49 votos

Si una de las Ventanas de la tienda se mueve "todo" a la nube, ¿todavía necesita de Active Directory?

Tomando un spin off de esta pregunta: ¿realmente necesito MS Active Directory? en una nueva dirección para el 2014.

Teniendo en cuenta básico de una infraestructura de Windows:

  • los controladores de dominio
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Archivo De Servidores / Servidores De Impresión
  • ANUNCIO de DNS Integrado
  • AD autenticada de la 3ª parte de los dispositivos (digamos 802.1 X para la creación de redes y tal vez algunos de filtrado de contenido, etc.)
  • AD/LDAP autenticado "administrativa" de las funciones en ÉL apps/hardware/etc.
  • tal vez algunos KMS cosas
  • el tiro en un CA si quieres
  • hecho en casa apps
  • 3 ª parte aplicaciones internas

Ahora, vamos a extraer de todo, y decide ir a la nube. Hemos contratado a mover Exchange/Sharepoint/Servicios de Archivo de Office 365. SQL ahora estará alojado así en algo como Azure. Hemos salido de la necesidad de AD-DNS y simplemente ejecutar todo a través de un sencillo servidor DNS de Windows. Todavía necesitamos 802.1 X y quisiera SSO si es posible a nuestras diversas aplicaciones de la nube. Hecho en casa y la 3ª parte en la casa de las aplicaciones es probable que permanezca, pero tienen la capacidad de uso interno bases de datos de usuario en lugar de la autenticación AD

La pregunta es...¿realmente necesitamos de Active Directory?

O más hasta el punto, de ANUNCIOS on-premise o incluso organizó a través de Azure o similar (ADF) o en ejecución, AÑADE en un alojado de VM a través de Azure o similar. Podría/Debería miramos a otra cosa, como una 3ra parte de SSO opción tales como http://www.onelogin.com/partners/app-partners/office-365/ o similares, que pueden proporcionar la funcionalidad SSO, incluso si es tan simple como LastPass o similar para cada usuario?

¿Qué tipo de necesidades legítimas hace AD cumplir si todo lo demás en la nube?

Podría un MS-infraestructura centrada en conseguir lejos con no tener ANUNCIOS en todo que se mueva todo lo que anteriormente se basaban en ANUNCIOS de ofertas de SaaS que no dependen de la autenticación AD?

88voto

Katherine Villyard Puntos 10812

He conseguido un gran número de estaciones de trabajo sin ANUNCIOS. Yo tenía las herramientas eléctricas (Altiris Deployment Solution), pero aún le dolía en ciertas situaciones:

  1. Auditor de seguridad entra y dice que nuestra estación de trabajo predeterminado de la contraseña de la política no es lo suficientemente bueno. Para cambiar la contraseña de la complejidad y de caducidad, etc., en 5,000 máquinas, tuvimos que escribir una (no trivial) de secuencia de comandos y programación que se ejecute en todas las máquinas. (Buena suerte de la captura de los ordenadores portátiles, por el camino!)
  2. La asignación de departamento de impresoras. Claro, podríamos utilizar el número de IP. Eso significa que si Un Departamento y el Departamento B entrar en una impresora de la guerra, el remedio consiste en replantear la impresora y, a continuación, siguiendo el preso de nuevo a su puesto de trabajo, para eliminar la impresora de la estación de trabajo. (Supongo que se podría comprar software de administración de impresión en su lugar.) También, ¿cómo es posible que la impresora termine en su puesto de trabajo, en primer lugar, si se supone que no uso, y ¿cómo va a evitar que caigan ahí de nuevo?
  3. Allí están las claves del registro para WSUS, por lo que técnicamente no necesita de ANUNCIOS de para la gestión de parches. Sin embargo, si se incluyen aquellas claves de registro en la imagen, usted necesita para asegurarse y eliminar un par de claves (SusClientID y PingID) o sino nunca obtener actualizaciones de los siglos. O, para ser más específica y precisa, sólo uno de ellos será obtener actualizaciones.
  4. La instalación de Software. Usted puede hacer esto con las herramientas de poder (de LANdesk, Altiris, etc.), pero ese dinero extra.
  5. "Veneno" de los controladores de impresora. He visto un par de estos. El mejor remedio era una cola de impresión con un controlador actualizado.
  6. Windows 7 impresión habría épica berrinches a menos que nos set permitió bosque/hosts permitidos en el punto y restricciones de impresión. Tal vez esto no sería un gran problema si todas las impresoras eran sólo ip, mientras Usuario1 nunca quiere usar Usuario2 la impresora local. Sin ANUNCIOS, nuestros técnicos tuvieron que utilizar gpedit en la estación de trabajo o en la imagen maestra.
  7. Estás asumiendo la nube de Intercambio, pero también voy a agregar que las migraciones de correo electrónico y otros grandes cambios en la infraestructura, sin AD son dolorosas en el cliente final. Yo guión de "quitar software" de viejo error de la migración/add estación de trabajo AD/migrar de perfil del usuario, desde el local hasta el dominio de/degradar usuario de admin a la alimentación de usuario/cambiar de firewall de" los trabajos y corriendo a través de Altiris. (Microsoft consultores fueron lo que sugiere que contratar temps con el pulgar unidades hasta que les mostré mi kung-fu.)

