Wenn ein Windows-Shop "alles" in die Cloud verschiebt, benötigt er dann noch Active Directory?

49

Machen Sie sich ein Bild von dieser Frage: Brauche ich wirklich MS Active Directory? in eine neue Richtung für 2014.

Unter Berücksichtigung einer grundlegenden Windows-Infrastruktur:

  • Domänencontroller
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Dateiserver / Druckserver
  • AD Integriertes DNS
  • AD-authentifizierte Geräte von Drittanbietern (z. B. 802.1X für Netzwerke und möglicherweise Inhaltsfilterung usw.)
  • AD / LDAP-authentifizierte "administrative" Funktionen für IT-Apps / Hardware / etc.
  • Vielleicht ein paar KMS-Sachen
  • Werfen Sie eine CA, wenn Sie möchten
  • einheimische Apps
  • Inhouse-Apps von Drittanbietern

Lassen Sie uns jetzt alles rausreißen und entscheiden, dass wir in die Cloud gehen. Wir haben uns verpflichtet, Exchange / Sharepoint / File Services nach Office 365 zu verlagern. SQL wird nun auch auf so etwas wie Azure gehostet. Wir haben uns von AD-DNS verabschiedet und führen einfach alles über einen einfachen Windows-DNS-Server aus. Wir benötigen weiterhin 802.1X und möchten SSO wenn möglich für unsere verschiedenen Cloud-Apps. Eigenentwickelte und firmeneigene Apps von Drittanbietern bleiben wahrscheinlich erhalten, können jedoch interne Benutzerdatenbanken anstelle der AD-Authentifizierung verwenden

Die Frage ist ... Brauchen wir überhaupt Active Directory?

Oder genauer gesagt, AD vor Ort oder sogar über Azure oder ähnliches (ADFS) gehostet oder ADDS auf einer gehosteten VM über Azure oder ähnliches ausgeführt. Könnten / sollten wir uns nach etwas anderem umsehen, wie einer SSO-Option eines Drittanbieters wie http://www.onelogin.com/partners/app-partners/office-365/ oder ähnlichem, die SSO-Funktionen bereitstellen kann, selbst wenn sie so einfach sind wie LastPass oder ähnliches für jeden Benutzer?

Welche legitimen Bedürfnisse erfüllt AD, wenn alles andere in der Cloud ist?

Könnte eine MS-zentrierte Infrastruktur ohne AD auskommen, wenn sie alles, was zuvor auf AD beruhte, auf SaaS-Angebote verlagert, die nicht auf AD-Authentifizierung beruhten?

active-directory cloud adfs microsoft-office-365 saas Der Reiniger
quelle
7
Die Workstations Ihrer Benutzer gehen nicht in die Cloud ... und wenn ja, würde ich sehr gerne wissen, wie Sie das machen!
Michael Hampton
Hat Amazon kein gehostetes VDI-Produkt? (Klingt für mich wie Wahnsinn, aber dann werde ich einfach in einen CAPEX-Kampf gegen einen OPEX-Kampf mit einem Bohnen-Zähler gehen ...)
Evan Anderson
1
Amazon hat eine gehostete VDI in Beta. Es gibt andere Unternehmen, die dies tun, aber bei vielen von ihnen können Sie keine Software installieren. Wenn Sie "Windows auf dem iPad ausführen" googeln, werden Sie wahrscheinlich alle finden, da dies der übliche Anwendungsfall zu sein scheint. (Typisches Beispiel: nytimes.com/2012/02/23/technology/personaltech/… )
Katherine Villyard

Antworten:

89

Ich habe eine große Anzahl von Arbeitsstationen ohne AD verwaltet. Ich hatte Elektrowerkzeuge (Altiris Deployment Solution), aber es tat in bestimmten Situationen immer noch weh:

  1. Der Sicherheitsprüfer meldet, dass unsere Standardkennwortrichtlinie für Arbeitsstationen nicht ausreichend ist. Um die Komplexität und das Ablaufen von Kennwörtern usw. auf 5.000 Computern zu ändern, mussten wir ein (nicht-triviales) Skript schreiben und die Ausführung auf allen Computern planen. (Viel Glück beim Auffangen der Laptops übrigens!)
  2. Kartierungsabteilung Drucker. Klar, wir könnten die IP-Nummer verwenden. Das heißt, wenn Abteilung A und Abteilung B in einen Druckerkrieg geraten, besteht die Abhilfe darin, den Drucker abzustecken und dem Täter dann zurück zu seiner Arbeitsstation zu folgen, um den Drucker von seiner Arbeitsstation zu entfernen. (Ich nehme an, Sie könnten stattdessen Druckverwaltungssoftware kaufen.) Wie ist dieser Drucker überhaupt auf seiner Workstation gelandet, wenn er nicht verwendet werden soll, und wie können Sie verhindern, dass er dort wieder landet?
  3. Es gibt Registrierungsschlüssel für WSUS, sodass Sie technisch gesehen kein AD für die Patchverwaltung benötigen. Wenn Sie diese Registrierungsschlüssel jedoch in das Image aufnehmen, müssen Sie sicherstellen, dass einige Schlüssel (SusClientID und PingID) gelöscht werden. Andernfalls werden sie niemals aktualisiert. Um genauer und genauer zu sein, wird nur einer von ihnen aktualisiert.
  4. Software wird installiert. Sie können dies mit Elektrowerkzeugen (LANdesk, Altiris usw.) tun, aber das ist zusätzliches Geld.
  5. Druckertreiber "Poison". Ich habe ein paar davon gesehen. Das beste Mittel war eine Druckwarteschlange mit einem aktualisierten Treiber.
  6. Das Drucken unter Windows 7 hätte epische Wutanfälle, wenn wir nicht zulässige Gesamtstrukturen / zulässige Hosts für Punkt- und Druckeinschränkungen festlegen. Vielleicht wäre dies keine große Sache, wenn alle Drucker nur IP-Geräte wären, solange Benutzer1 nie den lokalen Drucker von Benutzer2 verwenden möchte. Ohne AD mussten unsere Techniker entweder gpedit auf der Workstation oder auf dem Master-Image verwenden.
  7. Sie gehen von Cloud Exchange aus, aber ich werde auch hinzufügen, dass E-Mail-Migrationen und andere große Änderungen der Infrastruktur ohne AD auf Client-Seite schmerzhaft sind. Ich habe das Skript "Software von alter fehlgeschlagener Migration entfernen / Arbeitsstation zu AD hinzufügen / Benutzerprofil von lokal zu Domäne migrieren / Benutzer von Administrator zu Hauptbenutzer herabstufen / Änderungen an der Firewall vornehmen" ausgeführt und sie über Altiris ausgeführt. (Die Microsoft-Berater schlugen vor, Zeitarbeitskräfte mit USB-Sticks zu mieten, bis ich ihnen mein Kung-Fu zeigte.)

Es gibt auch Softwareanbieter, die Sie so betrachten, als hätten Sie drei Köpfe, wenn Sie ihnen mitteilen, dass Sie Arbeitsgruppen anstelle von Domänen haben. Altiris wird in Arbeitsgruppen ausgeführt, aber Ihre Desktop-Techniker dürfen beispielsweise niemals ihre Kennwörter ändern. (Okay, okay. Sie können ihr Passwort ändern. Sie müssen aber auch an Ihrem Cube vorbeischauen und ihr neues Passwort in den Server eingeben oder Ihnen mitteilen, wie ihr neues Passwort lautet.)

Was ich vorhabe ist: Sie können viele Workstations ohne AD verwalten, aber Sie müssen möglicherweise Ersatzsoftware kaufen, und selbst mit netter Software werden Sie auf schmerzhafte Dinge stoßen.

