Вопрос: Если Windows-магазин перемещает «все» в облако, все равно нужен Active Directory?


Исходя из этого вопроса: Мне действительно нужен MS Active Directory? в новом направлении на 2014 год.

Принимая во внимание базовую инфраструктуру Windows:

  • контроллеры домена
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Файловые серверы / Серверы печати
  • AD Integrated DNS
  • AD аутентифицированные сторонние устройства (скажем, 802.1X для сетей и, возможно, некоторая фильтрация контента и т. Д.),
  • Аутентифицированные «административные» функции AD / LDAP для ИТ-приложений / аппаратных средств и т. Д.
  • возможно, какой-то материал KMS
  • бросить в CA, если вы хотите
  • домашние приложения
  • Приложения сторонних разработчиков

Теперь, давайте разобраем все это и решим, что мы идем в облако. Мы заключили контракт на перенос Exchange / Sharepoint / File Services в Office 365. Теперь SQL будет размещаться также на чем-то вроде Azure. Мы избавились от необходимости использования AD-DNS и просто запускаем все с помощью простого DNS-сервера Windows. Мы по-прежнему нуждаемся в 802.1X и хотели бы использовать SSO, если это возможно, для различных облачных приложений. Возможно, домашние и сторонние приложения на собственном уровне останутся, но имеют возможность использовать внутренние пользовательские базы данных вместо аутентификации AD

Вопрос в том, действительно ли нам нужен Active Directory?

Или более точно, AD на месте или даже размещен через Azure или аналогичную (ADFS) или запущен ADDS на размещенной VM через Azure или аналогично. Могли / Должны ли мы смотреть на что-то еще, например, на сторонний вариант SSO, например http://www.onelogin.com/partners/app-partners/office-365/ или аналогичный, который может обеспечить функциональность SSO, даже если он такой же простой, как LastPass или аналогичный для каждого пользователя?

Какие законные потребности выполняет AD, если все остальное в облаке?

Может ли инфраструктура, ориентированная на MS-концентратор, уйти от отсутствия AD, если они переместят все, что ранее полагалось на AD, на предложения SaaS, которые не полагались на аутентификацию AD?


49
2018-01-24 20:41


Источник


Рабочие станции ваших пользователей не собираются «облако» ... и если они есть, я очень хотел бы знать, как вы это делаете! - Michael Hampton♦
У Amazon нет размещенного продукта VDI? (Для меня это звучит как безумие, но тогда я просто попаду в битву с OPEX и битком против босса ...) - Evan Anderson
Amazon имеет размещенный VDI в бета-версии. Есть и другие компании, которые делают это, но многие из них не позволяют вам устанавливать программное обеспечение. Если вы используете Google для запуска Windows на ipad, вы, вероятно, найдете их все, так как это обычно используется. (Типичный пример: nytimes.com/2012/02/23/technology/personaltech/...) - Katherine Villyard


Ответы:


Мне удалось управлять большим количеством рабочих станций без AD. У меня были электроинструменты (Altiris Deployment Solution), но в некоторых ситуациях он по-прежнему вреден:

