Jika toko Windows memindahkan "segalanya" ke cloud, apakah masih membutuhkan Direktori Aktif?

49

Mengambil putaran dari pertanyaan ini: Apakah saya benar-benar membutuhkan MS Active Directory? dalam arah baru untuk 2014.

Mempertimbangkan infrastruktur Windows dasar:

  • pengontrol domain
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Server File / Print Server
  • AD Integrated DNS
  • Perangkat pihak ke-3 yang diautentikasi AD (katakanlah 802.1X untuk jaringan dan mungkin beberapa pemfilteran konten, dll.)
  • AD / LDAP mengesahkan fungsi "administratif" pada aplikasi / perangkat keras / etc IT.
  • mungkin beberapa hal KMS
  • melempar CA jika Anda mau
  • aplikasi buatan sendiri
  • Aplikasi internal pihak ke-3

Sekarang, mari kita cabut semuanya dan putuskan kita akan pergi ke cloud. Kami telah mengontrak untuk memindahkan Exchange / Sharepoint / Layanan File ke Office 365. SQL sekarang juga akan di-host pada sesuatu seperti Azure. Kami telah lolos dari kebutuhan akan AD-DNS dan menjalankan semuanya melalui server DNS Windows yang sederhana. Kami masih membutuhkan 802.1X dan ingin SSO jika memungkinkan ke berbagai aplikasi cloud kami. Aplikasi internal yang dikembangkan oleh pihak rumah dan pihak ketiga kemungkinan akan tetap ada, tetapi memiliki kemampuan untuk menggunakan basis data pengguna internal alih-alih otentikasi AD

Pertanyaannya adalah ... apakah kita benar-benar membutuhkan Direktori Aktif?

Atau lebih tepatnya, AD on-premise atau bahkan dihosting melalui Azure atau serupa (ADFS) atau menjalankan ADDS pada VM yang dihosting melalui Azure atau serupa. Bisa / Haruskah kita melihat sesuatu yang lain seperti opsi SSO pihak ke-3 seperti http://www.onelogin.com/partners/app-partners/office-365/ atau yang serupa yang dapat menyediakan fungsionalitas SSO walaupun itu sesederhana LastPass atau serupa untuk setiap pengguna?

Apa jenis kebutuhan sah yang dipenuhi oleh AD jika segala sesuatu ada di cloud?

Bisakah infrastruktur MS-sentris lolos dengan tidak memiliki AD sama sekali jika mereka memindahkan semua yang sebelumnya bergantung pada penawaran AD ke SaaS yang tidak bergantung pada otentikasi AD?

Pembersih
sumber
7
Stasiun kerja pengguna Anda tidak akan "cloud" ... dan jika ya, saya sangat ingin tahu bagaimana Anda melakukannya!
Michael Hampton
Bukankah Amazon memiliki produk VDI yang di-host? (Kedengarannya seperti kegilaan bagiku, tapi kemudian aku hanya akan masuk ke pertempuran CAPEX versus OPEX dengan penghitung kacang ...)
Evan Anderson
1
Amazon memiliki VDI yang dihosting dalam versi beta. Ada perusahaan lain yang melakukannya, tetapi banyak dari mereka tidak mengizinkan Anda untuk menginstal perangkat lunak. Jika Anda google "menjalankan Windows pada ipad" Anda mungkin akan menemukan semuanya, karena sepertinya itu yang biasa digunakan. (Contoh umum: nytimes.com/2012/02/23/technology/personaltech/… )
Katherine Villyard

Jawaban:

89

Saya telah mengelola sejumlah besar workstation tanpa AD. Saya memiliki alat-alat listrik (Altiris Deployment Solution), tetapi masih sakit dalam situasi tertentu:

  1. Auditor keamanan masuk dan mengatakan bahwa kebijakan kata sandi workstation default kami tidak cukup baik. Untuk mengubah kompleksitas dan kedaluwarsa kata sandi, dll., Pada 5.000 mesin, kami harus menulis skrip (nontrivial) dan menjadwalkannya agar berjalan di semua mesin. (Selamat mencoba menangkap laptop, omong-omong!)
  2. Memetakan printer departemen. Tentu, kami bisa menggunakan nomor IP. Itu berarti bahwa jika Departemen A dan Departemen B terlibat perang printer, perbaikannya melibatkan pengurutan printer dan kemudian mengikuti pelaku kembali ke stasiun kerja mereka untuk mengeluarkan printer dari stasiun kerja mereka. (Saya kira Anda bisa membeli perangkat lunak manajemen cetak.) Juga, bagaimana printer itu berakhir di workstation mereka di tempat pertama jika mereka tidak seharusnya menggunakannya, dan bagaimana Anda mencegahnya berakhir di sana lagi?
  3. Ada kunci registri untuk WSUS, jadi Anda secara teknis tidak memerlukan AD untuk manajemen tambalan. Namun, jika Anda memasukkan kunci registri tersebut dalam gambar, Anda harus memastikan dan menghapus beberapa kunci (SusClientID dan PingID) atau yang lainnya mereka tidak akan pernah mendapatkan pembaruan. Atau, untuk lebih spesifik dan akurat, hanya satu dari mereka yang akan mendapat pembaruan.
  4. Instalasi perangkat lunak. Anda dapat melakukan ini dengan alat-alat listrik (LANdesk, Altiris, dll.), Tapi itu uang tambahan.
  5. Driver printer "Racun". Saya telah melihat beberapa di antaranya. Obat terbaik adalah antrian cetak dengan driver yang diperbarui.
  6. Pencetakan Windows 7 akan membuat ulah epic kecuali kita menetapkan host hutan / host yang diizinkan dalam batasan titik dan cetak. Mungkin ini bukan masalah besar jika semua printer hanya ip, selama User1 tidak pernah ingin menggunakan printer lokal User2. Tanpa AD, teknisi kami harus menggunakan gpedit di workstation atau di master image.
  7. Anda mengasumsikan cloud Exchange, tetapi saya juga akan menambahkan bahwa migrasi email dan perubahan infrastruktur besar lainnya tanpa AD terasa menyakitkan di sisi klien. Saya membuat skrip untuk "hapus perangkat lunak dari migrasi lama yang gagal / tambahkan workstation ke AD / migrasi profil pengguna dari lokal ke domain / demote pengguna dari admin untuk menggerakkan pengguna / membuat perubahan pada firewall" pekerjaan dan menjalankannya melalui Altiris. (Konsultan Microsoft menyarankan agar kami menyewa temporer dengan thumb drive sampai saya menunjukkan kepada mereka kung-fu saya.)

Juga, ada vendor perangkat lunak yang melihat Anda seolah-olah Anda memiliki tiga kepala ketika Anda memberi tahu mereka bahwa Anda memiliki workgroup daripada domain. Altiris berjalan di workgroups, tetapi teknisi desktop Anda tidak pernah diizinkan untuk mengubah kata sandi mereka, misalnya. (Oke, oke. Mereka dapat mengubah kata sandi mereka. Tetapi mereka juga harus mampir kubus Anda dan mengetik kata sandi baru mereka ke server, atau memberi tahu Anda apa kata sandi baru mereka.)

Apa yang saya maksudkan adalah: Anda dapat mengelola banyak workstation tanpa AD, tetapi Anda mungkin perlu membeli perangkat lunak pengganti, dan bahkan dengan perangkat lunak yang bagus Anda akan mengalami hal-hal yang menyakitkan.

