web-dev-qa-db-fra.com

Si une boutique Windows déplace "tout" vers le cloud, a-t-elle toujours besoin d'Active Directory?

Prendre un spin off de cette question: Ai-je vraiment besoin de MS Active Directory? dans une nouvelle direction pour 2014.

Prise en compte d'une infrastructure Windows de base:

  • contrôleurs de domaine
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Serveurs de fichiers/serveurs d'impression
  • DNS intégré AD
  • Appareils tiers authentifiés par AD (disons 802.1X pour la mise en réseau et peut-être un filtrage de contenu, etc.)
  • Fonctions "administratives" authentifiées AD/LDAP sur les applications informatiques/le matériel/etc.
  • peut-être des trucs KMS
  • jeter un CA si vous le souhaitez
  • applications maison
  • Applications internes tierces

Maintenant, déchirons le tout et décidons que nous allons dans le cloud. Nous avons conclu un contrat pour déplacer Exchange/Sharepoint/File Services vers Office 365. SQL sera désormais également hébergé sur quelque chose comme Azure. Nous nous sommes éloignés du besoin d'AD-DNS et exécutons simplement tout via un simple serveur DNS Windows. Nous avons toujours besoin de 802.1X et souhaitons l'authentification unique si possible pour nos différentes applications cloud. Les applications maison et tierces internes resteraient probablement, mais auraient la possibilité d'utiliser des bases de données d'utilisateurs internes au lieu de l'authentification AD

La question est ... avons-nous vraiment besoin d'Active Directory?

Ou plus précisément, AD sur site ou même hébergé via Azure ou similaire (ADFS) ou exécutant ADDS sur un hébergé VM via Azure ou similaire. Pourrions-nous/devrions-nous chercher autre chose comme une option SSO tierce telle que http://www.onelogin.com/partners/app-partners/office-365/ ou similaire qui peut fournir des fonctionnalités SSO même si elle est aussi simple que LastPass ou similaire pour chaque utilisateur?

À quel type de besoins légitimes AD répond-il si tout le reste dans le cloud?

Une infrastructure centrée sur MS pourrait-elle éviter de ne pas avoir AD du tout si elle déplaçait tout ce qui reposait auparavant sur AD vers SaaS qui ne reposaient pas sur Authentification AD?

active-directorycloudadfsmicrosoft-office-365saas
49
TheCleaner

J'ai géré un grand nombre de postes de travail sans AD. J'avais des outils électriques (Altiris Deployment Solution), mais ça faisait toujours mal dans certaines situations:

  1. L'auditeur de sécurité arrive et dit que notre politique de mot de passe par défaut pour le poste de travail n'est pas assez bonne. Afin de modifier la complexité et l'expiration des mots de passe, etc., sur 5 000 machines, nous avons dû écrire un script (non trivial) et planifier son exécution sur toutes les machines. (Bonne chance pour attraper les ordinateurs portables, au fait!)
  2. Imprimantes du département de cartographie. Bien sûr, nous pourrions utiliser le numéro IP. Cela signifie que si les départements A et B entrent dans une guerre d'imprimantes, le remède consiste à jalonner l'imprimante puis à suivre le contrevenant jusqu'à son poste de travail pour retirer l'imprimante de son poste de travail. (Je suppose que vous pourriez acheter un logiciel de gestion d'impression à la place.) En outre, comment cette imprimante s'est-elle retrouvée sur son poste de travail en premier lieu si elle n'est pas censée l'utiliser, et comment l'empêcherez-vous de s'y retrouver?
  3. Il existe des clés de registre pour WSUS, donc vous techniquement n'avez pas besoin d'AD pour la gestion des correctifs. Cependant, si vous incluez ces clés de registre dans l'image, vous devez vous assurer et supprimer quelques clés (SusClientID et PingID), sinon elles jamais obtiendront des mises à jour. Ou, pour être plus précis et précis, un seul d'entre eux recevra des mises à jour.
  4. Installations logicielles. Vous pouvez le faire avec des outils électriques (LANdesk, Altiris, etc.), mais c'est de l'argent supplémentaire.
  5. Pilotes d'imprimante "Poison". J'en ai vu deux. Le meilleur remède était une file d'attente d'impression avec un pilote mis à jour.
  6. L'impression de Windows 7 aurait des crises épiques à moins que nous ne définissions la forêt autorisée/les hôtes autorisés au point et les restrictions d'impression. Peut-être que ce ne serait pas grave si toutes les imprimantes étaient uniquement IP, tant que User1 ne veut jamais utiliser l'imprimante locale de User2. Sans AD, nos techniciens devaient utiliser gpedit sur le poste de travail ou sur l'image principale.
  7. Vous partez du cloud Exchange, mais je vais également ajouter que les migrations d'e-mails et d'autres grands changements d'infrastructure sans AD sont pénibles du côté client. J'ai écrit le script "Supprimer le logiciel de l'ancien échec de migration/ajouter un poste de travail à AD/migrer le profil de l'utilisateur du local vers le domaine/rétrograder l'utilisateur de l'administrateur à l'utilisateur avancé/apporter des modifications au pare-feu" et les exécuter via Altiris. (Les consultants Microsoft suggéraient que nous embauchions des intérimaires avec des clés USB jusqu'à ce que je leur montre mon kung-fu.)

