Wenn ein Windows-Shop "alles" in die Cloud verschiebt, benötigt er dann noch Active Directory?

Machen Sie sich ein Bild von dieser Frage: Brauche ich wirklich MS Active Directory? in eine neue Richtung für 2014.

Unter Berücksichtigung einer grundlegenden Windows-Infrastruktur:

• Domänencontroller
• Exchange 2007/2010/2013
• Sharepoint
• SQL
• Dateiserver / Druckserver
• AD Integriertes DNS
• AD-authentifizierte Geräte von Drittanbietern (z. B. 802.1X für Netzwerke und möglicherweise Inhaltsfilterung usw.)
• AD / LDAP-authentifizierte "administrative" Funktionen für IT-Apps / Hardware / etc.
• Vielleicht ein paar KMS-Sachen
• Werfen Sie eine CA, wenn Sie möchten
• einheimische Apps
• Inhouse-Apps von Drittanbietern

Lassen Sie uns jetzt alles rausreißen und entscheiden, dass wir in die Cloud gehen. Wir haben uns verpflichtet, Exchange / Sharepoint / File Services nach Office 365 zu verlagern. SQL wird nun auch auf so etwas wie Azure gehostet. Wir haben uns von AD-DNS verabschiedet und führen einfach alles über einen einfachen Windows-DNS-Server aus. Wir benötigen weiterhin 802.1X und möchten SSO wenn möglich für unsere verschiedenen Cloud-Apps. Eigenentwickelte und firmeneigene Apps von Drittanbietern bleiben wahrscheinlich erhalten, können jedoch interne Benutzerdatenbanken anstelle der AD-Authentifizierung verwenden

Die Frage ist ... Brauchen wir überhaupt Active Directory?

Oder genauer gesagt, AD vor Ort oder sogar über Azure oder ähnliches (ADFS) gehostet oder ADDS auf einer gehosteten VM über Azure oder ähnliches ausgeführt. Könnten / sollten wir uns nach etwas anderem umsehen, wie einer SSO-Option eines Drittanbieters wie http://www.onelogin.com/partners/app-partners/office-365/ oder ähnlichem, die SSO-Funktionen bereitstellen kann, selbst wenn sie so einfach sind wie LastPass oder ähnliches für jeden Benutzer?

Welche legitimen Bedürfnisse erfüllt AD, wenn alles andere in der Cloud ist?

Könnte eine MS-zentrierte Infrastruktur ohne AD auskommen, wenn sie alles, was zuvor auf AD beruhte, auf SaaS-Angebote verlagert, die nicht auf AD-Authentifizierung beruhten?

Ich habe eine große Anzahl von Arbeitsstationen ohne AD verwaltet. Ich hatte Elektrowerkzeuge (Altiris Deployment Solution), aber es tat in bestimmten Situationen immer noch weh:

1. Der Sicherheitsprüfer meldet, dass unsere Standardkennwortrichtlinie für Arbeitsstationen nicht ausreichend ist. Um die Komplexität und das Ablaufen von Kennwörtern usw. auf 5.000 Computern zu ändern, mussten wir ein (nicht-triviales) Skript schreiben und die Ausführung auf allen Computern planen. (Viel Glück beim Auffangen der Laptops übrigens!)
2. Kartierungsabteilung Drucker. Klar, wir könnten die IP-Nummer verwenden. Das heißt, wenn Abteilung A und Abteilung B in einen Druckerkrieg geraten, besteht die Abhilfe darin, den Drucker abzustecken und dem Täter dann zurück zu seiner Arbeitsstation zu folgen, um den Drucker von seiner Arbeitsstation zu entfernen. (Ich nehme an, Sie könnten stattdessen Druckverwaltungssoftware kaufen.) Wie ist dieser Drucker überhaupt auf seiner Workstation gelandet, wenn er nicht verwendet werden soll, und wie können Sie verhindern, dass er dort wieder landet?
3. Es gibt Registrierungsschlüssel für WSUS, sodass Sie technisch gesehen kein AD für die Patchverwaltung benötigen. Wenn Sie diese Registrierungsschlüssel jedoch in das Image aufnehmen, müssen Sie sicherstellen, dass einige Schlüssel (SusClientID und PingID) gelöscht werden. Andernfalls werden sie niemals aktualisiert. Um genauer und genauer zu sein, wird nur einer von ihnen aktualisiert.
4. Software wird installiert. Sie können dies mit Elektrowerkzeugen (LANdesk, Altiris usw.) tun, aber das ist zusätzliches Geld.
5. Druckertreiber "Poison". Ich habe ein paar davon gesehen. Das beste Mittel war eine Druckwarteschlange mit einem aktualisierten Treiber.
6. Das Drucken unter Windows 7 hätte epische Wutanfälle, wenn wir nicht zulässige Gesamtstrukturen / zulässige Hosts für Punkt- und Druckeinschränkungen festlegen. Vielleicht wäre dies keine große Sache, wenn alle Drucker nur IP-Geräte wären, solange Benutzer1 nie den lokalen Drucker von Benutzer2 verwenden möchte. Ohne AD mussten unsere Techniker entweder gpedit auf der Workstation oder auf dem Master-Image verwenden.
7. Sie gehen von Cloud Exchange aus, aber ich werde auch hinzufügen, dass E-Mail-Migrationen und andere große Änderungen der Infrastruktur ohne AD auf Client-Seite schmerzhaft sind. Ich habe das Skript "Software von alter fehlgeschlagener Migration entfernen / Arbeitsstation zu AD hinzufügen / Benutzerprofil von lokal zu Domäne migrieren / Benutzer von Administrator zu Hauptbenutzer herabstufen / Änderungen an der Firewall vornehmen" ausgeführt und sie über Altiris ausgeführt. (Die Microsoft-Berater schlugen vor, Zeitarbeitskräfte mit USB-Sticks zu mieten, bis ich ihnen mein Kung-Fu zeigte.)