Katherine Villyard
sumber
15
Saya berharap saya dapat menjawab pertanyaan ini dua kali. Sangat menyenangkan membaca deskripsi yang berpengalaman tentang parit khusus dan langka ini.
ErikE
3
Karena penasaran, apa alasan bisnis di balik lingkungan sebesar itu tanpa iklan?
2
Pendahulu saya dan saya sama-sama meminta AD berulang kali. Kami biasanya diberitahu bahwa kami sangat besar sehingga akan terlalu sulit untuk dilakukan tahun ini dan mungkin kami bisa melakukannya tahun depan, dan selain itu, Anda memiliki Altiris. Suatu tahun, server email kami yang kuno dan sekarat mengalahkan kami (migrasi yang gagal). Tahun berikutnya, seorang VP memutuskan kami membutuhkan Exchange, dan kami harus memiliki AD untuk melakukan Exchange. Numfar, lakukan tarian kegembiraan!
Katherine Villyard
6
+1 - Saya memiliki satu Pelanggan kecil yang tidak memiliki AD dan sangat sulit untuk bekerja dengan mereka. Pandangan saya terhadap AD mirip dengan pendapat saya tentang DHCP - Anda memerlukannya saat Anda memiliki lebih dari nol komputer klien.
Evan Anderson
4
Saya harus mengagumi ketabahan Anda dalam menghadapi lingkungan yang mengerikan tanpa AD. Saya pikir saya akan berhenti, atau menggunakan domain Samba jika lebih buruk menjadi lebih buruk. (Saya juga suka bagian Anda tentang penulisan skrip di bagian terakhir. Saya muak dengan "sysadmin" yang tidak bisa mengotomatiskan operasi dasar. Ini urusan yang menyedihkan ketika konsultan menetapkan harapan mereka terlalu rendah, juga.)
Evan Anderson
13

AD dan GPO masih akan menangani manajemen workstation. Tanpa itu, Anda membayar untuk aplikasi pihak ke-3 atau benar-benar sangat mempercayai pengguna Anda.

Jika Anda melakukan sesuatu seperti benar-benar BYOD, atau hanya mendistribusikan VM stateless untuk bekerja, maka ini tidak berlaku banyak.

mfinni
sumber
8

Cloud hanyalah ISP lain

Meskipun mengasyikkan, setiap Cloud hanyalah penyedia outsourcing lainnya - perusahaan yang berusaha menawarkan fleksibilitas untuk infrastruktur dan operasi Anda, seringkali dengan biaya lebih rendah, dan (semoga) keandalan yang lebih baik. Tentu, Cloud ditargetkan untuk menyederhanakan tujuan layanan yang dicari umum seperti skalabilitas, keandalan, dan kinerja - tetapi itu masih hanya opsi hosting

Anda memerlukan platform Manajemen Identitas dan Akses, dan Direktori Aktif cocok dengan kebutuhan di tempat atau di penyedia hosting Anda, sudahkah Anda katakan?

Mengubah lokasi fisik layanan jaringan Anda tidak mengubah persyaratan Anda.

Active Directory sangat mudah dikembangkan, bahkan dengan sejumlah besar sistem yang tidak bergantung langsung pada AD DS, Anda masih dapat menggunakannya untuk mengelola komponen infrastruktur "berdiri sendiri", yang dihosting di Cloud atau di mana pun.

Jika Anda terus menggunakan platform Windows dan Microsoft middleware, tingkat dukungan belaka untuk otentikasi Direktori Aktif di Cloud meminta Layanan Domain Direktori Aktif, bahkan lebih dari sekadar premis.

Cloud sepanjang jalan

Masih benar-benar tertarik untuk memindahkan semuanya ke Cloud? Lakukan! Virtualisasikan Pengontrol Domain Anda , ini bukan penghenti acara. Ini hanyalah solusi outsourcing :-)

Saya pikir pertanyaan sebenarnya adalah apakah Anda dapat memindahkan "toko Windows" MS-centric ke Cloud tanpa AD DS

