Bir Windows mağazası “her şeyi” buluta taşırsa, yine de Active Directory'ye ihtiyacı var mı?

Bu soruya bir son vermek: MS Active Directory'ye gerçekten ihtiyacım var mı? 2014 için yeni bir yönde.

Temel bir Windows altyapısını dikkate alarak:

• etki alanı denetleyicileri
• Değişim 2007/2010/2013
• Paylaşım Noktası
• SQL
• Dosya Sunucuları / Baskı Sunucuları
• AD Tümleşik DNS
• AD kimliği doğrulanmış 3. taraf cihazları (diyelim ki ağ oluşturma ve belki de bazı içerik filtreleme vb. İçin 802.1X)
• AD / LDAP, BT uygulamaları / donanım / vb.
• belki bazı KMS şeyler
• istersen bir CA'ya at
• evde yetiştirilen uygulamalar
• 3. parti şirket içi uygulamalar

Şimdi hepsini parçalayalım ve buluta gideceğimize karar verelim. Exchange / Sharepoint / Dosya Hizmetlerini Office 365'e taşımayı taahhüt ettik. SQL artık Azure gibi bir konuda da barındırılıyor. AD-DNS gereksiniminden kurtulduk ve basit bir Windows DNS sunucusu üzerinden her şeyi çalıştırdık. Hala 802.1X'e ihtiyacımız var ve çeşitli bulut uygulamalarımız için mümkünse SSO'yu istiyoruz. Evde yetiştirilen ve 3. parti şirket içi uygulamalar büyük olasılıkla kalır, ancak AD kimlik doğrulaması yerine dahili kullanıcı veritabanlarını kullanabilir

Sorun şu ki ... gerçekten Active Directory'ye ihtiyacımız var mı?

Veya dahası, şirket içi AD, hatta Azure veya benzeri (ADFS) aracılığıyla barındırılıyor veya barındırılan bir VM'de Azure veya benzeri aracılığıyla ADDS kullanıyor. / Biz gibi bir 3. parti TOA seçenek gibi başka bir şeye bakmak mı Could http://www.onelogin.com/partners/app-partners/office-365/ o kadar basit olsa bile SSO işlevselliği sağlayabilir veya benzeri LastPass veya her kullanıcı için benzer?

Buluttaki her şey ne olursa olsun, AD ne tür meşru ihtiyaçları karşılıyor?

MS merkezli bir altyapı, daha önce AD’ye dayanan her şeyi AD’nin kimlik doğrulamasına dayanmayan SaaS tekliflerine götürürse, hiç AD’ye sahip olmamaktan kurtulabilir mi?

AD'siz çok sayıda iş istasyonunu yönettim. Elektrikli aletlerim vardı (Altiris Deployment Solution), ancak bazı durumlarda hala acıtıyor:

1. Güvenlik denetçisi gelir ve varsayılan iş istasyonu şifre politikamızın yeterince iyi olmadığını söyler. Parola karmaşıklığını ve son kullanma tarihini vb. Değiştirmek için, 5.000 makinede, tüm makinelerde çalışacak (önemsiz) bir komut dosyası ve zamanlama yazmamız gerekti. (Bu arada dizüstü bilgisayarları yakalamakta iyi şanslar!)
2. Harita departmanı yazıcıları. Elbette IP numarasını kullanabiliriz. Bu, eğer Bölüm A ve Bölüm B bir yazıcı savaşına girerse, çözüm yazıcının çıkarılmasını ve ardından işyerinden yazıcıyı çıkarmak için suçlunun iş istasyonuna geri gönderilmesini içerir. (Sanırım yerine baskı yönetimi yazılımı satın alabiliyorsunuz.) Ayrıca, kullanmaması gerekiyorsa bu yazıcı ilk etapta iş istasyonuna nasıl çıktı ve tekrar buraya gelmesini nasıl önleyeceksiniz?
3. WSUS için kayıt defteri anahtarları vardır, bu nedenle teknik olarak yama yönetimi için AD'ye ihtiyacınız yoktur. Ancak, görüntüye bu kayıt defteri anahtarlarını eklerseniz, birkaç anahtar (SusClientID ve PingID) olduğundan emin olmanız veya silmeniz gerekir, aksi takdirde hiç güncelleme almazlar . Veya daha spesifik ve kesin olmak için, bunlardan sadece biri güncellemeler alacaktır.
4. Yazılım yükler. Bunları elektrikli el aletleriyle (LANdesk, Altiris, vb.) Yapabilirsiniz.
5. "Poison" yazıcı sürücüleri. Bunlardan birkaç tane gördüm. En iyi çözüm, güncellenmiş bir sürücünün bulunduğu bir yazdırma kuyruğuydu.
6. İzin verilen orman / izin verilen ana bilgisayarları nokta ve yazdırma kısıtlamalarına koymadıkça, Windows 7 yazdırma epik bir öfke nöbetine sahip olacaktır. Belki de, tüm yazıcılar yalnızca ip kullanıyorsa, Kullanıcı1 Kullanıcı2'nin yerel yazıcısını kullanmak istemediği sürece bu önemli bir şey olmaz. AD olmadan, teknisyenlerimiz iş istasyonunda ya da ana görüntüde gpedit kullanmak zorunda kaldı.
7. Cloud Exchange'i varsayıyorsunuz, ancak ayrıca, AD olmadan e-posta geçişlerinin ve diğer büyük altyapı değişikliklerinin müşteri tarafında acı verici olduğunu da ekleyeceğim. "Yazılımı eski başarısız göçten kaldır / iş istasyonunu AD'ye geçir / kullanıcının profilini yerelden etki alanına / indirgeyen kullanıcıyı yöneticiden güç kullanıcısına / güvenlik duvarında değişiklik yap" komutlarına yazdım ve bunları Altiris aracılığıyla çalıştırdım. (Microsoft danışmanları, onlara kung-fu'umu gösterene kadar parmak uçlu parmaklıklar ile temps tutmamızı öneriyorlardı.)

Ayrıca, alan adlarından ziyade çalışma grubunuz olduğunu söylerken size üç kafanız olduğu gibi görünen yazılım satıcıları var. Altiris çalışma gruplarında çalışır, ancak masaüstü teknolojilerinizin şifrelerini hiçbir zaman değiştirmelerine izin verilmez. (Tamam, tamam. Parolalarını değiştirebilirler. Ancak küpünüzü sallamaları ve yeni parolalarını sunucuya yazmaları veya size yeni parolalarının ne olduğunu söylemeleri gerekir .)

Neye ulaştığım şudur: Çok sayıda iş istasyonunu AD olmadan yönetebilirsiniz, ancak yeni bir yazılım satın almanız gerekebilir ve hatta hoş bir yazılımla bile acı verici durumlarla karşılaşırsınız.

AD ve GPO, iş istasyonlarının yönetimine devam edecek. Onsuz, bir üçüncü taraf uygulaması için para ödüyorsunuz ya da gerçekten kullanıcılarınıza gerçekten güveniyorsunuz.

Kesinlikle BYOD gibi bir şey yapıyorsanız veya çalışmak için yalnızca durumsuz VM'leri dağıtıyorsanız, bu geçerli değildir.

Bulut bir başka ISS'dir

Her ne kadar heyecan verici olsa da, herhangi bir Cloud başka bir dış kaynak sağlayıcısıdır - altyapı ve işlemleriniz için esneklik sunmaya çalışan, genellikle düşük maliyetle ve (umarım) daha iyi güvenilirlik sunan bir şirket. Tabii ki, Bulut, ölçeklenebilirlik, güvenilirlik ve performans gibi yaygın olarak aranan hizmet hedeflerini basitleştirmeyi hedefliyor - ancak yine de sadece bir barındırma seçeneği

Bir Kimlik ve Erişim Yönetimi platformuna ihtiyacınız var ve şirket içi veya barındırma sağlayıcınıza zaten ihtiyacı olan Active Directory uyuyor mu?

Şebeke servislerinizin fiziksel konumunu değiştirmek, gereksinimlerinizi değiştirmez.

Active Directory, doğrudan AD DS'ye bağlı olmayan çok sayıda sistemde bile oldukça genişletilebilir olsa da, Bulut'ta veya başka bir yerde barındırılan "bağımsız" altyapı bileşenlerini yönetmek için hala kullanabilirsiniz.

Windows platformunu ve Microsoft ara katman yazılımını kullanmaya devam ederseniz, Cloud'daki Active Directory kimlik doğrulaması için tam destek düzeyi, Active Directory Etki Alanı Hizmetleri için kurum içi olmaktan çok daha fazlasını gerektirir.

Bütünüyle bulut

Hala her şeyi Bulut'a taşımaya gerçekten hevesli misin? Yap! Etki Alanı Denetleyicilerinizi sanallaştırın , bu bir gösteri durdurucu değil. Sadece başka bir dış kaynak çözümü :-)

Gerçek soru Cloud için MS-merkezli "Windows dükkanı" hareket edip olduğunu düşünüyorum olmadan AD DS

Bu sorunun asıl amacı, AD'nin sizin için ne yaptığını gördüğünüze bağlıdır. Yalnızca yalnızca bulut uygulamalarını doğrulamak için kullanılan SSO kimlik bilgileri için merkezi mağaza olarak kullanılıyorsa, elbette başka bir merkezi mağaza ile değiştirilebilir.

Fakat AD bundan daha fazlasını yapabilir:

• Yazılım dağıtımı.

• İşletim Sistemi Dağıtımı.

• Yazıcı Yönetimi

• Kullanıcı profili yönetimi (örneğin kullanıcıların herhangi bir yerde oturum açmasına ve yerel verilerini ve özelleştirmelerini korumasına izin vermek için gezici profilleri veya UE-V'yi kullanma). Tüm hizmetleriniz bulutta olsa bile, bunun hala önemli olduğunu düşünüyorum, çünkü veriler hala yerel olabilir ve müşteri makineleri hala bozuluyor ya da değiştiriliyor.

• Ölçeklenebilirlik: Binlerce kullanıcı hesabımın temini ve devam eden yönetimini ADUC ve 'yerel' powershell komut dosyası vb.

• Standart olmayan uygulamalarla entegrasyon - örneğin, AD ile entegre olan RFID tabanlı bir kimlik kartı sistemimiz var ve Azure tabanlı ADFS ile konuşmaya çalışmaktan gerçekten hoşlanmıyorum.

Tabii ki, bunların hepsi her zaman alakalı olmayacak - ölçeklenebilirlik hakkındaki yorumumun tersi, sadece birkaç kullanıcılı küçük bir işletmenin kesinlikle Office 365 veya Google Apps satın alabilmesi, artı bu hafta hangi dizüstü bilgisayarda satılacağıdır. en yakın süpermarket, her yeni işe alım için bunun daha az acı verici olduğuna karar verirse.

Yapabildin mi? Evet. İster misin? Sanmıyorum Bahsettiğiniz tüm barındırılan çözümler AD Federasyonu'nu destekliyor ve SSO'yu her yerde görmek istediğinizden, AD'yi gerçekleştirmenin tek evrensel yoludur.

LastPass gibi ürünler de SSO değil bir şifre kasasıdır.

Bazı iyi cevapların yanı sıra, soruyu tersine çevirmek isterim: Microsoft mağazası kullanıyorsanız, Active Directory sahibi olmamanın anlamı nedir? Sen edebilirsiniz kullanmak ve AD olmadan Microsoft ürünlerini yönetmek için toparlamaya, ama sadece onunla çalışmak üzere tasarlanmıştır ve yerli AD entegrasyonu her zaman içinde atabilir herhangi bir geçici daha iyi olacaktır.

Daha az karmaşıklık? AD'ye sahip olmamak, aslında ortamınıza daha fazla karmaşıklık ekler , çünkü AD'nin hazır olduğu her şey için uygun alternatifler bulmanız gerekir; AD ekleyenler ... ne? Birkaç etki alanı denetleyicisi (ki bunlar VM olabilir, dolayısıyla ek donanım gerektirmez)? Herhangi bir küçük Windows yöneticisi, küçük bir AD'yi yönetebilir ve tüm üst düzey yöneticiler büyük bir tane yönetebilir. Microsoft ürünlerinde, AD olmadığı için geçici çözümler bulabilmeniz ve uygulayabilmeniz için yeterli düzeyde uzmanınız varsa, kesinlikle kullanmak için yeterince yetenekli olursunuz .

Maliyetleri? Hangi masraflar? Zaten tam bulut yapacağınızı söylemiştiniz, bu nedenle birkaç ek Azure VM'si bütçenizde küçük bir engel bile oluşturamayacak; Çevrimiçi hizmetlerde zaten ne harcadığınıza bakılmaksızın, fiziksel DC'ler için birkaç Windows Server lisansı bile olmaz (tüm kullanıcılarınız için hala ihtiyaç duyduğunuz istemci Windows ve Office lisanslarından bahsetmeyin).

TL; DR: Sonuçta, gerçekten ne kadar önemsiz olduğu (büyük ölçekte) ve ne kadar kazandığına bakıldığında, AD’ye sahip olmama konusunda hiçbir şey görmüyorum .

AD'ye "ihtiyacınız yok", ancak hayatınızı kolaylaştıracak. Bedeninize bağlı olarak, 2 Sunucunuz olduğundan, 1 birincil, 1 yedek olduğundan emin olun, aksi takdirde AD sunucunuzu kaybederseniz (ve yalnızca 1 tane varsa), yedekleriniz SOLID değilse, bir etki alanı yeniden oluşturmanız gerekir.