Es gibt auch Softwareanbieter, die Sie so betrachten, als hätten Sie drei Köpfe, wenn Sie ihnen mitteilen, dass Sie Arbeitsgruppen anstelle von Domänen haben. Altiris wird in Arbeitsgruppen ausgeführt, aber Ihre Desktop-Techniker dürfen beispielsweise niemals ihre Kennwörter ändern. (Okay, okay. Sie können ihr Passwort ändern. Sie müssen aber auch an Ihrem Cube vorbeischauen und ihr neues Passwort in den Server eingeben oder Ihnen mitteilen, wie ihr neues Passwort lautet.)

Was ich vorhabe ist: Sie können viele Workstations ohne AD verwalten, aber Sie müssen möglicherweise Ersatzsoftware kaufen, und selbst mit netter Software werden Sie auf schmerzhafte Dinge stoßen.

AD und GPO werden weiterhin die Verwaltung von Arbeitsstationen übernehmen. Ohne sie zahlen Sie für eine Drittanbieteranwendung oder vertrauen Ihren Benutzern wirklich wirklich wirklich .

Wenn Sie so etwas wie ausschließlich BYOD ausführen oder nur zustandslose VMs für die Arbeit verteilen, gilt dies weniger.

Die Cloud ist nur ein weiterer ISP

Aufregend ist, dass jede Cloud nur ein weiterer Outsourcing-Anbieter ist - ein Unternehmen, das versucht, Flexibilität für Ihre Infrastruktur und Ihren Betrieb zu bieten, oft zu geringeren Kosten und (hoffentlich) besserer Zuverlässigkeit. Sicher, die Cloud zielt auf die Vereinfachung gängiger Service-Ziele wie Skalierbarkeit, Zuverlässigkeit und Leistung ab - aber es ist immer noch nur eine Hosting-Option

Sie benötigen eine Identity- und Access-Management-Plattform, und Active Directory passt zu den Anforderungen, die Sie bereits vor Ort oder bei Ihrem Hosting-Anbieter stellen?

Durch Ändern des physischen Standorts Ihrer Netzwerkdienste werden Ihre Anforderungen nicht geändert.

Active Directory ist in hohem Maße erweiterbar, auch wenn eine große Anzahl von Systemen nicht direkt von AD DS abhängig ist. Sie können es dennoch zum Verwalten von "eigenständigen" Infrastrukturkomponenten verwenden, die in der Cloud oder an einem anderen Ort gehostet werden.

Wenn Sie weiterhin die Windows-Plattform und die Microsoft-Middleware verwenden, erfordert die Unterstützung für die Active Directory-Authentifizierung in der Cloud Active Directory-Domänendienste, und dies noch mehr als vor Ort.

Wolke den ganzen Weg

Sie möchten immer noch alles in die Cloud verschieben? Tu es! Virtualisieren Sie Ihre Domain Controller , es ist kein Show Stopper. Es ist nur eine weitere Outsourcing-Lösung :-)

Ich denke, die eigentliche Frage ist, ob Sie Ihren MS-zentrierten "Windows-Shop" ohne AD DS in die Cloud verschieben können

Der zentrale Punkt dieses Problems hängt davon ab, was AD für Sie tut. Wenn es nur als zentraler Speicher für SSO-Anmeldeinformationen verwendet wird, die nur zur Authentifizierung bei Cloud-Apps verwendet werden, kann es natürlich durch einen anderen zentralen Speicher ersetzt werden.