Mathias R. Jessen
sumber
Bukankah ini pada dasarnya cara yang kurang tepat untuk mengulangi pertanyaan awal? Saya sudah membaca jawabannya beberapa kali karena saya ingin melihat maksud Anda, tetapi tidak bisa. Apakah mungkin untuk mengklarifikasi? (dan bukankah bagian 'persyaratan tidak berubah' hilang dari seluruh bencana sumber? Kedua persyaratan fungsional dan non-fungsional berada di bawah pengawasan yang kuat dan sering melihat perubahan dalam proyek sumber).
ErikE
Pernyataan terakhir Anda adalah poin saya, maaf untuk kalimat yang tidak jelas. Aspek Cloud tidak berbeda dari proyek sumber lainnya karena persyaratan bisnis Anda tidak berubah secara signifikan jika Anda memilih cloud daripada solusi perumahan / hosting / virtualisasi lainnya. Yang sedang berkata, benar, jawaban saya adalah pengecut batal dari saran nyata yang berarti dalam kaitannya dengan sumber
Mathias R. Jessen
Kesan saya adalah bahwa gagasan tentang persyaratan bisnis yang tidak berubah secara signifikan adalah nilai jual khas vendor cloud. Poin pembelian tidak selalu sesuai dengan gagasan itu. Contoh01: penyimpanan dan pemrosesan data mungkin perlu evaluasi peraturan tentang di mana (negara mana) itu dapat dilakukan. Contoh02: Perselingkuhan Snowden mengungkapkan awan sebagai ancaman aktif terkait kerahasiaan dan integritas. Swedia sebenarnya mendapat peringatan berdasarkan bukti tentang spionase awan industri negara asing beberapa tahun sebelumnya: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE
... ada kebetulan: artikel surat kabar Swedia baru saja mendapat tindak lanjut kecil, bahkan jika itu relatif sedikit pada informasi: theguardian.com/world/2014/jan/26/… Maksud saya hanyalah bahwa evaluasi persyaratan bisnis kriteria cenderung meningkat ketika perumahan eksternal / hosting / vendor cloud menjadi alternatif yang dipertimbangkan. Secara alami, persyaratan bisnis eksplisit melihat perubahan lebih atau kurang karena ini, dalam beberapa kasus secara signifikan demikian.
ErikE
1
+1 untuk baris ini: "Mengubah lokasi fisik layanan jaringan Anda tidak mengubah persyaratan Anda."
Thomas
8

Poin utama dari masalah ini tergantung pada apa yang Anda lihat AD lakukan untuk Anda. Jika itu hanya digunakan sebagai toko pusat untuk kredensial SSO yang hanya digunakan untuk mengautentikasi ke aplikasi cloud maka tentu saja dapat diganti dengan toko pusat lain.

Tetapi AD dapat melakukan lebih dari itu:

  • Penerapan perangkat lunak.

  • Penyebaran OS.

  • Manajemen Printer.

  • Manajemen profil pengguna (misalnya menggunakan profil roaming atau UE-V untuk memungkinkan pengguna untuk masuk ke mana saja dan menyimpan data dan penyesuaian lokal mereka). Saya pikir ini masih penting bahkan ketika semua layanan Anda ada di cloud, karena data masih bisa lokal dan mesin klien masih rusak atau diganti.

  • Skalabilitas: Saya lebih suka mengelola penyediaan dan pengelolaan berkelanjutan ribuan akun pengguna saya melalui skrip powershell ADUC & 'lokal', dll. Daripada murni melalui Office 365.

  • Integrasi dengan aplikasi non-standar - misalnya kita memiliki sistem kartu ID berbasis RFID yang terintegrasi dengan AD dan saya benar-benar tidak suka mencoba membuatnya berbicara dengan ADFS berbasis Azure.

Tentu saja, tidak semua hal ini akan relevan setiap saat - kebalikan dari komentar saya tentang skalabilitas adalah bahwa bisnis kecil dengan hanya beberapa pengguna tentu saja dapat membeli Office 365 atau Google Apps, ditambah laptop apa pun yang dijual minggu ini di supermarket terdekat, untuk setiap karyawan baru jika mereka memutuskan ini tidak terlalu menyakitkan bagi mereka.

Rob Moir
sumber
Supermarket apa yang menjual laptop?
kittykittybangbang
Aldi memilikinya, Tesco, Asda / Walmart ...
Rob Moir
Hmm, masih bingung. Pasti orang Eropa ..?
kittykittybangbang
5

Bisakah kamu? Iya. Apakah kamu mau? Saya kira tidak. Semua solusi yang di-host yang Anda sebutkan mendukung Federasi AD, dan karena Anda menginginkan SSO di mana-mana satu-satunya cara universal untuk mencapai yang akan menjadi AD.

