it-swarm.com.de

Wenn ein Windows-Shop "alles" in die Cloud verschiebt, benötigt er dann noch Active Directory?

Lassen Sie diese Frage hinter sich: Brauche ich wirklich MS Active Directory? in eine neue Richtung für 2014.

Unter Berücksichtigung einer grundlegenden Windows-Infrastruktur:

  • domänencontroller
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Dateiserver/Druckserver
  • AD Integriertes DNS
  • AD-authentifizierte Geräte von Drittanbietern (z. B. 802.1X für Netzwerke und möglicherweise zum Filtern von Inhalten usw.)
  • AD/LDAP-authentifizierte "administrative" Funktionen auf IT-Apps/Hardware/etc.
  • vielleicht ein paar KMS-Sachen
  • werfen Sie eine CA ein, wenn Sie möchten
  • hausgemachte Apps
  • Inhouse-Apps von Drittanbietern

Lassen Sie uns jetzt alles herausreißen und entscheiden, dass wir in die Cloud gehen. Wir haben einen Vertrag über die Verlagerung von Exchange/Sharepoint/File Services nach Office 365 abgeschlossen. SQL wird nun auch auf Azure gehostet. Wir haben uns von der Notwendigkeit von AD-DNS verabschiedet und einfach alles über einen einfachen Windows-DNS-Server ausgeführt. Wir benötigen noch 802.1X und möchten, wenn möglich, SSO für unsere verschiedenen Cloud-Apps. Eigenentwickelte Apps und Apps von Drittanbietern bleiben wahrscheinlich erhalten, können jedoch interne Benutzerdatenbanken anstelle der AD-Authentifizierung verwenden

Die Frage ist ... brauchen wir überhaupt Active Directory?

Oder mehr auf den Punkt gebracht: AD vor Ort oder sogar über Azure oder ähnliches (ADFS) gehostet oder ADDS auf einem gehosteten VM über Azure oder ähnliches). Könnten/sollten wir uns etwas anderes ansehen? Eine SSO-Option eines Drittanbieters wie http://www.onelogin.com/partners/app-partners/office-365/ oder eine ähnliche Option, die SSO-Funktionen bereitstellen kann, selbst wenn sie so einfach wie LastPass oder ist ähnlich für jeden Benutzer?

Welche legitimen Bedürfnisse erfüllt AD, wenn alles andere in der Cloud?

Könnte eine MS-zentrierte Infrastruktur davonkommen, überhaupt kein AD zu haben, wenn sie alles, was zuvor auf AD beruhte, in SaaS Angebote, auf die nicht vertraut wurde) verschiebt AD-Authentifizierung?

49
TheCleaner

Ich habe eine große Anzahl von Workstations ohne AD verwaltet. Ich hatte Elektrowerkzeuge (Altiris Deployment Solution), aber es tat in bestimmten Situationen immer noch weh:

  1. Der Sicherheitsprüfer kommt herein und sagt, dass unsere Standardrichtlinie für Workstation-Kennwörter nicht gut genug ist. Um die Komplexität und den Ablauf von Kennwörtern usw. auf 5.000 Computern zu ändern, mussten wir ein (nicht triviales) Skript schreiben und planen, dass es auf allen Computern ausgeführt wird. (Viel Glück beim Fangen der Laptops übrigens!)
  2. Kartierungsabteilungsdrucker. Sicher, wir könnten die IP-Nummer verwenden. Das heißt, wenn Abteilung A und Abteilung B in einen Druckerkrieg geraten, besteht die Abhilfe darin, den Drucker abzustecken und dem Täter dann zurück zu seiner Arbeitsstation zu folgen, um den Drucker von seiner Arbeitsstation zu entfernen. (Ich nehme an, Sie könnten stattdessen Druckverwaltungssoftware kaufen.) Wie kam es, dass dieser Drucker überhaupt auf seiner Workstation landete, wenn er nicht verwendet werden sollte, und wie können Sie verhindern, dass er wieder dort landet?
  3. Es gibt Registrierungsschlüssel für WSUS, sodass Sie technisch kein AD für die Patch-Verwaltung benötigen. Wenn Sie diese Registrierungsschlüssel jedoch in das Image aufnehmen, müssen Sie sicherstellen, dass einige Schlüssel (SusClientID und PingID) gelöscht werden. Andernfalls erhalten sie nie Updates. Um genauer und genauer zu sein, wird nur einer von ihnen aktualisiert.
  4. Software wird installiert. Sie können dies mit Elektrowerkzeugen (LANdesk, Altiris usw.) tun, aber das ist zusätzliches Geld.
  5. Druckertreiber "Poison". Ich habe ein paar davon gesehen. Das beste Mittel war eine Druckwarteschlange mit einem aktualisierten Treiber.
  6. Windows 7-Druck würde epische Wutanfälle haben, wenn wir nicht zulässige Gesamtstruktur/zulässige Hosts in Punkt- und Druckbeschränkungen festlegen. Vielleicht wäre dies keine große Sache, wenn alle Drucker nur IP-fähig wären, solange Benutzer1 niemals den lokalen Drucker von Benutzer2 verwenden möchte. Ohne AD mussten unsere Techniker entweder gpedit auf der Workstation oder auf dem Master-Image verwenden.
  7. Sie gehen von Cloud Exchange aus, aber ich werde auch hinzufügen, dass E-Mail-Migrationen und andere große infrastrukturelle Änderungen ohne AD auf Client-Seite schmerzhaft sind. Ich habe die Jobs "Software von alter fehlgeschlagener Migration entfernen/Workstation zu AD hinzufügen/Benutzerprofil von lokal zu Domäne migrieren/Benutzer vom Administrator zum Hauptbenutzer herabstufen/Änderungen an der Firewall vornehmen" per Skript ausgeführt und sie über Altiris ausgeführt. (Die Microsoft-Berater schlugen vor, Zeitarbeiter mit USB-Sticks einzustellen, bis ich ihnen mein Kung-Fu zeigte.)

Es gibt auch Softwareanbieter, die Sie so ansehen, als hätten Sie drei Köpfe, wenn Sie ihnen mitteilen, dass Sie eher Arbeitsgruppen als Domänen haben. Altiris wird in Arbeitsgruppen ausgeführt, aber Ihre Desktop-Techniker dürfen beispielsweise niemals ihre Kennwörter ändern. (Okay, okay. Sie können ihr Passwort ändern. Sie müssen aber auch an Ihrem Cube vorbeischauen und ihr neues Passwort in den Server eingeben oder sagen Sie was ihr neues Passwort ist.)

Ich möchte Folgendes tun: Sie können viele Workstations ohne AD verwalten, müssen jedoch möglicherweise Ersatzsoftware kaufen, und selbst mit Nice-Software werden Sie auf schmerzhafte Dinge stoßen.

88

AD und GPO übernehmen weiterhin die Verwaltung von Workstations. Ohne ADO zahlen Sie für eine Drittanbieteranwendung oder wirklich wirklich wirklich vertrauen Ihren Benutzern.

Wenn Sie so etwas wie ausschließlich BYOD ausführen oder nur zustandslose VMs zum Arbeiten verteilen, gilt dies nicht so häufig.

13
mfinni

Der zentrale Punkt dieses Problems hängt davon ab, was AD für Sie tut. Wenn es nur als zentraler Speicher für SSO-Anmeldeinformationen verwendet wird, die nur zur Authentifizierung bei Cloud-Apps verwendet werden, kann es natürlich durch einen anderen zentralen Speicher ersetzt werden.

Aber AD kann noch viel mehr:

  • Software-Bereitstellung.

  • Betriebssystembereitstellung.

  • Druckerverwaltung.

  • Benutzerprofilverwaltung (z. B. mithilfe von Roaming-Profilen oder E-V , damit sich Benutzer überall anmelden und ihre lokalen Daten und Anpassungen beibehalten können). Ich denke, dies ist auch dann noch wichtig, wenn sich alle Ihre Dienste in der Cloud befinden, da Daten immer noch lokal sein können und Client-Computer immer noch ausfallen oder ersetzt werden.

  • Skalierbarkeit: Ich möchte die Bereitstellung und fortlaufende Verwaltung meiner Tausenden von Benutzerkonten lieber über ADUC und "lokales" Powershell-Scripting usw. verwalten als nur über Office 365.

  • Integration mit nicht standardmäßigen Anwendungen - z. Wir haben ein RFID-basiertes ID-Kartensystem, das in AD integriert ist, und ich würde wirklich nicht gerne versuchen, es mit Azure-basiertem ADFS in Verbindung zu bringen.

Natürlich werden nicht alle diese Dinge jedes Mal relevant sein - die Umkehrung meines Kommentars zur Skalierbarkeit ist, dass ein kleines Unternehmen mit nur wenigen Benutzern sicherlich nur Office 365 oder Google Apps kaufen könnte, plus jeden Laptop, der diese Woche zum Verkauf steht der nächste Supermarkt, für jede neue Einstellung, wenn sie entscheiden, dass dies für sie weniger schmerzhaft ist.

