Si un magasin Windows transfère «tout» dans le nuage, a-t-il encore besoin d'Active Directory?

49

Pour répondre à cette question: Ai-je vraiment besoin de MS Active Directory? dans une nouvelle direction pour 2014.

Prise en compte d'une infrastructure Windows de base:

  • contrôleurs de domaine
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Serveurs de fichiers / serveurs d'impression
  • AD intégré DNS
  • Périphériques tiers authentifiés par AD (par exemple, 802.1X pour la mise en réseau et éventuellement un filtrage du contenu, etc.)
  • Fonctions "administratives" authentifiées par AD / LDAP sur des applications informatiques / matériel / etc.
  • peut-être des trucs KMS
  • jeter dans un CA si vous voulez
  • applications développées à la maison
  • Applications internes tierces

Maintenant, extrayons le tout et décidons que nous allons dans le nuage. Nous avons signé un contrat pour déplacer les services Exchange / Sharepoint / File vers Office 365. SQL sera désormais également hébergé sur quelque chose comme Azure. Nous nous sommes éloignés du besoin d'AD-DNS et nous avons simplement tout géré via un simple serveur DNS Windows. Nous avons toujours besoin de 802.1X et aimerions si possible utiliser l'authentification unique pour nos différentes applications cloud. Les applications internes développées à domicile et tierces resteraient probablement, mais auraient la possibilité d'utiliser des bases de données d'utilisateurs internes au lieu de l'authentification AD

La question est ... Avons-nous vraiment besoin d'Active Directory?

Ou plus précisément, AD sur site ou même hébergé via Azure ou similaire (ADFS) ou exécuter ADDS sur une machine virtuelle hébergée via Azure ou similaire. Pourrions-nous ou devrions-nous nous tourner vers quelque chose d'autre comme une option d'authentification unique tierce telle que http://www.onelogin.com/partners/app-partners/office-365/ ou similaire, pouvant fournir une fonctionnalité d'authentification unique même si elle est aussi simple LastPass ou similaire pour chaque utilisateur?

Quels types de besoins légitimes AD remplit-il si tout le reste dans le nuage?

Une infrastructure centrée sur les MS pourrait-elle s’en tirer avec l’absence totale d’AD, si elle transférait tout ce qui reposait auparavant sur AD vers des offres SaaS qui ne reposaient pas sur une authentification AD?

Le nettoyeur
la source
7
Les postes de travail de vos utilisateurs ne vont pas dans le "nuage" ... et s’ils le font, j'aimerais beaucoup savoir comment vous le faites!
Michael Hampton
Amazon n'a-t-il pas un produit VDI hébergé? (Cela ressemble à de la folie pour moi, mais ensuite je vais me lancer dans une bataille CAPEX contre OPEX avec un compteur de haricots ...)
Evan Anderson
1
Amazon a un VDI hébergé en version bêta. D'autres entreprises le font, mais beaucoup d'entre elles ne vous permettent pas d'installer de logiciel. Si vous utilisez Google "exécutez Windows sur ipad", vous les retrouverez probablement tous, car cela semble être le cas d'utilisation habituel. (Exemple typique: nytimes.com/2012/02/23/technology/personaltech/… )
Katherine Villyard

Réponses:

89

J'ai géré un grand nombre de postes de travail sans AD. J'avais des outils électriques (Altiris Deployment Solution), mais ça faisait toujours mal dans certaines situations:

  1. Un auditeur de sécurité intervient et dit que notre stratégie de mot de passe de poste de travail par défaut n'est pas assez bonne. Afin de modifier la complexité et l'expiration des mots de passe, etc., sur 5 000 machines, nous avons dû écrire un script (non trivial) et planifier son exécution sur toutes les machines. (Au fait, bonne chance pour attraper les ordinateurs portables!)
  2. Imprimantes du département de cartographie. Bien sûr, nous pourrions utiliser le numéro IP. Cela signifie que si les départements A et B entrent en guerre avec les imprimantes, la solution consiste à installer l'imprimante, puis à la ramener à son poste de travail pour la retirer de son poste de travail. (Je suppose que vous pourriez acheter un logiciel de gestion d’impression à la place.) En outre, comment cette imprimante at-elle été installée sur son poste de travail si elle n’était pas censée l’utiliser, et comment l’empêcheriez-vous d’y retourner?
  3. Il existe des clés de registre pour WSUS, vous n'avez donc techniquement pas besoin d'AD pour la gestion des correctifs. Toutefois, si vous incluez ces clés de registre dans l'image, vous devez vous assurer de supprimer deux clés (SusClientID et PingID), sinon elles ne seront jamais mises à jour. Ou, pour être plus précis et précis, un seul d'entre eux recevra des mises à jour.
  4. Le logiciel installe. Vous pouvez le faire avec des outils électriques (LANdesk, Altiris, etc.), mais c'est de l'argent supplémentaire.
  5. Pilotes d'imprimante "Poison". J'ai vu quelques-uns d'entre eux. Le meilleur remède était une file d’impression avec un pilote mis à jour.
  6. L'impression Windows 7 aurait des crises épiques à moins que nous ne définissions des forêts autorisées / des hôtes autorisés en point et des restrictions d'impression. Ce ne serait peut-être pas grave si toutes les imprimantes étaient uniquement IP, tant que User1 ne voulait jamais utiliser l'imprimante locale de User2. Sans AD, nos techniciens devaient utiliser gpedit sur le poste de travail ou sur l'image principale.
  7. Vous supposez Exchange Cloud, mais je vais aussi ajouter que les migrations de courrier électronique et autres changements d'infrastructure importants sans AD sont pénibles pour le client. J'ai écrit le script "supprimer les logiciels de l'ancienne migration ayant échoué / ajouter un poste de travail à AD / migrer le profil de l'utilisateur de local à domaine / rétrograder un utilisateur d'administrateur à un utilisateur expérimenté / modifier le pare-feu" et les exécuter à travers Altiris. (Les consultants de Microsoft ont suggéré d’embaucher des intérimaires avec des clés USB jusqu’à ce que je leur montre mon kung-fu.)