Dan produk-produk seperti LastPass adalah brankas kata sandi, bukan SSO.

leher panjang
sumber
Meskipun benar bahwa LastPass bukan SSO, bagi pengguna akhir itu tidak relevan. Yang mereka tahu adalah mereka tidak harus mengingat banyak kata sandi. OneLogin adalah contoh yang lebih baik di sini. Mengambil sisi lain dari perdebatan sebentar (saya di pihak Anda, hanya berdebat) ... mungkin Anda tidak ingin berurusan dengan lisensi / overhead / dll. memiliki AD sekitar setelah Anda sudah 100% cloud. Mungkin opsi SSO pihak ke-3 adalah alternatif yang layak untuk AD?
TheCleaner
Jika ini semata-mata tentang biaya lisensi maka OpenLDAP akan memuaskan kebutuhan Anda tetapi biaya pemeliharaan / waktu mungkin akan melebihi biaya lisensi.
James Snell
2

Selain beberapa jawaban yang sangat bagus, saya ingin membalikkan pertanyaan: apa gunanya tidak memiliki Active Directory jika Anda menjalankan toko Microsoft? Anda dapat berkeliling untuk menggunakan dan mengelola produk Microsoft tanpa AD, tetapi mereka hanya dirancang untuk bekerja dengannya, dan integrasi AD asli akan selalu lebih baik daripada solusi yang dapat Anda berikan.

Kompleksitas kurang? Tidak memiliki AD benar-benar menambah lebih kompleksitas lingkungan Anda, karena Anda harus mencari alternatif cocok untuk segala AD akan melakukan out-of-the-box; memiliki AD menambahkan ... apa? Beberapa pengontrol domain (yang mungkin sangat VM, sehingga bahkan tidak memerlukan perangkat keras tambahan)? Admin Windows junior dapat mengelola AD kecil, dan semua senior dapat mengelola besar. Jika Anda cukup mahir dalam produk Microsoft untuk dapat menemukan dan mengimplementasikan solusi untuk tidak memiliki AD, Anda pasti cukup terampil untuk benar-benar menggunakannya .

Biaya? Biaya apa? Anda sudah mengatakan Anda akan cloud penuh, jadi beberapa tambahan Azure VMs bahkan tidak akan dapat membuat sedikitpun dalam anggaran Anda; bahkan tidak beberapa lisensi Windows Server untuk DC fisik, mengingat apa yang sudah Anda belanjakan dalam layanan online (belum lagi lisensi klien Windows dan Office, yang masih Anda perlukan untuk semua pengguna Anda).

TL; DR: semua dalam semua, saya benar-benar tidak melihat ada gunanya tidak memiliki AD, mengingat betapa sepele untuk mengimplementasikannya (bahkan dalam skala besar) dan berapa banyak yang Anda dapatkan dengan memilikinya.

Massimo
sumber
Saya setuju dengan ini dan ini mirip dengan beberapa jawaban lain dan poin kunci / takeaways mereka. Saya pikir kita semua sepakat bahwa sebagian besar penawaran dapat mengambil keuntungan dari AD jauh lebih mudah daripada hidup tanpa itu secara paksa. Selain itu (untuk mengikuti OP saya), sekarang Azure menawarkan ADaaS dengan integrasi yang ketat ke O365, jika Anda pergi ke jalur Azure / O365 hanya untuk sebuah toko kecil yang meletakkan segala sesuatu di "cloud" maka itu akan menjadi lebih dari sakit untuk TIDAK menggunakan AD.
TheCleaner
-2

Anda tidak "membutuhkan" AD, tetapi itu akan membuat hidup Anda lebih mudah. Bergantung pada ukuran Anda, pastikan Anda memiliki 2 Server, 1 primer, 1 cadangan, jika tidak, jika Anda kehilangan server AD (dan hanya memiliki 1), Anda harus membangun kembali domain, kecuali jika cadangan Anda SOLID.

tkrabec
sumber
4
Maaf, tapi saya pikir Anda benar-benar merindukan inti pertanyaan.
Rob Moir