  1. Аудитор безопасности приходит и говорит, что наша политика паролей рабочих станций по умолчанию недостаточно. Чтобы изменить сложность пароля и срок его действия и т. Д., На 5000 машинах нам пришлось написать (нетривиальный) сценарий и запланировать запуск на всех машинах. (Удачи ловить ноутбуки, кстати!)
  2. Картографические отделочные принтеры. Конечно, мы могли бы использовать IP-номер. Это означает, что если Отдел A и Отдел B войдут в войну с принтером, это средство включает в себя разметку принтера, а затем после того, как нарушитель вернулся на свою рабочую станцию, чтобы удалить принтер со своей рабочей станции. (Я полагаю, вы могли бы купить программное обеспечение для управления печатью.) Кроме того, как этот принтер оказался на своей рабочей станции в первую очередь, если они не должны использовать его, и как вы помешаете ему снова попасть туда?
  3. Есть ключи реестра для WSUS, поэтому вы технически не требуется AD для управления исправлениями. Однако, если вы включите эти ключи реестра в образ, вам необходимо убедиться и удалить пару ключей (SusClientID и PingID), иначе они будут никогда получать обновления. Или, чтобы быть более конкретным и точным, только один из них получит обновления.
  4. Установка программного обеспечения. Вы можете сделать это с помощью электроинструментов (LANdesk, Altiris и т. Д.), Но это дополнительные деньги.
  5. Драйверы «Poison». Я видел пару таких. Лучшим средством правовой защиты была очередь печати с обновленным драйвером.
  6. Для печати в Windows 7 были бы эпические истерики, если мы не установили разрешенные леса / разрешенные узлы в ограничениях по типу и печати. Возможно, это не будет большой проблемой, если все принтеры будут ip-only, если User1 никогда не захочет использовать локальный принтер User2. Без AD наши техники должны были либо использовать gpedit на рабочей станции, либо на главном изображении.
  7. Вы принимаете облачный Exchange, но я также собираюсь добавить, что миграция электронной почты и другие большие инфраструктурные изменения без AD болезненны на стороне клиента. Я написал сценарий «удалить программное обеспечение из старой неудачной миграции / добавить рабочую станцию ​​в AD / перенаправить профиль пользователя из локального пользователя в домен / demote от администратора, чтобы активировать пользователя / внести изменения в брандмауэр» и запустить их через Altiris. (Консультанты Microsoft предлагали нам назначать темпы с помощью флеш-накопителей, пока я не показал им свой кун-фу.)

Кроме того, есть поставщики программного обеспечения, которые смотрят на вас, как будто у вас три головы, когда вы говорите им, что у вас есть рабочие группы, а не домены. Altiris работает в рабочих группах, но вашим настольным технологиям никогда не разрешается менять свои пароли, например. (Хорошо, хорошо, они могут изменить свой пароль, но они также должны качать по вашему кубу и вводить новый пароль на сервер, или сказать тебе что их новый пароль.)

То, что я получаю, это: вы можете управлять множеством рабочих станций без AD, но вам может потребоваться купить программное обеспечение для замены, и даже с помощью приятного программного обеспечения вы столкнетесь с болезненными вещами.


88
2018-01-24 22:01



Мне жаль, что я не смог бы удвоить этот ответ. Приятно прочитать опытное описание этого конкретного и редкого траншеи. - ErikE
Из любопытства, каковы были бизнес-причины окружающей среды такого размера без AD? - kce
Мой предшественник и я оба неоднократно просили AD. Нам обычно говорили, что мы настолько велики, что в этом году это будет слишком сложно, и, возможно, мы сможем это сделать в следующем году, и, кроме того, у вас есть Алтирис. Один год, наш древний, умирающий почтовый сервер превзошел нас (неудачная миграция). В следующем году вице-президент решил, что нам нужна Exchange, и нам пришлось иметь AD для обмена. Numfar, сделай танец радости! - Katherine Villyard
+1 - У меня есть один маленький Клиент, у которого нет AD, и это мучительный работать с ними. Мой прием AD похож на мой прием на DHCP - вам это нужно, когда у вас больше нулевых клиентских компьютеров. - Evan Anderson
Я должен восхищаться вашей стойкостью в борьбе с такой ужасной обстановкой без AD. Я думаю, что я бы ушел или развернул домен Samba, если хуже стало хуже. (Мне также нравится ваш бит о скрипте fu в этом последнем бите. Я досаду до смерти «системных администраторов», которые не могут автоматизировать основные операции. Это печальное положение дел, когда консультанты также слишком низко оценивают свои ожидания). - Evan Anderson


AD и GPO все равно будут обрабатывать управление рабочими станциями. Без этого вы платите за стороннее приложение или действительно действительно доверяя вашим пользователям.

Если вы делаете что-то вроде строго BYOD или распространяете только виртуальные машины без состояния для работы, тогда это не так сильно.


12
2018-01-24 21:05





Облако - это еще один интернет-провайдер

Несмотря на то, что любое облако - это еще один поставщик аутсорсинга - компания, предлагающая гибкость для вашей инфраструктуры и операций, часто с пониженной стоимостью и (надеюсь) более надежную. Конечно, Cloud нацелен на упрощение общих поисковых задач, таких как масштабируемость, надежность и производительность, но это все еще просто вариант хостинга

Вам нужна платформа для управления идентификацией и доступом, а Active Directory подходит для того, что вам нужно на месте или у вашего хостинг-провайдера уже вы говорите?