Aber AD kann noch viel mehr:

• Software-Bereitstellung.

• Betriebssystembereitstellung.

• Druckerverwaltung.

• Benutzerprofilverwaltung (z. B. Verwendung von Roaming-Profilen oder UE-V , damit Benutzer sich überall anmelden und ihre lokalen Daten und Anpassungen beibehalten können). Ich denke, dass dies auch dann noch wichtig ist, wenn sich alle Ihre Dienste in der Cloud befinden, da die Daten immer noch lokal sind und die Client-Computer immer noch ausfallen oder ersetzt werden.

• Skalierbarkeit: Ich möchte die Bereitstellung und fortlaufende Verwaltung meiner Tausenden von Benutzerkonten lieber über ADUC und "lokales" Powershell-Scripting usw. als über Office 365 verwalten.

• Integration in nicht standardisierte Anwendungen - z. B. verfügen wir über ein RFID-basiertes ID-Kartensystem, das sich in AD integrieren lässt, und ich hätte wirklich keine Lust, es mit Azure-basiertem ADFS kommunizieren zu lassen.

Natürlich werden nicht alle diese Dinge jedes Mal relevant sein - die Umkehrung meines Kommentars zur Skalierbarkeit ist, dass ein kleines Unternehmen mit nur wenigen Benutzern mit Sicherheit nur Office 365 oder Google Apps kaufen kann, plus den Laptops, die diese Woche zum Verkauf angeboten werden den nächstgelegenen Supermarkt für jede neue Anmietung, wenn sie feststellen, dass dies für sie weniger schmerzhaft ist.

Könntest du? Ja. Würdest du gerne? Ich glaube nicht. Alle von Ihnen erwähnten gehosteten Lösungen unterstützen AD Federation, und da Sie SSO überall einsetzen möchten, ist dies die einzige universelle Möglichkeit, dies zu erreichen, AD.

Und Produkte wie LastPass sind ein Passwort-Tresor, kein SSO.

Abgesehen von ein paar wirklich guten Antworten möchte ich die Frage umkehren: Was hat es für einen Sinn, kein Active Directory zu haben, wenn Sie einen Microsoft-Shop betreiben? Sie können Microsoft-Produkte auch ohne AD verwenden und verwalten, aber sie sind nur für die Verwendung mit AD konzipiert. Die native AD-Integration ist immer besser als jede Umgehung, die Sie verwenden können.

Geringere Komplexität? Das Fehlen von AD erhöht die Komplexität Ihrer Umgebung, da Sie geeignete Alternativen für alles finden müssen, was AD standardmäßig getan hätte. AD zu haben fügt hinzu ... was? Ein paar Domänencontroller (bei denen es sich möglicherweise um VMs handelt, für die nicht einmal zusätzliche Hardware erforderlich ist)? Jeder Junior-Windows-Administrator kann ein kleines AD verwalten, und alle Senior-Administratoren können ein großes AD verwalten. Wenn Sie sich mit Microsoft-Produkten auskennen, um Problemumgehungen für das Nichtvorhandensein von AD zu finden und zu implementieren, sind Sie auf jeden Fall in der Lage, es tatsächlich zu verwenden .

Kosten? Welche kosten Sie haben bereits gesagt, dass Sie eine vollständige Cloud verwenden, sodass einige zusätzliche Azure-VMs nicht einmal Ihr Budget einschränken können. Nicht einmal ein paar Windows Server-Lizenzen für physische Domänencontroller wären möglich, wenn man bedenkt, was Sie bereits für Onlinedienste ausgeben (ganz zu schweigen von Client-Windows- und Office-Lizenzen, die Sie noch für alle Benutzer benötigen).

TL; DR: Alles in allem sehe ich keinen Grund , AD nicht zu haben, da es so trivial ist, es zu implementieren (auch in großem Maßstab) und wie viel Sie dadurch gewinnen.

Sie "brauchen" AD nicht, aber es wird Ihnen das Leben leichter machen. Stellen Sie abhängig von Ihrer Größe sicher, dass Sie 2 Server, 1 Primärserver und 1 Backup haben. Andernfalls müssen Sie eine Domäne neu erstellen, wenn Sie Ihren AD-Server verlieren (und nur 1 haben), es sei denn, Ihre Backups sind SOLID.