从这个问题来看:我真的需要 MS Active Directory 吗?2014 年的新方向。
考虑到基本的 Windows 基础设施:
- 域控制器
- 交流 2007/2010/2013
- 分享点
- SQL
- 文件服务器/打印服务器
- AD 集成 DNS
- AD 认证的第三方设备(比如说用于网络连接的 802.1X,也许还有一些内容过滤等等)
- AD/LDAP 对 IT 应用程序/硬件等进行验证的“管理”功能。
- 也许一些 KMS 的东西
- 如果你愿意的话可以加入 CA
- 自主开发的应用程序
- 第三方内部应用程序
现在,让我们把一切都拆掉,决定要迁移到云中。我们已经签约将 Exchange/Sharepoint/文件服务迁移到 Office 365。SQL 现在也将托管在 Azure 之类的东西上。我们已经不再需要 AD-DNS,只需通过一个简单的 Windows DNS 服务器运行一切。我们仍然需要 802.1X,如果可能的话,我们希望能够通过 SSO 访问我们的各种云应用程序。自主开发和第三方内部应用程序可能会保留,但可以使用内部用户数据库而不是 AD 身份验证
问题是...我们真的需要 Active Directory 吗?
或者更确切地说,AD 本地化或甚至通过 Azure 或类似系统托管(ADFS),或通过 Azure 或类似系统在托管虚拟机上运行 ADDS。我们是否可以/应该考虑其他东西,例如第三方 SSO 选项,例如http://www.onelogin.com/partners/app-partners/office-365/或者类似的东西,即使它像 LastPass 或类似的东西一样简单,也可以为每个用户提供 SSO 功能?
如果其他一切都在云中,那么 AD 能满足哪些合法需求?
如果将之前依赖 AD 的所有内容转移到不依赖 AD 身份验证的 SaaS 产品中,那么以 MS 为中心的基础设施是否可以完全不使用 AD?
答案1
我管理过大量没有 AD 的工作站。我有强大的工具(Altiris 部署解决方案),但在某些情况下它仍然很麻烦:
- 安全审计员进来后说我们的默认工作站密码策略不够好。为了在 5,000 台机器上更改密码复杂性和有效期等,我们必须编写一个(不简单的)脚本并安排在所有机器上运行。(顺便说一句,祝你好运抓住笔记本电脑!)
- 绘制部门打印机的地图。当然,我们可以使用 IP 号。这意味着,如果部门 A 和部门 B 陷入打印机战争,补救措施包括监视打印机,然后跟踪违规者回到他们的工作站,将打印机从他们的工作站移除。(我想你可以购买打印管理软件。)此外,如果他们不应该使用那台打印机,那台打印机一开始是如何出现在他们的工作站上的?你将如何防止它再次出现在那里?
- 有 WSUS 的注册表项,因此您可以技术上不需要 AD 进行补丁管理。但是,如果您在映像中包含这些注册表项,则需要确保删除几个项(SusClientID 和 PingID),否则它们将绝不永远无法获得更新。或者,更具体、更准确的说法是,只有其中一个会获得更新。
- 软件安装。您可以使用电动工具(LANdesk、Altiris 等)进行安装,但需要额外付费。
- “有毒”打印机驱动程序。我见过好几个这样的驱动程序。最好的补救措施是使用更新的驱动程序的打印队列。
- 除非我们在指向和打印限制中设置允许的林/允许的主机,否则 Windows 7 打印将会出现严重的问题。如果所有打印机都是仅 IP 打印机,只要 User1 永远不想使用 User2 的本地打印机,那么这可能就不是什么大问题。如果没有 AD,我们的技术人员必须在工作站或主映像上使用 gpedit。
- 您假设使用云 Exchange,但我还要补充一点,没有 AD 的电子邮件迁移和其他大型基础设施变更在客户端会很痛苦。我编写了“从旧的失败迁移中删除软件/将工作站添加到 AD/将用户的配置文件从本地迁移到域/将用户从管理员降级为高级用户/对防火墙进行更改”作业的脚本,并通过 Altiris 运行它们。(微软顾问建议我们雇用带有拇指驱动器的临时工,直到我向他们展示了我的功夫。)
此外,当你告诉软件供应商你使用的是工作组而不是域时,他们会用一种怪异的眼神看着你。例如,Altiris 在工作组中运行,但你的桌面技术人员永远不能更改密码。(好吧,好吧。他们可以更改密码。但他们也必须经过你的办公室,在服务器上输入新密码,或者告诉你他们的新密码是什么。
我的意思是:您可以在没有 AD 的情况下管理许多工作站,但您可能需要购买替代软件,而且即使使用好的软件,您也会遇到痛苦的事情。
答案2
AD 和 GPO 仍将负责工作站的管理。如果没有它,您将需要为第三方应用程序或真的真的真的信任你的用户。
如果您正在执行严格的 BYOD 之类的操作,或者仅分发无状态虚拟机进行工作,那么这并不适用。
答案3
云只是另一个 ISP
虽然令人兴奋,但任何云都只是另一个外包提供商——一家试图为您的基础设施和运营提供灵活性的公司,通常成本更低,可靠性更高。当然,云的目标是简化常见的服务目标,如可扩展性、可靠性和性能——但它仍然只是一种托管选项
您需要一个身份和访问管理平台,并且您说 Active Directory 已经可以满足本地或托管服务提供商的这一需求了吗?
更改网络服务的物理位置不会改变您的要求。
Active Directory 具有高度的可扩展性,即使有大量系统不直接依赖于 AD DS,您仍然可以使用它来管理托管在云中或其他任何地方的“独立”基础设施组件。
如果您继续使用 Windows 平台和 Microsoft 中间件,那么云中对 Active Directory 身份验证的绝对支持将需要 Active Directory 域服务,甚至比本地支持还要多。
全程云
仍然热衷于将所有内容迁移到云端?那就行动吧!虚拟化您的域控制器,这不是什么大问题。这只是另一个外包解决方案 :-)
我认为真正的问题是你是否可以将以 MS 为中心的“Windows 商店”迁移到云端没有活动目录
答案4
可以吗?可以。你想吗?我不这么认为。你提到的所有托管解决方案都支持 AD 联合,而且由于你希望在任何地方都实现 SSO,因此实现该目标的唯一通用方法就是 AD。
LastPass 等产品是密码库,而不是 SSO。