Изменение физического местоположения ваших сетевых сервисов не изменяет ваших требований.

Active Directory очень расширяема, даже если большое количество систем не зависит напрямую от AD DS, вы все равно можете использовать его для управления «автономными» инфраструктурными компонентами, размещенными в Cloud или где-либо еще.

Если вы продолжаете использовать платформу Windows и промежуточное ПО Microsoft, то высокий уровень поддержки проверки подлинности Active Directory в облаке требует доменных служб Active Directory, даже больше, чем на месте.

Облако на всем пути

Все еще очень заинтересованы в том, чтобы переместить все в Облако? Сделай это! Виртуализировать контроллеры домена, это не шоу-стоппер. Это просто другое решение для аутсорсинга :-)

Я думаю, что реальный вопрос заключается в том, можете ли вы перенести свой MS-ориентированный «магазин Windows» в облако без AD DS


8
2018-01-25 03:27



Разве это не менее точный способ повторения первоначального вопроса? Я несколько раз читал ответ, потому что хочу видеть вашу мысль, но не могу. Можно ли уточнить? (и не является ли «недостающая часть требований» отсутствием полного сбоя источников? Как функциональные, так и нефункциональные требования подвергаются серьезному анализу и часто видят изменение в проекте поиска). - ErikE
Ваше последнее утверждение - это точно моя точка зрения, извините за туманную формулировку. Аспект Cloud не отличается от любого другого проекта sourcing тем, что ваш бизнес-требования существенно не преобразуется, если вы выбираете облако над любым другим решением для размещения / размещения / виртуализации. Сказанное, ваше право, мой ответ трусливо лишен каких-либо реальных значимых советов в отношении источников - Mathias R. Jessen
У меня сложилось впечатление, что понятие бизнес-требований, которое не меняется значительно, является типичным пункт продажи поставщиков облачных вычислений. Точки покупки не обязательно соответствуют этому понятию. Example01: для хранения и обработки данных может потребоваться регламентационная оценка того, где (в какой стране) это может быть сделано. Example02: дело Сноуден показывает облако как активную угрозу конфиденциальности и целостности. Швеция фактически получила доказательство, основанное на предупреждении о государственном промышленном облачном шпионаже за предыдущие годы: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd - ErikE
... есть совпадение: шведская газетная статья только что получила незначительное продолжение, даже если она сравнительно скудна по информации: theguardian.com/world/2014/jan/26/... Моя точка зрения заключается в том, что критерии оценки требований к бизнесу имеют тенденцию к росту, когда внешние поставщики жилья / хостинга / облака являются альтернативными вариантами. Естественно, из-за этого явные бизнес-требования видят больше или меньше изменений, в некоторых случаях значительно. - ErikE
+1 для этой строки: «Изменение физического расположения ваших сетевых сервисов не меняет ваших требований». - Thomas


Центральная точка этого вопроса зависит от того, что вы видите AD для себя. Если он используется только в качестве центрального хранилища учетных данных SSO, которые используются только для аутентификации в облачных приложениях, то, конечно, его можно заменить другим центральным хранилищем.

Но AD может сделать намного больше, чем это:

  • Внедрение программного обеспечения.

  • Развертывание ОС.

  • Управление принтером.

  • Управление профилями пользователей (например, с использованием перемещаемых профилей или UE-V чтобы пользователи могли регистрироваться в любом месте и сохранять свои локальные данные и настройки). Я думаю, что это все еще имеет значение, даже когда все ваши службы находятся в облаке, потому что данные все еще могут быть локальными, а клиентские компьютеры все еще ломаются или заменяются.

  • Масштабируемость. Я бы предпочел управлять подготовкой и постоянным управлением тысячами учетных записей пользователей с помощью ADUC и «локальных» сценариев powershell и т. Д., А не только через Office 365.

  • Интеграция с нестандартными приложениями. у нас есть система ID-карт на основе RFID, которая интегрируется с AD, и мне действительно не хотелось бы, чтобы она говорила с ADFS на базе Azure.

