如果一家 Windows 商店將“一切”都遷移到雲端,它還需要 Active Directory 嗎?
從這個問題中分拆出來:我真的需要 MS Active Directory 嗎?2014年的新方向。
考慮到基本的 Windows 基礎架構:
- 域控制器
- 交換 2007/2010/2013
- 共享點
- SQL
- 文件伺服器/列印伺服器
- AD 集成 DNS
- AD 認證的第 3 方設備(比如說 802.1X 用於網路,可能還有一些內容過濾等)
- AD/LDAP 在 IT 應用程序/硬體/等上經過身份驗證的“管理”功能。
- 也許是一些 KMS 的東西
- 如果您願意,請加入 CA
- 本土應用
- 第 3 方內部應用程序
現在,讓我們把它全部撕掉並決定我們要去雲端。我們已簽約將 Exchange/Sharepoint/File Services 遷移到 Office 365。SQL 現在也將託管在 Azure 之類的東西上。我們已經擺脫了對 AD-DNS 的需求,只需通過一個簡單的 Windows DNS 伺服器即可執行一切。我們仍然需要 802.1X,如果可能的話,我們希望對我們的各種雲應用程序進行 SSO。本土和第 3 方內部應用程序可能會保留,但能夠使用內部使用者數據庫而不是 AD 身份驗證
問題是……我們真的需要 Active Directory 嗎?
或者更重要的是,AD 是本地部署的,甚至是通過 Azure 或類似 (ADFS) 託管的,或者通過 Azure 或類似在託管 VM 上執行 ADDS。我們可以/是否應該尋找其他東西,例如 3rd 方 SSO 選項,例如http://www.onelogin.com/partners/app-partners/office-365/或類似的可以提供 SSO 功能的東西,即使它很簡單每個使用者的 LastPass 或類似的?
如果其他一切都在雲中,AD 可以滿足什麼樣的合法需求?
如果以 MS 為中心的基礎架構將以前依賴 AD 的所有內容轉移到不依賴 AD 身份驗證的 SaaS 產品上,他們是否可以完全沒有 AD?
我已經管理了大量沒有 AD 的工作站。我有電動工具(Altiris 部署解決方案),但在某些情況下它仍然會受到傷害:
- 安全審計員進來並說我們的預設工作站密碼策略不夠好。為了在 5,000 台機器上更改密碼複雜性和有效期等,我們必須編寫一個(非平凡的)腳本並安排它在所有機器上執行。(順便說一句,祝你抓住筆記型電腦好運!)
- 測繪部門列印機。當然,我們可以使用 IP 號碼。這意味著如果 A 部門和 B 部門發生列印機大戰,補救措施包括將列印機放樣,然後跟隨違規者回到他們的工作站,將列印機從他們的工作站中移除。(我想你可以購買列印管理軟體。)另外,如果他們不應該使用它,那台列印機最初是如何出現在他們的工作站上的,你將如何防止它再次出現在他們的工作站上?
- WSUS 有系統資料庫項,因此從技術上講,您不需要 AD 來進行更新檔管理。但是,如果您在映像中包含這些系統資料庫項,則需要確保並刪除幾個鍵(SusClientID 和 PingID),否則它們將永遠無法獲得更新。或者,更具體和準確地說,只有其中一個會得到更新。
- 軟體安裝。您可以使用電動工具(LANdesk、Altiris 等)來完成這些,但那是額外的錢。
- “毒藥”列印機驅動程序。我見過其中的幾個。最好的補救措施是使用更新驅動程序的列印隊列。
- 除非我們在點和列印限制中設置允許的森林/允許的主機,否則 Windows 7 列印會大發雷霆。如果所有列印機都是 ip-only,那麼這可能沒什麼大不了的,只要 User1 從不想使用 User2 的本地列印機。如果沒有 AD,我們的技術人員必須在工作站或主映像上使用 gpedit。
- 您假設使用雲 Exchange,但我還要補充一點,沒有 AD 的電子郵件遷移和其他大型基礎設施更改在客戶端是很痛苦的。我編寫了“從舊的失敗遷移中刪除軟體/將工作站添加到 AD/將使用者的配置文件從本地遷移到域/將使用者從管理員降級為高級使用者/更改防火牆”作業的腳本,並通過 Altiris 執行它們。(微軟顧問建議我們用拇指驅動器僱傭臨時工,直到我向他們展示了我的功夫。)
此外,當你告訴他們你有工作組而不是域時,有些軟體供應商會認為你有三個頭。Altiris 在工作組中執行,但您的桌面技術人員永遠不允許更改密碼。(好吧,好吧。他們可以更改他們的密碼。但他們也必須繞過你的立方體並將他們的新密碼輸入伺服器,或者告訴你他們的新密碼是什麼。)
我的意思是:您可以在沒有 AD 的情況下管理許多工作站,但您可能需要購買替換軟體,即使使用好的軟體,您也會遇到痛苦的事情。