如果 Windows 商店将“一切”都转移到云端，它还需要 Active Directory 吗？

我管理过大量没有 AD 的工作站。我有强大的工具（Altiris 部署解决方案），但在某些情况下它仍然很麻烦：

1. 安全审计员进来后说我们的默认工作站密码策略不够好。为了在 5,000 台机器上更改密码复杂性和有效期等，我们必须编写一个（不简单的）脚本并安排在所有机器上运行。（顺便说一句，祝你好运抓住笔记本电脑！）
2. 绘制部门打印机的地图。当然，我们可以使用 IP 号。这意味着，如果部门 A 和部门 B 陷入打印机战争，补救措施包括监视打印机，然后跟踪违规者回到他们的工作站，将打印机从他们的工作站移除。（我想你可以购买打印管理软件。）此外，如果他们不应该使用那台打印机，那台打印机一开始是如何出现在他们的工作站上的？你将如何防止它再次出现在那里？
3. 有 WSUS 的注册表项，因此您可以技术上不需要 AD 进行补丁管理。但是，如果您在映像中包含这些注册表项，则需要确保删除几个项（SusClientID 和 PingID），否则它们将绝不永远无法获得更新。或者，更具体、更准确的说法是，只有其中一个会获得更新。
4. 软件安装。您可以使用电动工具（LANdesk、Altiris 等）进行安装，但需要额外付费。
5. “有毒”打印机驱动程序。我见过好几个这样的驱动程序。最好的补救措施是使用更新的驱动程序的打印队列。
6. 除非我们在指向和打印限制中设置允许的林/允许的主机，否则 Windows 7 打印将会出现严重的问题。如果所有打印机都是仅 IP 打印机，只要 User1 永远不想使用 User2 的本地打印机，那么这可能就不是什么大问题。如果没有 AD，我们的技术人员必须在工作站或主映像上使用 gpedit。
7. 您假设使用云 Exchange，但我还要补充一点，没有 AD 的电子邮件迁移和其他大型基础设施变更在客户端会很痛苦。我编写了“从旧的失败迁移中删除软件/将工作站添加到 AD/将用户的配置文件从本地迁移到域/将用户从管理员降级为高级用户/对防火墙进行更改”作业的脚本，并通过 Altiris 运行它们。（微软顾问建议我们雇用带有拇指驱动器的临时工，直到我向他们展示了我的功夫。）

此外，当你告诉软件供应商你使用的是工作组而不是域时，他们会用一种怪异的眼神看着你。例如，Altiris 在工作组中运行，但你的桌面技术人员永远不能更改密码。（好吧，好吧。他们可以更改密码。但他们也必须经过你的办公室，在服务器上输入新密码，或者告诉你他们的新密码是什么。

我的意思是：您可以在没有 AD 的情况下管理许多工作站，但您可能需要购买替代软件，而且即使使用好的软件，您也会遇到痛苦的事情。

AD 和 GPO 仍将负责工作站的管理。如果没有它，您将需要为第三方应用程序或真的真的真的信任你的用户。

如果您正在执行严格的 BYOD 之类的操作，或者仅分发无状态虚拟机进行工作，那么这并不适用。

云只是另一个 ISP

虽然令人兴奋，但任何云都只是另一个外包提供商——一家试图为您的基础设施和运营提供灵活性的公司，通常成本更低，可靠性更高。当然，云的目标是简化常见的服务目标，如可扩展性、可靠性和性能——但它仍然只是一种托管选项

您需要一个身份和访问管理平台，并且您说 Active Directory 已经可以满足本地或托管服务提供商的这一需求了吗？

更改网络服务的物理位置不会改变您的要求。

Active Directory 具有高度的可扩展性，即使有大量系统不直接依赖于 AD DS，您仍然可以使用它来管理托管在云中或其他任何地方的“独立”基础设施组件。

如果您继续使用 Windows 平台和 Microsoft 中间件，那么云中对 Active Directory 身份验证的绝对支持将需要 Active Directory 域服务，甚至比本地支持还要多。

全程云

仍然热衷于将所有内容迁移到云端？那就行动吧！虚拟化您的域控制器，这不是什么大问题。这只是另一个外包解决方案 :-)

我认为真正的问题是你是否可以将以 MS 为中心的“Windows 商店”迁移到云端没有活动目录

可以吗？可以。你想吗？我不这么认为。你提到的所有托管解决方案都支持 AD 联合，而且由于你希望在任何地方都实现 SSO，因此实现该目标的唯一通用方法就是 AD。

LastPass 等产品是密码库，而不是 SSO。