Конечно, не все эти вещи будут актуальны каждый раз - обратная сторона моего комментария о масштабируемости заключается в том, что малый бизнес с несколькими пользователями может, конечно, просто купить Office 365 или Google Apps, а также любой ноутбук, продаваемый на этой неделе в ближайший супермаркет, за каждый новый прокат, если они решат, что для них это менее болезненно.


8
2018-01-24 23:36



Какой супермаркет продает ноутбуки? - kittykittybangbang
У Алди есть их, Теско, Асда / Уолмар ... - Rob Moir
Хм, все еще смущен. Должна быть вещь в Европе ..? - kittykittybangbang


Могли бы вы? Да. Хочешь? Я так не думаю. Все размещенные решения, которые вы упомянули, поддерживают федерацию AD, и поскольку вы хотите, чтобы SSO повсюду был единственным универсальным способом достижения этого, это будет AD.

И такие продукты, как LastPass, являются хранилищем паролей, а не SSO.


5
2018-01-24 21:14



Хотя верно, что LastPass не является SSO, для конечного пользователя это не имеет значения. Все, что они знают, им не нужно запоминать несколько паролей. Один из них - лучший пример. Взял другую сторону дискуссии на секунду (я на вашей стороне, просто обсуждаю) ... может быть, вы не хотите иметь дело с лицензированием / накладными расходами и т. Д. из-за того, что у вас есть AD, когда вы перешли на 100% облако. Может быть, сторонний вариант SSO является жизнеспособной альтернативой AD? - TheCleaner
Если речь идет исключительно о стоимости лицензирования, то OpenLDAP удовлетворит ваши потребности, но стоимость обслуживания / времени, вероятно, превысит стоимость лицензирования. - James Snell


Помимо некоторых действительно хороших ответов, я хотел бы обратить вспять вопрос: какой смысл в не имея Active Directory, если вы используете магазин Microsoft? Вы Можно обойтись, чтобы использовать и управлять продуктами Microsoft без AD, но они просто предназначены для работы с ним, а встроенная интеграция с AD всегда будет лучше, чем любое решение, которое вы можете использовать.

Меньше сложности? Отсутствие AD фактически добавляет Большесложность для вашей среды, потому что вам нужно найти подходящие альтернативы для всего, что AD сделал бы из коробки; добавив AD ... что? Несколько контроллеров домена (которые вполне могут быть виртуальными машинами, поэтому даже не требуют дополнительного оборудования)? Любой младший администратор Windows может управлять небольшим AD, и все старшие могут управлять большим. Если вы достаточно хорошо разбираетесь в продуктах Microsoft, чтобы иметь возможность находить и применять обходные пути для того, чтобы не иметь AD, вы определенно достаточно квалифицированы, чтобы на самом деле использование Это.

Расходы? Какие издержки? Вы уже сказали, что находитесь в полном облаке, поэтому пара дополнительных Azure VMs даже не сможет сделать небольшую вмятину в вашем бюджете; даже пара лицензий на Windows Server для физических контроллеров не будет предоставляться с учетом того, что вы уже тратите в онлайн-сервисах (не говоря уже о клиентских лицензиях Windows и Office, которые вам все еще нужны для всех ваших пользователей).

TL; DR: в целом, я действительно не вижу смысла в не имея AD, учитывая, насколько тривиальным является его реализация (даже в больших масштабах) и насколько вы выигрываете, имея его.


2
2017-09-13 22:41



Я согласен с этим, и это похоже на некоторые другие ответы и их ключевые моменты / вынос. Я думаю, мы все согласны с тем, что большинство предложений могут использовать AD намного легче, чем насильственно жить без него. Кроме того, теперь, когда Azure предлагает ADaaS с тесной интеграцией с O365, если вы должны пойти по пути Azure / O365 только для небольшого магазина, поместив все в «облако», тогда это будет больше боль НЕ использовать AD. - TheCleaner


Вы не нуждаетесь в AD, но это облегчит вашу жизнь. В зависимости от вашего размера убедитесь, что у вас есть 2 сервера, 1 первичная и 1 резервная копия, иначе, если вы потеряете сервер AD (и только 1), вам нужно будет перестроить домен, если только ваши резервные копии не являются SOLID.


-2
2018-01-31 13:40



Извините, но я думаю, что вы полностью упустили суть вопроса. - Rob Moir