Se uma loja do Windows move "tudo" para a nuvem, ainda precisa do Active Directory?

49

Resolvendo esta questão: Eu realmente preciso do MS Active Directory? em uma nova direção para 2014.

Levando em conta uma infraestrutura básica do Windows:

  • controladores de domínio
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Servidores de arquivo / servidores de impressão
  • DNS Integrado ao AD
  • Dispositivos de terceiros autenticados pelo AD (digamos 802.1X para rede e talvez alguma filtragem de conteúdo etc.)
  • Funções "administrativas" autenticadas pelo AD / LDAP em aplicativos de TI / hardware / etc.
  • talvez algumas coisas KMS
  • jogue uma CA se você quiser
  • aplicativos cultivados em casa
  • Aplicativos internos de terceiros

Agora, vamos analisar tudo e decidir que estamos indo para a nuvem. Contratamos para mover os Serviços de Exchange / Sharepoint / Arquivo para o Office 365. O SQL agora também será hospedado em algo como o Azure. Evitamos a necessidade do AD-DNS e simplesmente executamos tudo por meio de um simples servidor DNS do Windows. Ainda precisamos do 802.1X e gostaríamos de SSO, se possível, para nossos vários aplicativos em nuvem. Aplicativos internos internos e de terceiros provavelmente permaneceriam, mas terão a capacidade de usar bancos de dados de usuários internos em vez da autenticação do AD

A questão é ... realmente precisamos do Active Directory?

Ou mais, o AD no local ou mesmo hospedado via Azure ou similar (ADFS) ou executando o ADDS em uma VM hospedada através do Azure ou similar. Poderíamos / Devemos considerar algo como uma opção de SSO de terceiros, como http://www.onelogin.com/partners/app-partners/office-365/ ou similar, que pode fornecer a funcionalidade de SSO, mesmo que seja tão simples quanto LastPass ou similar para cada usuário?

Que tipo de necessidades legítimas o AD atende se tudo o mais na nuvem?

Uma infra-estrutura centrada no MS se safaria de não ter o AD, se mudasse tudo o que anteriormente dependia do AD para as ofertas SaaS que não dependiam da autenticação do AD?

O limpador
fonte
7
As estações de trabalho dos seus usuários não vão para a "nuvem" ... e, se estiverem, eu gostaria muito de saber como você faz isso!
Michael Hampton
A Amazon não possui um produto VDI hospedado? (Soa como loucura para mim, mas então eu vou entrar em um CAPEX contra OPEX batalha w / a contador de feijão ...)
Evan Anderson
1
A Amazon possui um VDI hospedado em versão beta. Existem outras empresas que fazem isso, mas muitas delas não permitem a instalação de software. Se você google "executar o Windows no ipad", provavelmente encontrará todos, pois esse parece ser o caso de uso usual. (Exemplo típico: nytimes.com/2012/02/23/technology/personaltech/… )
Katherine Villyard 25/01

Respostas:

89

Eu gerenciei um grande número de estações de trabalho sem o AD. Eu tinha ferramentas elétricas (Altiris Deployment Solution), mas ainda doía em determinadas situações:

  1. O auditor de segurança entra e diz que nossa política de senha da estação de trabalho padrão não é boa o suficiente. Para alterar a complexidade e expiração da senha, etc., em 5.000 máquinas, tivemos que escrever um script (não trivial) e agendar que fosse executado em todas as máquinas. (A propósito, boa sorte em pegar os laptops!)
  2. Mapeando impressoras de departamento. Claro, poderíamos usar o número IP. Isso significa que, se o Departamento A e o Departamento B entrarem em guerra, o remédio envolve piquetar a impressora e seguir o infrator de volta à sua estação de trabalho para remover a impressora da estação de trabalho. (Suponho que você possa comprar um software de gerenciamento de impressão.) Além disso, como essa impressora acabou em sua estação de trabalho, se eles não deveriam usá-la, e como você evitará que ela acabe lá novamente?
  3. Existem chaves de registro para o WSUS, portanto, tecnicamente , você não precisa do AD para gerenciamento de patches. No entanto, se você incluir essas chaves do registro na imagem, precisará garantir e excluir algumas chaves (SusClientID e PingID), caso contrário elas nunca receberão atualizações. Ou, para ser mais específico e preciso, apenas um deles receberá atualizações.
  4. Instalações de software. Você pode fazer isso com ferramentas elétricas (LANdesk, Altiris etc.), mas isso é dinheiro extra.
  5. Drivers de impressora "envenenados". Eu já vi alguns deles. O melhor remédio foi uma fila de impressão com um driver atualizado.
  6. A impressão do Windows 7 teria birras épicas, a menos que definíssemos floresta / hosts permitidos em restrições de apontar e imprimir. Talvez isso não seria um grande problema se todas as impressoras fossem apenas IP, desde que o Usuário1 nunca quisesse usar a impressora local do Usuário2. Sem o AD, nossos técnicos precisavam usar o gpedit na estação de trabalho ou na imagem principal.
  7. Você está assumindo o Exchange na nuvem, mas também adicionarei que as migrações de email e outras grandes mudanças na infraestrutura sem o AD são dolorosas para o cliente. Eu escrevi os trabalhos "remover software da migração com falha antiga / adicionar estação de trabalho ao AD / migrar o perfil do usuário do local para o domínio / rebaixar o usuário do administrador para o usuário avançado / fazer alterações no firewall" e executei-os no Altiris. (Os consultores da Microsoft estavam sugerindo que contratássemos temporários com pen drives até eu mostrar a eles meu kung-fu.)

Além disso, existem fornecedores de software que olham para você como se você tivesse três cabeças quando diz que possui grupos de trabalho em vez de domínios. A Altiris é executada em grupos de trabalho, mas seus técnicos de desktop nunca podem alterar suas senhas, por exemplo. (Ok, ok. Eles podem alterar a senha. Mas também precisam passar pelo seu cubo e digitar a nova senha no servidor ou informar qual é a nova senha.)

O que eu entendo é: você pode gerenciar muitas estações de trabalho sem o AD, mas pode ser necessário comprar um software de substituição e, mesmo com um bom software, você encontrará coisas dolorosas.

Katherine Villyard
fonte
15
Eu gostaria de poder votar esta resposta duas vezes. É gratificante ler uma descrição experiente dessa vala particular e rara.
ErikE 24/01
3
Por curiosidade, quais foram as razões comerciais por trás de um ambiente desse tamanho sem o AD?
2
Meu antecessor e eu pedimos o AD repetidamente. Geralmente nos diziam que éramos tão grandes que seria muito difícil fazer este ano e talvez possamos fazê-lo no próximo ano e, além disso, você tem Altiris. Um ano, nosso servidor de correio antigo e em extinção nos superou (a falha na migração). No ano seguinte, um vice-presidente decidiu que precisávamos do Exchange e precisávamos ter o AD para fazer o Exchange. Numfar, faça a dança da alegria!
Katherine Villyard
6
+1 - Eu tenho um pequeno cliente que não tem AD e é doloroso trabalhar com eles. Minha opinião sobre o AD é semelhante à minha sobre DHCP - você precisa quando tem mais de zero computadores clientes.
Evan Anderson
4
Eu tenho que admirar a sua coragem em lidar com um ambiente tão horrível sem AD. Eu acho que teria desistido ou implantado um domínio Samba se piorasse. (Também gosto da sua parte sobre scripts fu nesse último. Estou cansado de "administradores de sistemas" que não podem automatizar operações básicas. É um estado de coisas triste quando os consultores também definem suas expectativas tão baixas.)
Evan Anderson
13

O AD e o GPO ainda gerenciarão o gerenciamento de estações de trabalho. Sem ele, você está pagando por um aplicativo de terceiros ou realmente confiando realmente em seus usuários.

Se você estiver fazendo algo como estritamente BYOD ou distribuindo apenas VMs sem estado para trabalhar, isso não se aplica tanto.

mfinni
fonte
8

A nuvem é apenas mais um ISP

Embora emocionante, qualquer nuvem é apenas mais um provedor de terceirização - uma empresa que tenta oferecer flexibilidade para sua infraestrutura e operações, geralmente com custo reduzido e (com sorte) maior confiabilidade. Certamente, a nuvem visa simplificar objetivos comuns de serviço procurados, como escalabilidade, confiabilidade e desempenho - mas ainda é apenas uma opção de hospedagem

Você precisa de uma plataforma de Gerenciamento de Identidade e Acesso, e o Active Directory se adapta às necessidades locais ou no seu provedor de hospedagem, você já disse?

Alterar a localização física dos seus serviços de rede não altera seus requisitos.

O Active Directory é altamente extensível, mesmo com um grande número de sistemas que não dependem diretamente do AD DS, você ainda pode utilizá-lo para gerenciar componentes de infraestrutura "autônomos", hospedados na nuvem ou em qualquer outro lugar.

Se você continuar utilizando a plataforma Windows e o middleware da Microsoft, o alto nível de suporte à autenticação do Active Directory na nuvem implorará pelos Serviços de Domínio Active Directory, ainda mais do que no local.

Nuvem todo o caminho

Ainda está realmente interessado em mudar tudo para a nuvem? Faça! Virtualize seus controladores de domínio , não é um impedimento de exibição. É apenas mais uma solução de terceirização :-)

Eu acho que a verdadeira questão é se você pode mover sua "loja do Windows" centrada no MS para a nuvem sem o AD DS

Mathias R. Jessen
fonte
Essa não é essencialmente uma maneira menos precisa de iterar a pergunta original? Eu li a resposta várias vezes porque gostaria de entender seu ponto, mas não posso. É possível esclarecer? (e a parte de 'requisitos não está mudando' não está perdendo todo o fracasso de fornecimento? Os requisitos funcionais e não funcionais são submetidos a um exame minucioso e frequentemente veem alterações em um projeto de fornecimento).
ErikE
Sua última afirmação é exatamente o que quero dizer, desculpe pelo fraseado fraseado. O aspecto da nuvem não é diferente de qualquer outro projeto de fornecimento, pois seus requisitos de negócios não se transformam significativamente, caso você escolha a nuvem em detrimento de qualquer outra solução de hospedagem / hospedagem / virtualização. Dito isto, o seu direito, a minha resposta é nula covarde de qualquer conselho significativa real em relação ao abastecimento
Mathias R. Jessen
Minha impressão é que a noção de requisitos de negócios que não muda significativamente é um ponto de venda típico dos fornecedores de nuvem. Comprar pontos não necessariamente conformar com essa noção. Exemplo01: o armazenamento e o processamento de dados podem precisar de avaliação regulatória de onde (em que país) ele pode ser feito. Exemplo02: o caso Snowden revela a nuvem como uma ameaça ativa em relação à confidencialidade e integridade. A Suécia realmente recebeu um aviso baseado em evidências sobre espionagem de nuvem industrial de estado estrangeiro anos antes: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE
... há uma coincidência: o artigo de jornal sueco teve apenas um pequeno acompanhamento, mesmo que seja relativamente escasso em informações: theguardian.com/world/2014/jan/26/… Meu argumento é simplesmente que a avaliação dos requisitos de negócios Os critérios tendem a aumentar quando fornecedores externos de hospedagem / hospedagem / nuvem são alternativas consideradas. Naturalmente, os requisitos comerciais explícitos veem mais ou menos alterações devido a isso, em alguns casos significativamente.
ErikE
1
+1 para esta linha: "Alterar a localização física dos seus serviços de rede não altera seus requisitos".
Thomas
8

O ponto central desse problema depende do que você vê o AD fazendo por você. Se ele estiver sendo usado apenas como repositório central de credenciais de SSO, usadas apenas para autenticação em aplicativos em nuvem, é claro que ele poderá ser substituído por outro repositório central.

Mas o AD pode fazer muito mais do que isso:

  • Implantação de software.

  • Implantação de SO.

  • Gerenciamento de impressora.

  • Gerenciamento de perfil de usuário (por exemplo, usando perfis móveis ou UE-V para permitir que os usuários efetuem login em qualquer lugar e mantenham seus dados e personalizações locais). Acho que isso ainda importa mesmo quando todos os seus serviços estão na nuvem, porque os dados ainda podem ser locais e as máquinas clientes ainda quebram ou são substituídas.

  • Escalabilidade: prefiro gerenciar o provisionamento e o gerenciamento contínuo de minhas milhares de contas de usuário via ADUC e scripts 'locais' do powershell etc., do que apenas pelo Office 365.

  • Integração com aplicativos não padrão - por exemplo, temos um sistema de cartão de identificação baseado em RFID que se integra ao AD e eu realmente não gostaria de tentar fazê-lo falar com o ADFS baseado no Azure.

Obviamente, nem todas essas coisas serão relevantes sempre - o reverso do meu comentário sobre escalabilidade é que uma pequena empresa com apenas alguns usuários certamente poderia comprar o Office 365 ou o Google Apps, além de qualquer laptop que esteja à venda esta semana em o supermercado mais próximo, para cada novo contratado, se eles decidirem que isso é menos doloroso para eles.

Rob Moir
fonte
Qual supermercado vende laptops?
precisa
Aldi tem, Tesco, Asda / Walmart ...
Rob Moir
Hmm, ainda confuso. Deve ser uma coisa da Europa ..?
precisa
5

Você poderia? Sim. Voce gostaria de? Acho que não. Todas as soluções hospedadas mencionadas são compatíveis com a Federação do AD e, como você deseja o SSO em todos os lugares, a única maneira universal de realizar isso será o AD.

E produtos como o LastPass são um cofre de senhas, não um SSO.

pescoço longo
fonte
Embora seja verdade que o LastPass não é SSO, para o usuário final é irrelevante. Tudo o que sabem é que não precisam se lembrar de várias senhas. O OneLogin é o melhor exemplo aqui. Tomado o outro lado do debate por um segundo (estou do seu lado, apenas debatendo) ... talvez você não queira lidar com o licenciamento / despesas gerais / etc. de ter o AD por perto quando você estiver 100% na nuvem. Talvez uma opção de SSO de terceiros seja uma alternativa viável ao AD?
TheCleaner
Se for puramente sobre o custo de licenciamento, o OpenLDAP atenderá às suas necessidades, mas o custo de manutenção / tempo provavelmente superará o custo do licenciamento.
James Snell
2

Além de algumas respostas realmente boas, gostaria de reverter a pergunta: qual é o sentido de não ter o Active Directory se você estiver executando uma loja da Microsoft? Você pode usar e gerenciar produtos da Microsoft sem o AD, mas eles foram projetados para funcionar com ele, e a integração nativa do AD sempre será melhor do que qualquer solução alternativa que você possa usar.

Menos complexidade? Na verdade, não ter o AD adiciona mais complexidade ao seu ambiente, porque você precisa encontrar alternativas adequadas para tudo o que o AD teria feito pronto para uso; ter AD adiciona ... o que? Alguns controladores de domínio (que podem muito bem ser VMs, sem precisar de hardware adicional)? Qualquer administrador júnior do Windows pode gerenciar um pequeno anúncio e todos os seniores podem gerenciar um grande. Se você é proficiente o suficiente em produtos da Microsoft para encontrar e implementar soluções alternativas para não ter o AD, você é definitivamente hábil o suficiente para realmente usá- lo.

Custos? Quais custos? Você já disse que está migrando para a nuvem completa; portanto, algumas VMs do Azure adicionais nem poderão reduzir seu orçamento; nem mesmo algumas licenças do Windows Server para controladores de domínio físicos teriam, considerando o que você já está gastando em serviços online (para não mencionar as licenças do Windows e do Office, que você ainda precisa para todos os usuários).

TL; DR: apesar de tudo, realmente não vejo sentido em não ter AD, dado o quão trivial é implementá-lo (mesmo em larga escala) e quanto você ganha por tê-lo.

Massimo
fonte
Eu concordo com isso e é semelhante a algumas das outras respostas e seus principais pontos / conclusões. Acho que todos concordamos que a maioria das ofertas pode tirar proveito do AD muito mais fácil do que viver sem ele. Além disso (para acompanhar o meu OP), agora que o Azure oferece ADaaS com forte integração ao O365, se você seguisse o caminho do Azure / O365 apenas para uma pequena loja colocando tudo na "nuvem", seria mais uma dor para não usar AD.
TheCleaner 15/09/16
-2

Você não "precisa" de AD, mas facilitará sua vida. Dependendo do seu tamanho, verifique se você tem 2 servidores, 1 primário e 1 backup; caso contrário, se você perder o servidor AD (e tiver apenas 1), precisará reconstruir um domínio, a menos que seus backups sejam SOLID.

tkrabec
fonte
4
Desculpe, mas acho que você perdeu completamente o objetivo da pergunta.
precisa saber é o seguinte