En outre, certains éditeurs de logiciels vous regardent comme si vous aviez trois têtes lorsque vous leur dites que vous avez des groupes de travail plutôt que des domaines. Altiris fonctionne dans des groupes de travail, mais vos techniciens de bureau ne sont jamais autorisés à modifier leurs mots de passe, par exemple. (OK, d'accord. Ils peuvent changer leur mot de passe. Mais ils doivent également passer à côté de votre cube et taper leur nouveau mot de passe sur le serveur, ou vous dire quel est leur nouveau mot de passe.)

Je veux en venir au principe suivant: vous pouvez gérer de nombreux postes de travail sans AD, mais vous devrez peut-être acheter un logiciel de remplacement. Même avec un logiciel agréable, vous rencontrerez des difficultés.

Katherine Villyard
la source
15
J'aurais aimé pouvoir inverser cette réponse deux fois. Il est gratifiant de lire une description expérimentée de cette tranchée particulière et rare.
ErikE
3
Par curiosité, quelles étaient les raisons commerciales derrière un environnement de cette taille sans AD?
2
Mon prédécesseur et moi-même avons demandé AD à plusieurs reprises. On nous disait généralement que nous étions si gros que ce serait trop difficile à faire cette année et peut-être que nous pourrons le faire l’année prochaine. De plus, vous avez Altiris. Un an, notre ancien serveur de messagerie en train de mourir nous a battu (la migration a échoué). L'année suivante, un vice-président a décidé que nous avions besoin d'Exchange et nous devions avoir AD pour faire Exchange. Numfar, fais la danse de la joie!
Katherine Villyard
6
+1 - J'ai un petit client qui n'a pas d'AD et il est insupportable de travailler avec eux. Mon point de vue sur AD est similaire à mon point de vue sur DHCP - vous en avez besoin lorsque vous avez plus de zéro ordinateur client.
Evan Anderson
4
Je dois admirer votre courage face à un environnement aussi horrible sans AD. Je pense que j'aurais démissionné ou déployé un domaine Samba si le pire avait empiré. (J'apprécie également votre contribution au scripting dans ce dernier élément. Je suis malade de «administrateurs système» qui ne peuvent pas automatiser leurs opérations de base. C'est triste lorsque les consultants fixent leurs attentes à un niveau aussi bas.)
Evan Anderson
13

AD et GPO continueront à gérer les postes de travail. Sans cela, vous payez pour une application tierce ou faites vraiment confiance à vos utilisateurs.

Si vous faites quelque chose de strictement BYOD, ou si vous ne distribuez que des machines virtuelles sans état, cela ne s'applique pas autant.

Mfinni
la source
8

Le Cloud n'est qu'un autre fournisseur d'accès

Bien que passionnant, tout nuage n’est qu’un autre fournisseur d’impartition - une entreprise qui tente d’offrir une flexibilité à votre infrastructure et à vos opérations, souvent à un coût réduit, et (espérons-le) une meilleure fiabilité. Bien entendu, le Cloud vise à simplifier les objectifs de service recherchés, tels que l’évolutivité, la fiabilité et les performances, mais c’est toujours une option d’hébergement.

Vous avez besoin d'une plate-forme de gestion des identités et des accès, et Active Directory répond déjà aux besoins sur place ou chez votre fournisseur d'hébergement?

Changer l'emplacement physique de vos services réseau ne change pas vos exigences.

Active Directory est hautement extensible, même avec un grand nombre de systèmes ne dépendant pas directement d'AD DS, vous pouvez toujours l'utiliser pour gérer des composants d'infrastructure "autonomes", hébergés dans le Cloud ou ailleurs.

Si vous continuez à utiliser la plate-forme Windows et le middleware Microsoft, le niveau même de prise en charge de l'authentification Active Directory dans le nuage exige des services de domaine Active Directory, voire davantage que sur site.