En outre, il existe des fournisseurs de logiciels qui vous regardent comme si vous aviez trois têtes lorsque vous leur dites que vous avez des groupes de travail plutôt que des domaines. Altiris s'exécute dans des groupes de travail, mais vos techniciens de bureau ne sont jamais autorisés à modifier leurs mots de passe, par exemple. (D'accord, d'accord. Ils peuvent changer leur mot de passe. Mais ils doivent également passer par votre cube et taper leur nouveau mot de passe sur le serveur, ou vous dire quel est leur nouveau mot de passe.)

Ce que je veux dire, c'est: vous pouvez gérer de nombreux postes de travail sans AD, mais vous devrez peut-être acheter un logiciel de remplacement, et même avec le logiciel Nice, vous rencontrerez des choses douloureuses.

88
Katherine Villyard

AD et GPO gérera toujours la gestion des postes de travail. Sans cela, vous payez pour une application tierce ou vraiment vraiment vraiment faisant confiance à vos utilisateurs.

Si vous faites quelque chose comme strictement BYOD ou distribuez uniquement des machines virtuelles sans état pour travailler, cela ne s'applique pas autant.

13
mfinni

Le point central de ce problème dépend de ce que vous voyez AD faire pour vous. S'il n'est utilisé que comme magasin central pour les informations d'identification SSO qui ne sont utilisées que pour l'authentification auprès des applications cloud, il peut bien sûr être remplacé par un autre magasin central.

Mais AD peut faire bien plus que cela:

  • Déploiement logiciel.

  • Déploiement du système d'exploitation.

  • Gestion des imprimantes.

  • Gestion des profils utilisateur (par exemple en utilisant des profils itinérants ou E-V pour permettre aux utilisateurs de se connecter n'importe où et de conserver leurs données locales et personnalisations). Je pense que cela est toujours important même lorsque tous vos services sont dans le cloud, car les données peuvent toujours être locales et les machines clientes tombent toujours en panne ou sont remplacées.

  • Évolutivité: je préfère gérer l'approvisionnement et la gestion continue de mes milliers de comptes d'utilisateurs via ADUC et les scripts PowerShell `` locaux '', etc. plutôt que via Office 365.

  • Intégration avec des applications non standard - par ex. nous avons un système de carte d'identité basé sur RFID qui s'intègre à AD et je n'aurais vraiment pas envie d'essayer de le faire parler à ADFS basé sur Azure.

Bien sûr, toutes ces choses ne seront pas pertinentes à chaque fois - l'inverse de mon commentaire sur l'évolutivité est qu'une petite entreprise avec seulement quelques utilisateurs pourrait certainement acheter Office 365 ou Google Apps, ainsi que tout ordinateur portable en vente cette semaine sur le supermarché le plus proche, pour chaque nouvelle embauche s'ils décident que cela leur est moins pénible.