También, hay proveedores de software que te mira como tienes tres jefes cuando les dices que tienen grupos de trabajo lugar de los dominios. Altiris se ejecuta en el trabajo en grupo, pero su escritorio técnicos nunca se les permite cambiar sus contraseñas, por ejemplo. (Muy bien, muy bien. Pueden cambiar su contraseña. Pero ellos también tienen que pase por su cubo y escriba su nueva contraseña en el servidor, o decirle lo que su nueva contraseña.)

Lo que estoy diciendo es que: Usted puede manejar un montón de estaciones de trabajo sin ANUNCIOS, pero puede que tenga que comprar software de reemplazo, e incluso con buen software que se ejecutan en cosas dolorosas.

13voto

mfinni Puntos 29745

AD y GPO controlará la gestión de estaciones de trabajo. Sin ella, estás pagando por un 3er aplicación de terceros o realmente realmente realmente confiar en sus usuarios.

Si estás haciendo algo como estrictamente BYOD, o distribuir sólo apátridas de máquinas virtuales para trabajar, entonces esto no se aplica como mucho.

8voto

Ilari Kajaste Puntos 989

El punto central de este problema depende de lo que vea ANUNCIOS de como hacer para usted. Si sólo se utiliza como el almacén central de credenciales de SSO que sólo se utilizan para autenticar a las aplicaciones de la nube, a continuación, de curso puede ser sustituido por otro almacén central.

Pero el ANUNCIO se puede hacer mucho más que eso:

  • La implementación de Software.

  • La Implementación del sistema operativo.

  • De Administración De La Impresora.

  • Perfil de usuario de gestión (por ejemplo, el uso de perfiles móviles o UE-V para permitir a los usuarios iniciar sesión en cualquier lugar y a mantener sus datos locales y personalizaciones). Creo que esto sigue siendo importante, incluso cuando todos sus servicios en la nube, debido a que los datos todavía pueden ser locales y en los equipos cliente aún rompen o se sustituye.

  • Escalabilidad: prefiero gestionar el aprovisionamiento y la gestión continua de mis miles de cuentas de usuario a través de ADUC & 'local' powershell scripting, etc. que no únicamente a través de Office 365.

  • Integración con aplicaciones no estándar - por ejemplo, tenemos un RFID basado en la tarjeta de IDENTIFICACIÓN del sistema que se integra con el ANUNCIO y no me apetece tratando de hacer hablar a Azure-base de ADFS.

Por supuesto, no todas estas cosas serán relevantes cada vez que - a la inversa de mi comentario acerca de la escalabilidad es que una empresa pequeña, con sólo un par de usuarios que por supuesto podrían acaba de comprar Office 365 o Google Apps, además de cualquier ordenador portátil está a la venta esta semana en el supermercado más cercano, por cada nueva contratación, si ellos deciden que esto es menos doloroso para ellos.

8voto

Mathias R. Jessen Puntos 16911

La Nube es sólo otro ISP

Mientras emocionante, la Nube es sólo otro proveedor de outsourcing, una empresa tratando de ofrecer la flexibilidad de su infraestructura y operaciones, a menudo a bajó costo, y (con suerte) una mejor fiabilidad. Seguro, la Nube está dirigido a la simplificación común buscado los objetivos de servicio, como la escalabilidad, la fiabilidad y el rendimiento, pero aún sigue siendo una opción de alojamiento

Usted requiere de una Gestión de Identidad y Acceso de la plataforma, y Active Directory se ajusta a esa necesidad en las instalaciones o en su proveedor de hospedaje ya que usted dice?

Cambio de la ubicación física de los servicios de la red no cambia sus requisitos.

Active Directory es altamente extensible, incluso con un gran número de sistemas no depende directamente de AD DS, usted todavía puede utilizar para gestionar los "independientes" de los componentes de la infraestructura, alojado en la Nube o en cualquier otro lugar.

Si continuamos utilizando la plataforma Windows y Microsoft middleware, el gran nivel de apoyo para la autenticación de Active Directory en la Nube pide que Active Directory Domain Services, incluso más que en las instalaciones.

La nube de todo el camino

Todavía realmente interesado en mover todo a la Nube? Hacerlo! Virtualizar los Controladores de Dominio, no se estropea. Es sólo otra solución de subcontratación :-)

Creo que la pregunta real es si se puede mover el MS-céntrica "de Windows de la tienda" a la Nube sin necesidad de AD DS

5voto

webyz Puntos 11

Podría usted? Sí. Para que quieres? Yo no lo creo. Todas las soluciones de hospedaje que usted ha mencionado el apoyo de ANUNCIOS de la Federación, y ya que quieres SSO en todas partes la única manera universal de lograr que va a ser AD.

Y productos como LastPass son una contraseña de la caja fuerte, no SSO.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: