如果 Windows 商店将“一切”移至云端，它是否仍需要 Active Directory？

Question

从这个问题衍生出来：我真的需要 MS Active Directory 吗？2014年的新方向。

考虑到基本的 Windows 基础架构：

• 域控制器
• 交流 2007/2010/2013
• 共享点
• SQL
• 文件服务器/打印服务器
• AD集成DNS
• AD 认证的第 3 方设备（假设 802.1X 用于网络和一些内容过滤等）
• AD/LDAP 验证 IT 应用程序/硬件/等上的“管理”功能。
• 也许一些 KMS 的东西
• 如果你愿意，可以加入 CA
• 本土应用
• 第 3 方内部应用

现在，让我们把它全部撕掉，并决定我们要上云。我们已签约将 Exchange/Sharepoint/File Services 移至 Office 365。SQL 现在也将托管在 Azure 之类的设备上。我们已经摆脱了对 AD-DNS 的需求，只需通过一个简单的 Windows DNS 服务器即可运行所有内容。我们仍然需要 802.1X，如果可能的话，我们希望对我们的各种云应用程序进行 SSO。本土和 3rd 方内部应用程序可能会保留，但能够使用内部用户数据库而不是 AD 身份验证

问题是……我们真的需要 Active Directory 吗？

或者更确切地说，AD 内部部署或什至通过 Azure 或类似 (ADFS) 托管，或者通过 Azure 或类似工具在托管 VM 上运行 ADDS。我们可以/应该看看其他类似 3rd 方 SSO 选项的东西，例如http://www.onelogin.com/partners/app-partners/office-365/或类似的可以提供 SSO 功能的东西，即使它很简单每个用户的 LastPass 或类似产品？

如果其他一切都在云中，那么 AD 满足什么样的合法需求？

如果以 MS 为中心的基础设施将以前依赖 AD 的所有内容转移到不依赖 AD 身份验证的 SaaS 产品，他们是否可以完全不使用 AD？

Answer 1

我管理了大量没有 AD 的工作站。我有电动工具（Altiris 部署解决方案），但在某些情况下它仍然会受到伤害：

1. 安全审核员进来说我们的默认工作站密码策略不够好。为了在 5,000 台机器上更改密码的复杂性和有效期等，我们必须编写一个（非平凡的）脚本并安排它在所有机器上运行。（顺便说一下，祝你买到笔记本电脑好运！）
2. 制图部门打印机。当然，我们可以使用 IP 号码。这意味着，如果部门 A 和部门 B 陷入打印机战争，补救措施包括放样打印机，然后跟随违规者回到他们的工作站，从他们的工作站中移除打印机。（我想您可以改为购买打印管理软件。）此外，如果他们不应该使用该打印机，那该打印机最初是如何最终出现在他们的工作站上的，您将如何防止它再次出现在那里？
3. WSUS 有注册表项，因此从技术上讲，您不需要 AD 进行补丁管理。但是，如果您在映像中包含这些注册表项，则需要确保并删除几个键（SusClientID 和 PingID），否则它们将永远不会获得更新。或者，更具体和准确地说，只有其中一个会获得更新。
4. 软件安装。您可以使用电动工具（LANdesk、Altiris 等）完成这些操作，但这是额外的费用。
5. “毒药”打印机驱动程序。我见过其中的几个。最好的补救方法是使用更新驱动程序的打印队列。
6. 除非我们在点和打印限制中设置允许的森林/允许的主机，否则 Windows 7 打印会大发脾气。如果所有打印机都是 ip-only，只要 User1 永远不想使用 User2 的本地打印机，也许这不会是什么大问题。如果没有 AD，我们的技术人员必须在工作站或主映像上使用 gpedit。
7. 您假设使用云 Exchange，但我还要补充一点，没有 AD 的电子邮件迁移和其他大型基础架构更改在客户端上是痛苦的。我编写了“从旧的失败迁移中删除软件/将工作站添加到 AD/将用户的配置文件从本地迁移到域/将用户从管理员降级到高级用户/对防火墙进行更改”作业的脚本，并通过 Altiris 运行它们。（微软顾问建议我们用 U 盘雇佣临时工，直到我向他们展示了我的功夫。）

此外，当你告诉他们你有工作组而不是域时，有些软件供应商会看着你，就像你有三个头一样。例如，Altiris 在工作组中运行，但永远不允许您的桌面技术人员更改他们的密码。（好吧，好吧。他们可以更改他们的密码。但他们也必须经过你的立方体并将他们的新密码输入服务器，或者告诉你他们的新密码是什么。）

我的意思是：您可以在没有 AD 的情况下管理大量工作站，但您可能需要购买替换软件，即使使用好的软件，您也会遇到麻烦。

Answer 2

AD 和 GPO 仍将处理工作站的管理。没有它，您就是在为第 3 方应用程序付费，或者您真的非常信任您的用户。

如果您正在执行严格的 BYOD 之类的操作，或者仅分发无状态 VM 以进行工作，那么这就不那么适用了。

Answer 3

这个问题的中心点取决于您认为 AD 为您做什么。如果它仅用作仅用于向云应用程序进行身份验证的 SSO 凭据的中央存储，那么当然可以将其替换为另一个中央存储。

但是 AD 可以做的远不止这些：

• 软件部署。

• 操作系统部署。

• 打印机管理。

• 用户配置文件管理（例如使用漫游配置文件或UE-V允许用户在任何地方登录并保留其本地数据和自定义）。我认为即使您的所有服务都在云中，这仍然很重要，因为数据仍然可以是本地的，并且客户端机器仍然会出现故障或被替换。

• 可扩展性：我宁愿通过 ADUC 和“本地”powershell 脚本等来管理我的数千个用户帐户的配置和持续管理，而不是纯粹通过 Office 365。

• 与非标准应用程序集成 - 例如，我们有一个与 AD 集成的基于 RFID 的 ID 卡系统，我真的不想让它与基于 Azure 的 ADFS 通信。

当然，并非所有这些东西每次都相关——我对可扩展性的评论与我相反的是，只有少数用户的小型企业当然可以购买 Office 365 或 Google Apps，以及本周在售的任何笔记本电脑最近的超市，对于每个新员工来说，如果他们认为这对他们来说不那么痛苦。

Answer 4

云只是另一个 ISP

虽然令人兴奋，但任何云都只是另一个外包提供商——一家试图为您的基础设施和运营提供灵活性的公司，通常以更低的成本和（希望）更好的可靠性。当然，云旨在简化常见的服务目标，如可扩展性、可靠性和性能——但它仍然只是一个托管选项

您需要一个身份和访问管理平台，并且 Active Directory 适合内部部署或托管服务提供商的需求，您已经说过了吗？

更改网络服务的物理位置不会改变您的要求。

Active Directory 具有高度可扩展性，即使有大量系统不直接依赖于 AD DS，您仍然可以利用它来管理托管在云或其他任何地方的“独立”基础架构组件。

如果您继续使用 Windows 平台和 Microsoft 中间件，则云中对 Active Directory 身份验证的绝对支持水平要求 Active Directory 域服务，甚至比内部部署还要多。

一路云

仍然非常热衷于将所有内容迁移到云端吗？做吧！虚拟化您的域控制器，这不是一个表演障碍。这只是另一种外包解决方案:-)

我认为真正的问题是您是否可以在没有AD DS 的情况下将以MS 为中心的“Windows 商店”迁移到云中

Answer 5

您可以...吗？是的。你愿意吗？我不这么认为。您提到的所有托管解决方案都支持 AD 联合，并且由于您希望在任何地方都使用 SSO，因此实现这一目标的唯一通用方法就是 AD。

而像 LastPass 这样的产品是密码保管库，而不是 SSO。