Katherine Villyard
quelle
15
Ich wünschte, ich könnte diese Antwort zweimal unterstützen. Es lohnt sich, eine erfahrene Beschreibung dieses besonderen und seltenen Grabens zu lesen.
ErikE
3
Was waren aus Neugier die geschäftlichen Gründe für eine Umgebung dieser Größe ohne AD?
2
Mein Vorgänger und ich haben beide wiederholt nach AD gefragt. Normalerweise wurde uns gesagt, dass wir so groß sind, dass es in diesem Jahr zu schwierig wäre, und vielleicht können wir es nächstes Jahr tun, und außerdem haben Sie Altiris. Ein Jahr hat uns unser alter, aussterbender Mailserver übertroffen (die gescheiterte Migration). Im nächsten Jahr entschied ein Vizepräsident, dass wir Exchange benötigen, und wir mussten AD haben, um Exchange durchzuführen. Numfar, mach den Tanz der Freude!
Katherine Villyard
6
+1 - Ich habe einen kleinen Kunden, der keine AD hat, und es ist unerträglich , mit ihnen zu arbeiten. Meine Einstellung zu AD ähnelt meiner Einstellung zu DHCP. Sie benötigen sie, wenn Sie mehr als null Client-Computer haben.
Evan Anderson
4
Ich muss Ihre Standhaftigkeit im Umgang mit solch einer schrecklichen Umgebung ohne AD bewundern. Ich glaube, ich hätte eine Samba-Domain beendet oder bereitgestellt, wenn es noch schlimmer gekommen wäre. (Ich mag auch Ihr bisschen über das Schreiben von Skripten in diesem letzten bisschen. Ich bin todkrank von "Sysadmins", die grundlegende Operationen nicht automatisieren können. Es ist eine traurige Situation, wenn Berater ihre Erwartungen auch so niedrig einstellen.)
Evan Anderson
13

AD und GPO werden weiterhin die Verwaltung von Arbeitsstationen übernehmen. Ohne sie zahlen Sie für eine Drittanbieteranwendung oder vertrauen Ihren Benutzern wirklich wirklich wirklich .

Wenn Sie so etwas wie ausschließlich BYOD ausführen oder nur zustandslose VMs für die Arbeit verteilen, gilt dies weniger.

mfinni
quelle
8

Die Cloud ist nur ein weiterer ISP

Aufregend ist, dass jede Cloud nur ein weiterer Outsourcing-Anbieter ist - ein Unternehmen, das versucht, Flexibilität für Ihre Infrastruktur und Ihren Betrieb zu bieten, oft zu geringeren Kosten und (hoffentlich) besserer Zuverlässigkeit. Sicher, die Cloud zielt auf die Vereinfachung gängiger Service-Ziele wie Skalierbarkeit, Zuverlässigkeit und Leistung ab - aber es ist immer noch nur eine Hosting-Option

Sie benötigen eine Identity- und Access-Management-Plattform, und Active Directory passt zu den Anforderungen, die Sie bereits vor Ort oder bei Ihrem Hosting-Anbieter stellen?

Durch Ändern des physischen Standorts Ihrer Netzwerkdienste werden Ihre Anforderungen nicht geändert.

Active Directory ist in hohem Maße erweiterbar, auch wenn eine große Anzahl von Systemen nicht direkt von AD DS abhängig ist. Sie können es dennoch zum Verwalten von "eigenständigen" Infrastrukturkomponenten verwenden, die in der Cloud oder an einem anderen Ort gehostet werden.

Wenn Sie weiterhin die Windows-Plattform und die Microsoft-Middleware verwenden, erfordert die Unterstützung für die Active Directory-Authentifizierung in der Cloud Active Directory-Domänendienste, und dies noch mehr als vor Ort.

Wolke den ganzen Weg

Sie möchten immer noch alles in die Cloud verschieben? Tu es! Virtualisieren Sie Ihre Domain Controller , es ist kein Show Stopper. Es ist nur eine weitere Outsourcing-Lösung :-)

Ich denke, die eigentliche Frage ist, ob Sie Ihren MS-zentrierten "Windows-Shop" ohne AD DS in die Cloud verschieben können

