Взяв ответ на этот вопрос: Мне действительно нужен MS Active Directory? в новом направлении на 2014 год.
Принимая во внимание базовую инфраструктуру Windows:
Теперь давайте вырвем все это и решим, что мы собираемся в облако. Мы заключили контракт на перенос Exchange / Sharepoint / File Services в Office 365. SQL теперь также будет размещаться в чем-то вроде Azure. Мы избавились от необходимости в AD-DNS и просто запускаем все через простой DNS-сервер Windows. Нам по-прежнему нужен 802.1X, и мы хотели бы, если возможно, использовать единый вход для наших различных облачных приложений. Домашние и сторонние приложения, скорее всего, останутся, но будут иметь возможность использовать внутренние пользовательские базы данных вместо аутентификации AD.
Вопрос в том ... действительно ли нам вообще нужен Active Directory?
Или, что более важно, AD локально или даже размещен через Azure или аналогичный (ADFS) или запуск ADDS на размещенной виртуальной машине через Azure или аналогичный. Можно / следует ли нам искать что-то еще, например, сторонний вариант единого входа, например http://www.onelogin.com/partners/app-partners/office-365/ или аналогичный, который может обеспечить функциональность SSO, даже если он такой же простой, как LastPass или аналогичный для каждого пользователя?
Какие законные потребности выполняет AD, если все остальное находится в облаке?
Может ли инфраструктура, ориентированная на MS, вообще не иметь AD, если они переместят все, что раньше полагалось на AD, на предложения SaaS, которые не полагались на аутентификацию AD?
Я управлял большим количеством рабочих станций без AD. У меня были электроинструменты (Altiris Deployment Solution), но в определенных ситуациях все равно было больно:
Кроме того, есть поставщики программного обеспечения, которые смотрят на вас, как на три головы, когда вы говорите им, что у вас есть рабочие группы, а не домены. Altiris работает в рабочих группах, но, например, вашим специалистам по настольным компьютерам никогда не разрешается менять свои пароли. (Хорошо, хорошо. Они могут изменить свой пароль. Но они также должны пройти мимо вашего куба и ввести свой новый пароль на сервер, или сказать тебе какой у них новый пароль.)
Я имею в виду: вы можете управлять множеством рабочих станций без AD, но вам, возможно, придется покупать заменяющее программное обеспечение, и даже с хорошим программным обеспечением вы столкнетесь с болезненными вещами.
AD и GPO по-прежнему будут управлять рабочими станциями. Без него вы платите за стороннее приложение или действительно действительно действительно доверять своим пользователям.
Если вы делаете что-то вроде строгого BYOD или распределяете для работы только виртуальные машины без сохранения состояния, то это не так.
Суть этой проблемы зависит от того, что, по вашему мнению, делает для вас AD. Если он используется только как центральное хранилище для учетных данных SSO, которые используются только для аутентификации в облачных приложениях, то, конечно, его можно заменить другим центральным хранилищем.
Но AD может гораздо больше:
Развертывание программного обеспечения.
Развертывание ОС.
Управление принтером.
Управление профилями пользователей (например, использование перемещаемых профилей или UE-V чтобы пользователи могли входить в систему где угодно и сохранять свои локальные данные и настройки). Я думаю, что это все еще имеет значение, даже когда все ваши сервисы находятся в облаке, потому что данные все еще могут быть локальными, а клиентские машины по-прежнему выходят из строя или подлежат замене.
Масштабируемость: я бы предпочел управлять подготовкой и текущим управлением тысячами учетных записей пользователей с помощью ADUC, «локальных» сценариев PowerShell и т. Д., Чем просто через Office 365.
Интеграция с нестандартными приложениями - например, у нас есть система идентификационных карт на основе RFID, которая интегрируется с AD, и мне действительно не хотелось бы пытаться заставить ее взаимодействовать с ADFS на основе Azure.
