denke, ich hätte aufgehört oder eine Samba-Domain implementiert, wenn es schlimmer kommen würde. (Ich mag auch dein bisschen über Scripting-Fu in diesem letzten Teil. Ich bin zu Tode krank von "Systemadministratoren", die grundlegende Operationen nicht automatisieren können. Es ist ein trauriger Zustand der Dinge, wenn Berater ihre Erwartungen auch so niedrig setzen.) - Evan Anderson


AD und GPO werden weiterhin die Verwaltung von Arbeitsstationen verwalten. Ohne sie bezahlen Sie für eine Drittanbieteranwendung oder wirklich, wirklich, wirklich Vertrauen Ihren Benutzern.

Wenn Sie etwas genau wie BYOD ausführen oder nur zustandslose VMs zum Arbeiten verteilen, trifft dies nicht so zu.


12
2018-01-24 21:05





Die Cloud ist nur ein weiterer ISP

Jede Cloud ist zwar ein interessanter Outsourcing-Anbieter - ein Unternehmen, das Flexibilität für Ihre Infrastruktur und Ihren Betrieb bietet, oft zu geringeren Kosten und (hoffentlich) besserer Zuverlässigkeit. Sicher, die Cloud zielt darauf ab, gemeinsame Ziele wie Skalierbarkeit, Zuverlässigkeit und Leistung zu vereinfachen - aber es ist immer noch nur eine Hosting-Option

Sie benötigen eine Plattform für die Identitäts- und Zugriffsverwaltung, und Active Directory passt zu diesem Bedarf vor Ort oder bei Ihrem Hosting-Anbieter, sagen Sie?

Wenn Sie den physischen Standort Ihrer Netzwerkdienste ändern, ändern sich Ihre Anforderungen nicht.

Active Directory ist sehr erweiterbar, selbst bei einer großen Anzahl von Systemen, die nicht direkt von AD DS abhängig sind. Sie können es weiterhin für die Verwaltung "eigenständiger" Infrastrukturkomponenten verwenden, die in der Cloud oder anderswo gehostet werden.

Wenn Sie weiterhin die Windows-Plattform und die Microsoft-Middleware verwenden, verlangt die reine Unterstützung der Active Directory-Authentifizierung in der Cloud nach Active Directory-Domänendiensten, sogar mehr als vor Ort.

Wolke den ganzen Weg

Möchtest du immer noch alles in die Cloud verschieben? TU es! Virtualisieren Sie Ihre DomänencontrollerEs ist kein Showstopper. Es ist nur eine andere Outsourcing-Lösung :-)

Ich denke, die eigentliche Frage ist, ob Sie Ihren MS-zentrischen "Windows-Shop" in die Cloud verschieben können ohne FÜGT HINZU


