Se uma loja do Windows move “tudo” para a nuvem, ainda precisa do Active Directory?

Navegue suas respostas
49

Resolvendo essa questão: Eu realmente preciso do MS Active Directory? em uma nova direção para 2014.

Considerando uma infraestrutura básica do Windows:

  • controladores de domínio
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Servidores de arquivos / servidores de impressão
  • DNS integrado do AD
  • Dispositivos de terceiros autenticados pelo AD (digamos 802.1X para redes e talvez alguma filtragem de conteúdo, etc.)
  • AD / LDAP autenticou funções "administrativas" em aplicativos de TI / hardware / etc.
  • talvez algumas coisas do KMS
  • jogue uma CA se quiser
  • aplicativos criados em casa
  • aplicativos internos de terceiros

Agora, vamos arrancar tudo e decidir que estamos indo para a nuvem. Contratamos para mover o Exchange / SharePoint / File Services para o Office 365. O SQL agora será hospedado também em algo como o Azure. Nós nos afastamos da necessidade de AD-DNS e simplesmente executamos tudo através de um simples servidor DNS do Windows. Ainda precisamos do 802.1X e gostaríamos de SSO, se possível, para nossos vários aplicativos na nuvem. Apps internos criados em casa e de terceiros provavelmente permanecerão, mas poderão usar bancos de dados de usuários internos em vez de autenticação do AD

A pergunta é ... realmente precisamos do Active Directory?

Ou mais, diretamente no AD ou hospedado no Azure ou similar (ADFS) ou executando o ADDS em uma VM hospedada por meio do Azure ou similar. Poderíamos / Devemos procurar algo como uma opção de SSO de terceiros, como o link ou semelhante que pode fornecer funcionalidade de SSO, mesmo que seja tão simples quanto LastPass ou similar para cada usuário?

Que tipo de necessidades legítimas o AD cumpre se tudo mais na nuvem?

Uma infra-estrutura centrada em MS pode não ter o AD se mover tudo o que anteriormente dependia do AD para ofertas de SaaS que não dependiam da autenticação do AD?

    
por TheCleaner 24.01.2014 / 21:41

7 respostas

88

Eu gerenciei um grande número de estações de trabalho sem AD. Eu tinha ferramentas elétricas (Altiris Deployment Solution), mas ainda doía em certas situações:

  1. O auditor de segurança entra e diz que nossa política padrão de senhas para estações de trabalho não é boa o suficiente. Para alterar a complexidade e a expiração da senha, etc., em 5.000 máquinas, tivemos que escrever um script (não trivial) e agendá-lo para ser executado em todas as máquinas. (Boa sorte pegando os laptops, a propósito!)
  2. Impressoras do departamento de mapeamento. Claro, poderíamos usar o número IP. Isso significa que, se o Departamento A e o Departamento B entrarem em uma guerra de impressoras, o remédio envolve implantar a impressora e depois seguir o infrator de volta à estação de trabalho para remover a impressora de sua estação de trabalho. (Eu suponho que você poderia comprar um software de gerenciamento de impressão.) Além disso, como a impressora acabou em sua estação de trabalho se não é para usá-la, e como você vai evitar que ela acabe lá novamente? / li>
  3. Existem chaves de registro para o WSUS, então você tecnicamente não precisa do AD para o gerenciamento de patches. No entanto, se você incluir essas chaves de registro na imagem, precisará ter certeza e excluir algumas chaves (SusClientID e PingID) ou então elas nunca obterão atualizações. Ou, para ser mais específico e preciso, apenas um deles receberá atualizações.
  4. Instalações de software. Você pode fazer isso com ferramentas elétricas (LANdesk, Altiris, etc.), mas isso é dinheiro extra.
  5. drivers de impressora "Poison". Eu vi alguns deles. O melhor remédio era uma fila de impressão com um driver atualizado.
  6. A impressão do Windows 7 teria ataques épicos, a menos que definimos floresta permitida / hosts permitidos em restrições de ponto e impressão. Talvez isso não seja um grande problema se todas as impressoras forem somente para ip, desde que o User1 nunca deseje usar a impressora local do User2. Sem o AD, nossos técnicos precisavam usar o gpedit na estação de trabalho ou na imagem master.
  7. Você está supondo o cloud exchange, mas também vou acrescentar que as migrações de email e outras grandes alterações de infra-estrutura sem AD são penosas para o cliente. Escrevi o script "remova tarefas de migração de software / migrar estações de trabalho antigas para AD / migrar perfil de usuário de local para domínio / rebaixar usuário de administrador para usuário avançado / fazer alterações em firewall" e executá-las na Altiris. (Os consultores da Microsoft estavam sugerindo que contratássemos temporários com pen drives até que eu mostrasse meu kung-fu.)

Além disso, há fornecedores de software que olham para você como se você tivesse três cabeças quando diz que tem grupos de trabalho em vez de domínios. Altiris é executado em grupos de trabalho, mas seus técnicos de desktop nunca podem alterar suas senhas, por exemplo. (Ok, tudo bem. Eles podem mudar sua senha. Mas eles também precisam passar pelo seu cubo e digitar sua nova senha no servidor, ou dizer a você qual é a nova senha.)

O que eu estou conseguindo é: Você pode gerenciar muitas estações de trabalho sem o AD, mas você pode precisar comprar um software de substituição, e mesmo com um bom software você encontrará coisas dolorosas.

    
por 24.01.2014 / 23:01
12

AD e GPO continuarão gerenciando as estações de trabalho. Sem isso, você está pagando por um aplicativo de terceiros ou realmente realmente confiando em seus usuários.