8
Rob Moir

Le Cloud n'est qu'un autre FAI

Bien qu'excitant, n'importe quel cloud n'est qu'un autre fournisseur d'externalisation - une entreprise qui essaie d'offrir une flexibilité pour votre infrastructure et vos opérations, souvent à moindre coût et (espérons-le) une meilleure fiabilité. Bien sûr, le cloud vise à simplifier les objectifs de service recherchés courants tels que l'évolutivité, la fiabilité et les performances, mais ce n'est encore qu'une option d'hébergement

Vous avez besoin d'une plate-forme de gestion des identités et des accès, et Active Directory s'adapte qui a besoin sur site ou chez votre hébergeur déjà vous dites?

La modification de l'emplacement physique de vos services réseau ne modifie pas vos besoins.

Active Directory est hautement extensible, même avec un grand nombre de systèmes qui ne dépendent pas directement des AD DS, vous pouvez toujours l'utiliser pour gérer des composants d'infrastructure "autonomes", hébergés dans le cloud ou ailleurs.

Si vous continuez à utiliser la plate-forme Windows et le middleware Microsoft, le niveau de prise en charge de l'authentification Active Directory dans le cloud demande des services de domaine Active Directory, encore plus que sur site.

Cloud tout le chemin

Vous avez toujours envie de tout déplacer vers le Cloud? Fais le! Virtualisez vos contrôleurs de domaine , ce n'est pas un stop show. C'est juste une autre solution d'externalisation :-)

Je pense que la vraie question est de savoir si vous pouvez déplacer votre "boutique Windows" centrée sur MS vers le Cloud sans AD DS

8
Mathias R. Jessen

Pouvez-vous? Oui. Voudrais-tu? Je ne pense pas. Toutes les solutions hébergées que vous avez mentionnées prennent en charge AD Federation, et puisque vous voulez que l'authentification unique partout dans le monde soit la seule façon universelle d'accomplir cela qui sera AD.

Et des produits comme LastPass sont un coffre de mots de passe, pas SSO.

5
longneck

Mis à part quelques très bonnes réponses, je voudrais inverser la question: à quoi bon ne pas avoir Active Directory si vous dirigez une boutique Microsoft? Vous pouvez vous déplacer pour utiliser et gérer les produits Microsoft sans AD, mais ils sont juste conçus pour fonctionner avec, et l'intégration AD native sera toujours meilleure que toute solution de contournement que vous pouvez ajouter.

Moins de complexité? Ne pas avoir AD ajoute en fait plus de complexité à votre environnement, car vous devez trouver des alternatives adaptées à tout ce qu'AD aurait fait dès le départ; avoir AD ajoute ... quoi? Un couple de contrôleurs de domaine (qui peuvent très bien être des machines virtuelles, donc ne nécessitant même pas de matériel supplémentaire)? Tout administrateur Windows junior peut gérer une petite annonce, et tous les administrateurs seniors peuvent en gérer une grande. Si vous maîtrisez suffisamment les produits Microsoft pour pouvoir trouver et implémenter des solutions de contournement pour ne pas avoir AD, vous êtes certainement suffisamment qualifié pour réellement l'utiliser .

Frais? Quels coûts? Vous avez déjà dit que vous utilisiez le cloud complet, donc quelques machines virtuelles Azure supplémentaires ne seront même pas en mesure de réduire votre budget; pas même quelques licences Windows Server pour les contrôleurs de domaine physiques, compte tenu de ce que vous dépensez déjà dans les services en ligne (sans parler des licences client Windows et Office, dont vous avez toujours besoin pour tous vos utilisateurs).

TL; DR: dans l'ensemble, je ne vois vraiment aucun intérêt à ne pas avoir AD, étant donné la simplicité de sa mise en œuvre (même à grande échelle) et combien vous gagnez à l'avoir.

3
Massimo