Mathias R. Jessen
quelle
Ist dies nicht im Wesentlichen eine weniger präzise Methode, um die ursprüngliche Frage zu wiederholen? Ich habe die Antwort mehrmals gelesen, weil ich Ihren Standpunkt sehen möchte, aber nicht kann. Ist es möglich zu klären? (Fehlt der Teil „Anforderungen ändern sich nicht“ nicht im gesamten Sourcing-Debakel? Sowohl funktionale als auch nicht funktionale Anforderungen werden genauestens geprüft und sehen häufig Änderungen in einem Sourcing-Projekt).
ErikE
Ihre letzte Aussage ist genau mein Punkt, sorry für die vage Formulierung. Der Cloud-Aspekt unterscheidet sich von keinem anderen Sourcing-Projekt darin, dass sich Ihre Geschäftsanforderungen nicht wesentlich ändern, wenn Sie sich für eine Cloud-Lösung anstelle einer anderen Housing-, Hosting- oder Virtualisierungslösung entscheiden. Abgesehen davon, Ihr Recht, ist meine Antwort feige, ohne wirklich aussagekräftige Ratschläge in Bezug auf die Beschaffung
Mathias R. Jessen
Mein Eindruck ist, dass die Vorstellung, dass sich die Geschäftsanforderungen nicht wesentlich ändern, ein typisches Verkaufsargument für Cloud-Anbieter ist. Der Kauf von Punkten entspricht nicht unbedingt dieser Vorstellung. Beispiel 01: Die Speicherung und Verarbeitung von Daten erfordert möglicherweise eine behördliche Bewertung, wo (in welchem ​​Land) sie durchgeführt werden dürfen. Beispiel 02: In der Snowden-Affäre wird die Cloud als aktive Bedrohung in Bezug auf Vertraulichkeit und Integrität dargestellt. Schweden hat tatsächlich vor Jahren eine evidenzbasierte Warnung über ausländische Wirtschaftsspionage erhalten: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE 25.01.14
... es ist ein Zufall: Der schwedische Zeitungsartikel hat nur eine geringfügige Nachbearbeitung erhalten, auch wenn die Informationen vergleichsweise knapp sind: theguardian.com/world/2014/jan/26/… Mein Punkt ist einfach, dass die Bewertung der Geschäftsanforderungen Kriterien nehmen tendenziell zu, wenn externe Anbieter von Wohnraum / Hosting / Clouds in Betracht gezogen werden. Die expliziten Geschäftsanforderungen ändern sich dadurch naturgemäß mehr oder weniger, zum Teil erheblich.
ErikE
1
+1 für diese Zeile: "Durch Ändern des physischen Standorts Ihrer Netzwerkdienste werden Ihre Anforderungen nicht geändert."
Thomas
8

Der zentrale Punkt dieses Problems hängt davon ab, was AD für Sie tut. Wenn es nur als zentraler Speicher für SSO-Anmeldeinformationen verwendet wird, die nur zur Authentifizierung bei Cloud-Apps verwendet werden, kann es natürlich durch einen anderen zentralen Speicher ersetzt werden.

Aber AD kann noch viel mehr:

  • Software-Bereitstellung.

  • Betriebssystembereitstellung.

  • Druckerverwaltung.

  • Benutzerprofilverwaltung (z. B. Verwendung von Roaming-Profilen oder UE-V , damit Benutzer sich überall anmelden und ihre lokalen Daten und Anpassungen beibehalten können). Ich denke, dass dies auch dann noch wichtig ist, wenn sich alle Ihre Dienste in der Cloud befinden, da die Daten immer noch lokal sind und die Client-Computer immer noch ausfallen oder ersetzt werden.

  • Skalierbarkeit: Ich möchte die Bereitstellung und fortlaufende Verwaltung meiner Tausenden von Benutzerkonten lieber über ADUC und "lokales" Powershell-Scripting usw. als über Office 365 verwalten.

  • Integration in nicht standardisierte Anwendungen - z. B. verfügen wir über ein RFID-basiertes ID-Kartensystem, das sich in AD integrieren lässt, und ich hätte wirklich keine Lust, es mit Azure-basiertem ADFS kommunizieren zu lassen.

Natürlich werden nicht alle diese Dinge jedes Mal relevant sein - die Umkehrung meines Kommentars zur Skalierbarkeit ist, dass ein kleines Unternehmen mit nur wenigen Benutzern mit Sicherheit nur Office 365 oder Google Apps kaufen kann, plus den Laptops, die diese Woche zum Verkauf angeboten werden den nächstgelegenen Supermarkt für jede neue Anmietung, wenn sie feststellen, dass dies für sie weniger schmerzhaft ist.

Rob Moir
quelle
Welcher Supermarkt verkauft Laptops?
Kittykittybangbang
Aldi hat sie, Tesco, Asda / Walmart ...
Rob Moir
Hmm, immer noch verwirrt. Muss eine Europasache sein ..?
Kittykittybangbang
5

Könntest du? Ja. Würdest du gerne? Ich glaube nicht. Alle von Ihnen erwähnten gehosteten Lösungen unterstützen AD Federation, und da Sie SSO überall einsetzen möchten, ist dies die einzige universelle Möglichkeit, dies zu erreichen, AD.

Und Produkte wie LastPass sind ein Passwort-Tresor, kein SSO.

langer Hals
quelle
LastPass ist zwar kein einmaliges Anmelden, für den Endbenutzer jedoch unerheblich. Sie müssen sich lediglich nicht mehrere Passwörter merken. OneLogin ist hier das bessere Beispiel. Ich habe die andere Seite der Debatte für eine Sekunde in Anspruch genommen (ich bin auf Ihrer Seite und diskutiere nur) ... vielleicht möchten Sie sich nicht mit der Lizenzierung / dem Overhead / etc. Befassen. AD zu haben, sobald Sie 100% Wolke gegangen sind. Vielleicht ist eine SSO-Option eines Drittanbieters eine praktikable Alternative zu AD?
TheCleaner
Wenn es nur um Lizenzkosten geht, würde OpenLDAP Ihre Anforderungen erfüllen, aber die Kosten für Wartung / Zeit würden wahrscheinlich die Lizenzkosten übersteigen.
James Snell
2

Abgesehen von ein paar wirklich guten Antworten möchte ich die Frage umkehren: Was hat es für einen Sinn, kein Active Directory zu haben, wenn Sie einen Microsoft-Shop betreiben? Sie können Microsoft-Produkte auch ohne AD verwenden und verwalten, aber sie sind nur für die Verwendung mit AD konzipiert. Die native AD-Integration ist immer besser als jede Umgehung, die Sie verwenden können.

Geringere Komplexität? Das Fehlen von AD erhöht die Komplexität Ihrer Umgebung, da Sie geeignete Alternativen für alles finden müssen, was AD standardmäßig getan hätte. AD zu haben fügt hinzu ... was? Ein paar Domänencontroller (bei denen es sich möglicherweise um VMs handelt, für die nicht einmal zusätzliche Hardware erforderlich ist)? Jeder Junior-Windows-Administrator kann ein kleines AD verwalten, und alle Senior-Administratoren können ein großes AD verwalten. Wenn Sie sich mit Microsoft-Produkten auskennen, um Problemumgehungen für das Nichtvorhandensein von AD zu finden und zu implementieren, sind Sie auf jeden Fall in der Lage, es tatsächlich zu verwenden .

Kosten? Welche kosten Sie haben bereits gesagt, dass Sie eine vollständige Cloud verwenden, sodass einige zusätzliche Azure-VMs nicht einmal Ihr Budget einschränken können. Nicht einmal ein paar Windows Server-Lizenzen für physische Domänencontroller wären möglich, wenn man bedenkt, was Sie bereits für Onlinedienste ausgeben (ganz zu schweigen von Client-Windows- und Office-Lizenzen, die Sie noch für alle Benutzer benötigen).

TL; DR: Alles in allem sehe ich keinen Grund , AD nicht zu haben, da es so trivial ist, es zu implementieren (auch in großem Maßstab) und wie viel Sie dadurch gewinnen.

Massimo
quelle
Ich bin damit einverstanden und es ähnelt einigen der anderen Antworten und ihren wichtigsten Punkten / Imbissbuden. Ich denke, wir sind uns alle einig, dass die meisten Angebote AD viel einfacher nutzen können, als gewaltsam ohne AD zu leben. Zusätzlich (passend zu meinem OP) wäre es jetzt, da Azure ADaaS mit enger Integration in O365 anbietet, mehr von Ein Schmerz, AD NICHT zu benutzen.
TheCleaner
-2

Sie "brauchen" AD nicht, aber es wird Ihnen das Leben leichter machen. Stellen Sie abhängig von Ihrer Größe sicher, dass Sie 2 Server, 1 Primärserver und 1 Backup haben. Andernfalls müssen Sie eine Domäne neu erstellen, wenn Sie Ihren AD-Server verlieren (und nur 1 haben), es sei denn, Ihre Backups sind SOLID.

tkrabec
quelle
4
Entschuldigung, aber ich denke, Sie haben den Punkt der Frage völlig verpasst.
Rob Moir