Se você estiver fazendo algo como estritamente BYOD ou distribuindo apenas VMs sem estado para trabalhar, isso não se aplica muito.

    
por 24.01.2014 / 22:05
8

A nuvem é apenas mais um ISP

Embora seja empolgante, qualquer nuvem é apenas mais um provedor de terceirização - uma empresa que tenta oferecer flexibilidade para sua infraestrutura e operações, geralmente a um custo reduzido e (espero) maior confiabilidade. Claro, a nuvem tem como objetivo simplificar os objetivos comuns de serviços procurados, como escalabilidade, confiabilidade e desempenho, mas ainda é apenas uma opção de hospedagem

Você precisa de uma plataforma de Gerenciamento de Identidade e Acesso, e o Active Directory se encaixa nessa necessidade no local ou no seu provedor de hospedagem, como já disse?

A alteração da localização física dos seus serviços de rede não altera seus requisitos.

O Active Directory é altamente extensível, mesmo com um grande número de sistemas não diretamente dependentes do AD DS, você ainda pode utilizá-lo para gerenciar componentes de infraestrutura "independentes", hospedados na nuvem ou em qualquer outro lugar.

Se você continuar a utilizar a plataforma Windows e o middleware da Microsoft, o nível absoluto de suporte à autenticação do Active Directory na nuvem implora por Serviços de Domínio Active Directory, até mais do que no local.

Cloud todo o caminho

Ainda está realmente interessado em mudar tudo para a nuvem? Faça! Virtualize seus controladores de domínio , não é um dispositivo de exibição. É apenas mais uma solução de terceirização: -)

Acho que a verdadeira questão é se você pode mover sua "loja Windows" centrada no MS para a nuvem sem AD DS

    
por 25.01.2014 / 04:27
8

O ponto central desta questão depende do que você vê no AD fazendo por você. Se estiver sendo usado apenas como o armazenamento central para credenciais de SSO que são usadas apenas para autenticação em aplicativos na nuvem, é claro que ele pode ser substituído por outro armazenamento central.

Mas o AD pode fazer muito mais do que isso:

  • Implantação de software.

  • Implementação do sistema operacional.

  • Gerenciamento de impressoras.

  • Gerenciamento de perfil de usuário (por exemplo, usando perfis móveis ou UE-V para permitir usuários para efetuar login em qualquer lugar e manter seus dados e personalizações locais). Acho que isso ainda é importante, mesmo quando todos os seus serviços estão na nuvem, porque os dados ainda podem ser locais e as máquinas clientes ainda são quebradas ou substituídas.

  • Escalabilidade: prefiro gerenciar o provisionamento e o gerenciamento contínuo de milhares de contas de usuários por meio do ADUC & scripting powershell 'local', etc., do que apenas através do Office 365.

  • Integração com aplicativos não padrão - por exemplo, temos um sistema de cartão de identificação com base em RFID que se integra ao AD e eu realmente não gostaria de tentar falar com o ADFS baseado no Azure.

Obviamente, nem todas essas coisas serão relevantes o tempo todo - o contrário do meu comentário sobre escalabilidade é que uma pequena empresa com apenas alguns usuários pode comprar o Office 365 ou o Google Apps, além de qualquer laptop que esteja à venda esta semana no supermercado mais próximo, para cada novo contratado, se eles decidirem que isso é menos doloroso para eles.

    
por 25.01.2014 / 00:36
5

Você poderia? Sim. Voce gostaria de? Acho que não. Todas as soluções hospedadas que você mencionou suportam o AD Federation e, como você deseja o SSO em todos os lugares, a única maneira universal de realizar isso será o AD.

E produtos como o LastPass são um cofre de senhas, não SSO.

    
por 24.01.2014 / 22:14
2

Além de algumas respostas realmente boas, eu gostaria de reverter a pergunta: qual é o ponto em não ter o Active Directory se você estiver executando uma loja da Microsoft? Você pode usar os produtos da Microsoft sem o AD, mas eles são projetados para funcionar com eles, e a integração nativa do AD sempre será melhor do que qualquer solução alternativa que você possa usar.

Menos complexidade? Não ter AD realmente adiciona mais complexidade ao seu ambiente, porque você tem que encontrar alternativas adequadas para tudo o que o AD teria feito de imediato; ter AD adiciona ... o que? Um par de controladores de domínio (que podem muito bem ser VMs, nem mesmo exigindo hardware adicional)? Qualquer administrador júnior do Windows pode gerenciar um pequeno AD, e todos os mais antigos podem gerenciar um grande. Se você é proficiente o suficiente em produtos da Microsoft para poder encontrar e implementar soluções alternativas para não ter o AD, você é definitivamente qualificado o suficiente para realmente usá-lo .

Custos? Quais custos? Você já disse que está indo para a nuvem completa, por isso algumas VMs do Azure adicionais nem conseguirão reduzir muito seu orçamento; nem mesmo algumas licenças do Windows Server para DCs físicos, dado o que você já está gastando em serviços online (sem mencionar as licenças do Windows e do Office do cliente, que você ainda precisa para todos os seus usuários).

TL; DR: apesar de tudo, eu realmente não vejo nenhum ponto em não ter AD, dado o quão trivial é implementá-lo (mesmo em grande escala) e como quanto você ganha por tê-lo.

    
por 14.09.2016 / 00:41
-2

Você não precisa de AD, mas vai facilitar sua vida. Dependendo do seu tamanho, certifique-se de ter 2 servidores, 1 primário, 1 backup, caso contrário, se você perder o servidor do AD (e só tiver 1), precisará reconstruir um domínio, a menos que os backups sejam SOLID.

    
por 31.01.2014 / 14:40
Como o ServerName e o ServerAlias funcionam? escute dados UDP na porta local com o netcat