8
2018-01-25 03:27



Ist das nicht im Wesentlichen eine weniger genaue Möglichkeit, die ursprüngliche Frage zu wiederholen? Ich habe die Antwort mehrmals gelesen, weil ich Ihren Standpunkt sehen möchte, aber nicht kann. Ist es möglich zu klären? (Und ist nicht der Teil "Anforderungen, die sich nicht ändern" das gesamte Sourcing-Debakel nicht mehr vorhanden? Sowohl funktionale als auch nichtfunktionale Anforderungen stehen unter strenger Beobachtung und sehen häufig Änderungen in einem Sourcing-Projekt). - ErikE
Deine letzte Aussage ist genau mein Punkt, Entschuldigung für die vage Formulierung. Der Cloud-Aspekt unterscheidet sich nicht von anderen Sourcing-Projekten in diesem Bereich Geschäftsanforderungen ändert sich nicht wesentlich, wenn Sie sich für eine andere Lösung für das Hosting / Hosting / Virtualisierung von Cloud entscheiden. Das heißt, Ihr Recht, meine Antwort ist feige, ohne jeden wirklichen bedeutungsvollen Rat in Bezug auf die Beschaffung - Mathias R. Jessen
Mein Eindruck ist, dass sich der Begriff der geschäftlichen Anforderungen nicht wesentlich ändert Verkaufsargument von Cloud-Anbietern. Punkte kaufen stimmen nicht unbedingt mit dieser Vorstellung überein. Beispiel01: Die Datenspeicherung und -verarbeitung erfordert möglicherweise eine ordnungspolitische Bewertung, wo (in welchem ​​Land) sie durchgeführt werden kann. Beispiel02: Die Snowden-Affäre zeigt die Cloud als aktive Bedrohung in Bezug auf Vertraulichkeit und Integrität. Schweden hat tatsächlich eine evidenzbasierte Warnung vor ausländischen Industriespionagewolkenspionagejahren erhalten: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd - ErikE
... es gibt einen Zufall: Der schwedische Zeitungsartikel hat nur eine kleine Nachfolge bekommen, auch wenn er vergleichsweise wenig Informationen hat: theguardian.com/world/2014/jan/26/... Mein Punkt ist einfach, dass die Bewertungskriterien für Geschäftsanforderungen tendenziell wachsen, wenn externe Anbieter von Wohnraum / Hosting / Clouds Alternativen sind. Natürlich ändern sich die expliziten Geschäftsanforderungen dadurch mehr oder weniger, zum Teil erheblich. - ErikE
+1 für diese Zeile: "Wenn Sie den physischen Standort Ihrer Netzwerkdienste ändern, werden Ihre Anforderungen nicht geändert." - Thomas


Der zentrale Punkt dieses Problems hängt davon ab, was AD für Sie tut. Wenn es nur als zentraler Speicher für SSO-Anmeldeinformationen verwendet wird, die nur zur Authentifizierung bei Cloud-Apps verwendet werden, kann es natürlich durch einen anderen zentralen Speicher ersetzt werden.

Aber AD kann viel mehr als das:

  • Software-Bereitstellung.

  • Betriebssystembereitstellung

  • Druckerverwaltung.

  • Benutzerprofilverwaltung (z. B. mit servergespeicherten Profilen oder UE-V um es Benutzern zu ermöglichen, sich überall anzumelden und ihre lokalen Daten und Anpassungen beizubehalten). Ich denke, dass dies auch dann noch wichtig ist, wenn sich alle Ihre Services in der Cloud befinden, da die Daten immer noch lokal sein können und Clientcomputer immer noch ausfallen oder ersetzt werden.

  • Skalierbarkeit: Ich würde eher die Bereitstellung und das laufende Management meiner Tausenden von Benutzerkonten über ADUC und "lokales" Powershell-Scripting usw. als nur über Office 365 verwalten.

  • Integration mit nicht standardmäßigen Anwendungen - z.B. Wir haben ein RFID-basiertes ID-Kartensystem, das in AD integriert ist, und ich würde wirklich nicht gerne versuchen, es mit Azure-basierten ADFS sprechen zu lassen.

Natürlich sind nicht alle diese Dinge jedes Mal relevant - das Gegenteil meines Kommentars zur Skalierbarkeit ist, dass ein kleines Unternehmen mit nur wenigen Nutzern ganz sicher nur Office 365 oder Google Apps kaufen könnte, sowie jeden Laptop, der diese Woche im Handel erhältlich ist der nächste Supermarkt, für jede neue Miete, wenn sie entscheiden, dass dies für sie weniger schmerzhaft ist.


8
2018-01-24 23:36



Welcher Supermarkt verkauft Laptops? - kittykittybangbang
Aldi hat sie, Tesco, Asda / Walmart ... - Rob Moir
Hmm, immer noch verwirrt. Muss ein Europa-Ding sein ..? - kittykittybangbang


Könntest du? Ja. Würdest du gerne? Ich denke nicht. Alle von Ihnen erwähnten gehosteten Lösungen unterstützen AD Federation, und da Sie SSO überall haben wollen, ist der einzige universelle Weg, AD zu erreichen.

Und Produkte wie LastPass sind ein Passwort-Tresor, nicht SSO.


5
2018-01-24 21:14



Obwohl LastPass nicht SSO ist, ist es für den Endnutzer irrelevant. Sie wissen nur, dass sie sich nicht mehrere Passwörter merken müssen. OneLogin ist hier das bessere Beispiel. Habe die andere Seite der Debatte für eine Sekunde genommen (ich bin auf deiner Seite, nur debattierend) ... vielleicht willst du nicht mit der Lizenzierung / Overhead / etc. wenn du AD hast, sobald du 100% Cloud hast. Vielleicht ist eine SSO-Option eines Drittanbieters eine brauchbare Alternative zu AD? - TheCleaner
Wenn es nur um Lizenzkosten geht, würde OpenLDAP Ihre Anforderungen erfüllen, aber die Kosten für Wartung / Zeit würden wahrscheinlich die Kosten der Lizenzierung übersteigen. - James Snell


Abgesehen von einigen wirklich guten Antworten möchte ich die Frage rückgängig machen: Worum geht es? nicht mit Active Directory, wenn Sie einen Microsoft-Shop betreiben? Sie können herumkommen, um Microsoft-Produkte ohne AD zu benutzen und zu handhaben, aber sie sind nur entworfen, um damit zu arbeiten, und native AD-Integration wird immer besser sein als jede mögliche Problemumgehung, die Sie werfen können.

Weniger Komplexität? Nicht AD fügt tatsächlich hinzu MehrKomplexität für Ihre Umgebung, denn Sie müssen geeignete Alternativen für alles finden, was AD out-of-the-box hätte; AD hat hinzugefügt ... was? Ein paar Domänencontroller (was sehr wohl VMs sein können, also keine zusätzliche Hardware erfordern)? Jeder Junior-Windows-Administrator kann einen kleinen AD verwalten, und alle Senior-Administratoren können einen großen AD verwalten. Wenn Sie genügend Erfahrung mit Microsoft-Produkten haben, um Workarounds zu finden und implementieren zu können, ohne AD zu haben, sind Sie auf jeden Fall qualifiziert genug benutzen es.

Kosten? Welche Kosten? Sie haben bereits gesagt, dass Sie mit der vollständigen Cloud arbeiten, sodass einige zusätzliche Azure-VMs nicht einmal in der Lage sind, Ihr Budget zu drosseln. nicht einmal ein paar Windows Server-Lizenzen für physische DCs würden angesichts dessen, was Sie bereits in Online-Diensten ausgeben (ganz zu schweigen von Client-Windows- und Office-Lizenzen, die Sie noch für alle Ihre Benutzer benötigen).

TL; DR: Alles in allem sehe ich wirklich keinen Sinn darin nicht mit AD, vorausgesetzt, wie trivial ist es (auch in großem Maßstab) zu implementieren und wie viel Sie gewinnen, wenn Sie es haben.


2
2017-09-13 22:41



Ich stimme dem zu und es ähnelt einigen anderen Antworten und ihren wichtigsten Punkten / Takeaways. Ich denke, wir sind uns alle einig, dass die meisten Angebote die Vorteile von AD viel leichter nutzen können, als ohne sie zu leben. Zusätzlich dazu, dass Azure jetzt ADaaS mit enger Integration zu O365 anbietet, wenn Sie nur den Azure / O365-Pfad für einen kleinen Shop nutzen möchten, der alles in die "Cloud" stellt, wäre es mehr ein Schmerz, um AD nicht zu benutzen. - TheCleaner


Sie brauchen AD nicht, aber es wird Ihnen das Leben leichter machen. Abhängig von Ihrer Größe, stellen Sie sicher, dass Sie 2 Server, 1 primäre, 1 Sicherung haben. Andernfalls, wenn Sie Ihren AD-Server verlieren (und nur 1 haben), müssen Sie eine Domäne neu aufbauen, außer Ihre Sicherungen sind SOLID.


-2
2018-01-31 13:40



Entschuldigung, aber ich denke, Sie haben den Punkt der Frage völlig verpasst. - Rob Moir