Jika toko Windows memindahkan "segalanya" ke cloud, apakah masih membutuhkan Direktori Aktif?

Mengambil putaran dari pertanyaan ini: Apakah saya benar-benar membutuhkan MS Active Directory? dalam arah baru untuk 2014.

Mempertimbangkan infrastruktur Windows dasar:

• pengontrol domain
• Exchange 2007/2010/2013
• Sharepoint
• SQL
• Server File / Print Server
• AD Integrated DNS
• Perangkat pihak ke-3 yang diautentikasi AD (katakanlah 802.1X untuk jaringan dan mungkin beberapa pemfilteran konten, dll.)
• AD / LDAP mengesahkan fungsi "administratif" pada aplikasi / perangkat keras / etc IT.
• mungkin beberapa hal KMS
• melempar CA jika Anda mau
• aplikasi buatan sendiri
• Aplikasi internal pihak ke-3

Sekarang, mari kita cabut semuanya dan putuskan kita akan pergi ke cloud. Kami telah mengontrak untuk memindahkan Exchange / Sharepoint / Layanan File ke Office 365. SQL sekarang juga akan di-host pada sesuatu seperti Azure. Kami telah lolos dari kebutuhan akan AD-DNS dan menjalankan semuanya melalui server DNS Windows yang sederhana. Kami masih membutuhkan 802.1X dan ingin SSO jika memungkinkan ke berbagai aplikasi cloud kami. Aplikasi internal yang dikembangkan oleh pihak rumah dan pihak ketiga kemungkinan akan tetap ada, tetapi memiliki kemampuan untuk menggunakan basis data pengguna internal alih-alih otentikasi AD

Pertanyaannya adalah ... apakah kita benar-benar membutuhkan Direktori Aktif?

Atau lebih tepatnya, AD on-premise atau bahkan dihosting melalui Azure atau serupa (ADFS) atau menjalankan ADDS pada VM yang dihosting melalui Azure atau serupa. Bisa / Haruskah kita melihat sesuatu yang lain seperti opsi SSO pihak ke-3 seperti http://www.onelogin.com/partners/app-partners/office-365/ atau yang serupa yang dapat menyediakan fungsionalitas SSO walaupun itu sesederhana LastPass atau serupa untuk setiap pengguna?

Apa jenis kebutuhan sah yang dipenuhi oleh AD jika segala sesuatu ada di cloud?

Bisakah infrastruktur MS-sentris lolos dengan tidak memiliki AD sama sekali jika mereka memindahkan semua yang sebelumnya bergantung pada penawaran AD ke SaaS yang tidak bergantung pada otentikasi AD?

Saya telah mengelola sejumlah besar workstation tanpa AD. Saya memiliki alat-alat listrik (Altiris Deployment Solution), tetapi masih sakit dalam situasi tertentu:

1. Auditor keamanan masuk dan mengatakan bahwa kebijakan kata sandi workstation default kami tidak cukup baik. Untuk mengubah kompleksitas dan kedaluwarsa kata sandi, dll., Pada 5.000 mesin, kami harus menulis skrip (nontrivial) dan menjadwalkannya agar berjalan di semua mesin. (Selamat mencoba menangkap laptop, omong-omong!)
2. Memetakan printer departemen. Tentu, kami bisa menggunakan nomor IP. Itu berarti bahwa jika Departemen A dan Departemen B terlibat perang printer, perbaikannya melibatkan pengurutan printer dan kemudian mengikuti pelaku kembali ke stasiun kerja mereka untuk mengeluarkan printer dari stasiun kerja mereka. (Saya kira Anda bisa membeli perangkat lunak manajemen cetak.) Juga, bagaimana printer itu berakhir di workstation mereka di tempat pertama jika mereka tidak seharusnya menggunakannya, dan bagaimana Anda mencegahnya berakhir di sana lagi?
3. Ada kunci registri untuk WSUS, jadi Anda secara teknis tidak memerlukan AD untuk manajemen tambalan. Namun, jika Anda memasukkan kunci registri tersebut dalam gambar, Anda harus memastikan dan menghapus beberapa kunci (SusClientID dan PingID) atau yang lainnya mereka tidak akan pernah mendapatkan pembaruan. Atau, untuk lebih spesifik dan akurat, hanya satu dari mereka yang akan mendapat pembaruan.
4. Instalasi perangkat lunak. Anda dapat melakukan ini dengan alat-alat listrik (LANdesk, Altiris, dll.), Tapi itu uang tambahan.
5. Driver printer "Racun". Saya telah melihat beberapa di antaranya. Obat terbaik adalah antrian cetak dengan driver yang diperbarui.
6. Pencetakan Windows 7 akan membuat ulah epic kecuali kita menetapkan host hutan / host yang diizinkan dalam batasan titik dan cetak. Mungkin ini bukan masalah besar jika semua printer hanya ip, selama User1 tidak pernah ingin menggunakan printer lokal User2. Tanpa AD, teknisi kami harus menggunakan gpedit di workstation atau di master image.
7. Anda mengasumsikan cloud Exchange, tetapi saya juga akan menambahkan bahwa migrasi email dan perubahan infrastruktur besar lainnya tanpa AD terasa menyakitkan di sisi klien. Saya membuat skrip untuk "hapus perangkat lunak dari migrasi lama yang gagal / tambahkan workstation ke AD / migrasi profil pengguna dari lokal ke domain / demote pengguna dari admin untuk menggerakkan pengguna / membuat perubahan pada firewall" pekerjaan dan menjalankannya melalui Altiris. (Konsultan Microsoft menyarankan agar kami menyewa temporer dengan thumb drive sampai saya menunjukkan kepada mereka kung-fu saya.)