8
Rob Moir

Die Cloud ist nur ein weiterer ISP

Jede Cloud ist zwar aufregend, aber nur ein weiterer Outsourcing-Anbieter - ein Unternehmen, das versucht, Flexibilität für Ihre Infrastruktur und Ihren Betrieb zu bieten, häufig zu geringeren Kosten und (hoffentlich) einer besseren Zuverlässigkeit. Sicher, die Cloud zielt darauf ab, häufig gesuchte Serviceziele wie Skalierbarkeit, Zuverlässigkeit und Leistung zu vereinfachen - aber es ist immer noch nur eine Hosting-Option

Sie benötigen eine Identitäts- und Zugriffsverwaltungsplattform, und Active Directory-Anpassungen, die vor Ort oder bei Ihrem Hosting-Anbieter erforderlich sind, sagen Sie bereits?

Durch Ändern des physischen Standorts Ihrer Netzwerkdienste werden Ihre Anforderungen nicht geändert.

Active Directory ist in hohem Maße erweiterbar, selbst mit einer großen Anzahl von Systemen, die nicht direkt von AD DS abhängig sind. Sie können es dennoch verwenden, um "eigenständige" Infrastrukturkomponenten zu verwalten, die in der Cloud oder anderswo gehostet werden.

Wenn Sie weiterhin die Windows-Plattform und die Microsoft-Middleware verwenden, erfordert die Unterstützung der Active Directory-Authentifizierung in der Cloud mehr als nur lokale Active Directory-Domänendienste.

Wolke den ganzen Weg

Sie möchten immer noch alles in die Cloud verschieben? Tu es! Virtualisieren Sie Ihre Domänencontroller , es ist kein Show Stopper. Es ist nur eine weitere Outsourcing-Lösung :-)

Ich denke, die eigentliche Frage ist, ob Sie Ihren MS-zentrierten "Windows-Shop" in die Cloud verschieben können ohne AD DS

8

Könntest du? Ja. Würdest du gerne? Das glaube ich nicht. Alle von Ihnen erwähnten gehosteten Lösungen unterstützen AD Federation. Da Sie SSO überall möchten, ist AD die einzige universelle Möglichkeit, dies zu erreichen.

Und Produkte wie LastPass sind ein Passwort-Tresor, kein SSO.

5
longneck

Abgesehen von einigen wirklich guten Antworten möchte ich die Frage umkehren: Was bringt es, wenn nicht Active Directory vorhanden ist, wenn Sie einen Microsoft-Shop betreiben? Sie können Microsoft-Produkte ohne AD verwenden und verwalten, aber sie sind nur dafür ausgelegt, damit zu arbeiten, und die native AD-Integration ist immer besser als jede Problemumgehung, die Sie einwerfen können.

Weniger Komplexität? Wenn Sie kein AD haben, wird Ihre Umgebung tatsächlich komplexer , da Sie für alles, was AD standardmäßig getan hätte, geeignete Alternativen finden müssen. AD hinzufügen ... was? Ein paar Domänencontroller (die möglicherweise VMs sind und daher nicht einmal zusätzliche Hardware benötigen)? Jeder Junior-Windows-Administrator kann eine kleine AD verwalten, und alle Senior-Administratoren können eine große AD verwalten. Wenn Sie mit Microsoft-Produkten vertraut genug sind, um Problemumgehungen für das Fehlen von AD zu finden und zu implementieren, sind Sie definitiv qualifiziert genug, um es tatsächlich zu verwenden .

Kosten? Welche Kosten? Sie haben bereits gesagt, dass Sie eine vollständige Cloud verwenden, sodass einige zusätzliche Azure-VMs Ihr Budget nicht einmal geringfügig einschränken können. Nicht einmal ein paar Windows Server-Lizenzen für physische Domänencontroller würden es geben, wenn Sie bereits für Onlinedienste ausgeben (ganz zu schweigen von Client-Windows- und Office-Lizenzen, die Sie noch für alle Benutzer benötigen).

TL; DR: Alles in allem sehe ich wirklich keinen Grund darin, nicht AD zu haben, wenn man bedenkt, wie trivial es ist, es zu implementieren (auch in großem Maßstab) und wie viel Sie dadurch gewinnen.

3
Massimo