Конечно, не все эти вещи будут актуальны каждый раз - обратная сторона моего комментария о масштабируемости заключается в том, что малый бизнес с небольшим количеством пользователей, безусловно, может просто купить Office 365 или Google Apps, а также любой ноутбук, который продается на этой неделе по адресу ближайший супермаркет, за каждого нового сотрудника, если они решат, что это менее болезненно для них.
Любое облако - это увлекательно, но это всего лишь еще один поставщик услуг аутсорсинга - компания, которая пытается предложить гибкость для вашей инфраструктуры и операций, часто по более низкой цене и (надеюсь) большей надежности. Несомненно, облако нацелено на упрощение распространенных целей обслуживания, таких как масштабируемость, надежность и производительность, но это все еще просто вариант хостинга.
Вам нужна платформа управления идентификацией и доступом, и Active Directory подходит для этого на месте или у вашего хостинг-провайдера, вы уже говорите?
Active Directory обладает высокой расширяемостью, даже при большом количестве систем, не зависящих напрямую от AD DS, вы все равно можете использовать его для управления «автономными» компонентами инфраструктуры, размещенными в облаке или где-либо еще.
Если вы продолжите использовать платформу Windows и промежуточное программное обеспечение Microsoft, сам по себе уровень поддержки аутентификации Active Directory в облаке требует доменных служб Active Directory, даже в большей степени, чем локальные.
Все еще очень хотите перенести все в облако? Сделай это! Виртуализируйте контроллеры домена, это не шоу-стоппер. Это просто еще одно решение для аутсорсинга :-)
Я думаю, что реальный вопрос заключается в том, можете ли вы перенести свой MS-ориентированный "магазин Windows" в облако. без AD DS
Не могли бы вы? Да. Вы бы хотели? Я так не думаю. Все упомянутые вами размещенные решения поддерживают федерацию AD, и, поскольку вы хотите использовать единый вход повсюду, единственным универсальным способом достижения этой цели будет AD.
И такие продукты, как LastPass, являются хранилищем паролей, а не SSO.
Помимо действительно хороших ответов, я бы хотел перевернуть вопрос: в чем смысл не имеете Active Directory, если у вас есть магазин Microsoft? Вы жестяная банка использовать продукты Microsoft и управлять ими без AD, но они просто предназначены для работы с ним, и встроенная интеграция AD всегда будет лучше, чем любой обходной путь, который вы можете использовать.
Меньше сложности? Отсутствие AD фактически добавляет Больше сложность для вашей среды, потому что вам нужно найти подходящие альтернативы для всего, что AD могла бы сделать из коробки; имея AD добавляет ... что? Пара контроллеров домена (которые вполне могут быть виртуальными машинами, поэтому даже не требуют дополнительного оборудования)? Любой младший администратор Windows может управлять небольшим AD, а все старшие - большим. Если вы достаточно разбираетесь в продуктах Microsoft, чтобы находить и применять обходные пути, чтобы избежать AD, вы определенно достаточно квалифицированы, чтобы на самом деле использовать Это.
Расходы? Что стоит? Вы уже сказали, что переходите на полностью облачное хранилище, поэтому пара дополнительных виртуальных машин Azure не сможет даже немного сократить ваш бюджет; даже пара лицензий Windows Server для физических контроллеров домена не подойдет, учитывая, что вы уже тратите на онлайн-услуги (не говоря уже о клиентских лицензиях Windows и Office, которые вам по-прежнему нужны для всех ваших пользователей).
TL; DR: в общем, я действительно не вижу смысла в не имея AD, учитывая, насколько тривиально его реализовать (даже в больших масштабах) и сколько вы выиграете, имея его.
AD вам не «нужен», но он облегчит вам жизнь. В зависимости от вашего размера убедитесь, что у вас есть 2 сервера, 1 основной, 1 резервный, в противном случае, если вы потеряете сервер AD (и у вас будет только 1), вам нужно будет перестроить домен, если только ваши резервные копии не являются SOLID.