Juga, ada vendor perangkat lunak yang melihat Anda seolah-olah Anda memiliki tiga kepala ketika Anda memberi tahu mereka bahwa Anda memiliki workgroup daripada domain. Altiris berjalan di workgroups, tetapi teknisi desktop Anda tidak pernah diizinkan untuk mengubah kata sandi mereka, misalnya. (Oke, oke. Mereka dapat mengubah kata sandi mereka. Tetapi mereka juga harus mampir kubus Anda dan mengetik kata sandi baru mereka ke server, atau memberi tahu Anda apa kata sandi baru mereka.)

Apa yang saya maksudkan adalah: Anda dapat mengelola banyak workstation tanpa AD, tetapi Anda mungkin perlu membeli perangkat lunak pengganti, dan bahkan dengan perangkat lunak yang bagus Anda akan mengalami hal-hal yang menyakitkan.

AD dan GPO masih akan menangani manajemen workstation. Tanpa itu, Anda membayar untuk aplikasi pihak ke-3 atau benar-benar sangat mempercayai pengguna Anda.

Jika Anda melakukan sesuatu seperti benar-benar BYOD, atau hanya mendistribusikan VM stateless untuk bekerja, maka ini tidak berlaku banyak.

Cloud hanyalah ISP lain

Meskipun mengasyikkan, setiap Cloud hanyalah penyedia outsourcing lainnya - perusahaan yang berusaha menawarkan fleksibilitas untuk infrastruktur dan operasi Anda, seringkali dengan biaya lebih rendah, dan (semoga) keandalan yang lebih baik. Tentu, Cloud ditargetkan untuk menyederhanakan tujuan layanan yang dicari umum seperti skalabilitas, keandalan, dan kinerja - tetapi itu masih hanya opsi hosting

Anda memerlukan platform Manajemen Identitas dan Akses, dan Direktori Aktif cocok dengan kebutuhan di tempat atau di penyedia hosting Anda, sudahkah Anda katakan?

Mengubah lokasi fisik layanan jaringan Anda tidak mengubah persyaratan Anda.

Active Directory sangat mudah dikembangkan, bahkan dengan sejumlah besar sistem yang tidak bergantung langsung pada AD DS, Anda masih dapat menggunakannya untuk mengelola komponen infrastruktur "berdiri sendiri", yang dihosting di Cloud atau di mana pun.

Jika Anda terus menggunakan platform Windows dan Microsoft middleware, tingkat dukungan belaka untuk otentikasi Direktori Aktif di Cloud meminta Layanan Domain Direktori Aktif, bahkan lebih dari sekadar premis.

Cloud sepanjang jalan

Masih benar-benar tertarik untuk memindahkan semuanya ke Cloud? Lakukan! Virtualisasikan Pengontrol Domain Anda , ini bukan penghenti acara. Ini hanyalah solusi outsourcing :-)

Saya pikir pertanyaan sebenarnya adalah apakah Anda dapat memindahkan "toko Windows" MS-centric ke Cloud tanpa AD DS

Poin utama dari masalah ini tergantung pada apa yang Anda lihat AD lakukan untuk Anda. Jika itu hanya digunakan sebagai toko pusat untuk kredensial SSO yang hanya digunakan untuk mengautentikasi ke aplikasi cloud maka tentu saja dapat diganti dengan toko pusat lain.

Tetapi AD dapat melakukan lebih dari itu:

• Penerapan perangkat lunak.

• Penyebaran OS.

• Manajemen Printer.

• Manajemen profil pengguna (misalnya menggunakan profil roaming atau UE-V untuk memungkinkan pengguna untuk masuk ke mana saja dan menyimpan data dan penyesuaian lokal mereka). Saya pikir ini masih penting bahkan ketika semua layanan Anda ada di cloud, karena data masih bisa lokal dan mesin klien masih rusak atau diganti.

• Skalabilitas: Saya lebih suka mengelola penyediaan dan pengelolaan berkelanjutan ribuan akun pengguna saya melalui skrip powershell ADUC & 'lokal', dll. Daripada murni melalui Office 365.

• Integrasi dengan aplikasi non-standar - misalnya kita memiliki sistem kartu ID berbasis RFID yang terintegrasi dengan AD dan saya benar-benar tidak suka mencoba membuatnya berbicara dengan ADFS berbasis Azure.

Tentu saja, tidak semua hal ini akan relevan setiap saat - kebalikan dari komentar saya tentang skalabilitas adalah bahwa bisnis kecil dengan hanya beberapa pengguna tentu saja dapat membeli Office 365 atau Google Apps, ditambah laptop apa pun yang dijual minggu ini di supermarket terdekat, untuk setiap karyawan baru jika mereka memutuskan ini tidak terlalu menyakitkan bagi mereka.

Bisakah kamu? Iya. Apakah kamu mau? Saya kira tidak. Semua solusi yang di-host yang Anda sebutkan mendukung Federasi AD, dan karena Anda menginginkan SSO di mana-mana satu-satunya cara universal untuk mencapai yang akan menjadi AD.

Dan produk-produk seperti LastPass adalah brankas kata sandi, bukan SSO.

Selain beberapa jawaban yang sangat bagus, saya ingin membalikkan pertanyaan: apa gunanya tidak memiliki Active Directory jika Anda menjalankan toko Microsoft? Anda dapat berkeliling untuk menggunakan dan mengelola produk Microsoft tanpa AD, tetapi mereka hanya dirancang untuk bekerja dengannya, dan integrasi AD asli akan selalu lebih baik daripada solusi yang dapat Anda berikan.

Kompleksitas kurang? Tidak memiliki AD benar-benar menambah lebih kompleksitas lingkungan Anda, karena Anda harus mencari alternatif cocok untuk segala AD akan melakukan out-of-the-box; memiliki AD menambahkan ... apa? Beberapa pengontrol domain (yang mungkin sangat VM, sehingga bahkan tidak memerlukan perangkat keras tambahan)? Admin Windows junior dapat mengelola AD kecil, dan semua senior dapat mengelola besar. Jika Anda cukup mahir dalam produk Microsoft untuk dapat menemukan dan mengimplementasikan solusi untuk tidak memiliki AD, Anda pasti cukup terampil untuk benar-benar menggunakannya .

Biaya? Biaya apa? Anda sudah mengatakan Anda akan cloud penuh, jadi beberapa tambahan Azure VMs bahkan tidak akan dapat membuat sedikitpun dalam anggaran Anda; bahkan tidak beberapa lisensi Windows Server untuk DC fisik, mengingat apa yang sudah Anda belanjakan dalam layanan online (belum lagi lisensi klien Windows dan Office, yang masih Anda perlukan untuk semua pengguna Anda).

TL; DR: semua dalam semua, saya benar-benar tidak melihat ada gunanya tidak memiliki AD, mengingat betapa sepele untuk mengimplementasikannya (bahkan dalam skala besar) dan berapa banyak yang Anda dapatkan dengan memilikinya.

Anda tidak "membutuhkan" AD, tetapi itu akan membuat hidup Anda lebih mudah. Bergantung pada ukuran Anda, pastikan Anda memiliki 2 Server, 1 primer, 1 cadangan, jika tidak, jika Anda kehilangan server AD (dan hanya memiliki 1), Anda harus membangun kembali domain, kecuali jika cadangan Anda SOLID.