Cloud tout le chemin

Vous souhaitez toujours tout transférer dans le nuage? Fais le! Virtualisez vos contrôleurs de domaine , ce n'est pas un spectacle. C'est juste une autre solution d'impartition :-)

Je pense que la vraie question est de savoir si vous pouvez déplacer votre "boutique Windows" centrée sur MS vers le Cloud sans AD DS.

Mathias R. Jessen
la source
N’est-ce pas fondamentalement une façon moins précise d’itérer la question initiale? J'ai lu la réponse plusieurs fois parce que je souhaite voir votre point, mais je ne peux pas. Est-il possible de clarifier? (et la partie «les exigences ne changent pas» ne manque-t-elle pas toute la débâcle en matière d'approvisionnement? Les exigences tant fonctionnelles que non fonctionnelles font l'objet d'un examen approfondi et sont fréquemment modifiées dans un projet d'approvisionnement).
ErikE
Votre dernière déclaration est exactement ce que je veux dire, désolé pour la formulation vague. L’aspect Cloud n’est pas différent de tout autre projet d’approvisionnement en ce sens que vos besoins commerciaux ne sont pas transformés de manière significative si vous choisissez le cloud par rapport à une autre solution de logement / d’hébergement / de virtualisation. Cela étant dit, vous avez raison, ma réponse est lâche, elle est dépourvue de tout conseil utile en ce qui concerne le sourçage
Mathias R. Jessen
Mon impression est que la notion de non-modification des exigences commerciales est un argument de vente typique des vendeurs de cloud. Les points d'achat ne sont pas nécessairement conformes à cette notion.Exemple01: le stockage et le traitement des données peuvent nécessiter une évaluation réglementaire pour savoir où (quel pays) cela peut être fait. Exemple02: l’affaire Snowden révèle que le cloud est une menace active en matière de confidentialité et d’intégrité. La Suède fait preuve d' une mise en garde a basé sur les années d'espionnage État étranger nuage industriel avant: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
Erike
... il y a une coïncidence: l'article de journal suédois vient de faire l'objet d'un suivi mineur, même s'il est comparativement insuffisant en informations: theguardian.com/world/2014/jan/26/… Mon point est simplement que l'évaluation des exigences commerciales les critères tendent à se développer lorsque les fournisseurs externes de logements / hébergement / cloud sont des alternatives à l’étude. Naturellement, les exigences commerciales explicites voient plus ou moins de changements à cause de cela, parfois de manière significative.
ErikE
1
+1 pour cette ligne: "La modification de l'emplacement physique de vos services réseau ne modifie pas vos exigences."
Thomas
8

Le point central de ce problème dépend de ce que vous voyez, AD fait pour vous. S'il est uniquement utilisé comme magasin central pour les informations d'identification SSO utilisées uniquement pour s'authentifier auprès d'applications cloud, il peut bien entendu être remplacé par un autre magasin central.

Mais AD peut faire beaucoup plus que cela:

  • Déploiement logiciel.

  • Déploiement du système d'exploitation.

  • Gestion des imprimantes.

  • Gestion des profils utilisateur (par exemple, en utilisant des profils itinérants ou UE-V pour permettre aux utilisateurs de se connecter n’importe où et de conserver leurs données locales et leurs personnalisations). Je pense que cela reste important même lorsque tous vos services sont dans le cloud, car les données peuvent toujours être locales et les ordinateurs clients encore en panne ou remplacés.

  • Évolutivité: je préférerais gérer l'approvisionnement et la gestion continue de mes milliers de comptes d'utilisateurs via ADUC et les scripts PowerShell «locaux», etc., plutôt que via Office 365.

  • Intégration avec des applications non standard - par exemple, nous avons un système de carte d'identité basé sur RFID qui s'intègre à AD et je n'aurais vraiment pas envie d'essayer de le faire parler à des ADFS basés sur Azure.

Bien sûr, toutes ces choses ne seront pas toujours pertinentes. L’inverse de mon commentaire sur l’évolutivité est qu’une petite entreprise comptant seulement quelques utilisateurs pourrait tout simplement acheter Office 365 ou Google Apps, ainsi que tout ordinateur portable en vente cette semaine à le supermarché le plus proche, pour chaque nouvel employé s’ils décident que cela leur est moins pénible.

Rob Moir
la source
Quel supermarché vend des ordinateurs portables?
Kittykittybangbang
Aldi les a, Tesco, Asda / Walmart ...
Rob Moir
Hmm, toujours confus. Doit être une chose de l'Europe ..?
kittykittybangbang
5

Pouvez-vous? Oui. Voudrais-tu? Je ne pense pas. Toutes les solutions hébergées que vous avez mentionnées prennent en charge la fédération AD, et puisque vous souhaitez que la connexion unique (SSO) soit le seul moyen universel de réaliser cela, il s'agira de AD.

Et des produits comme LastPass sont un coffre-fort de mots de passe, pas une connexion unique.

long cou
la source
Même s’il est vrai que LastPass n’est pas un SSO, il n’est pas pertinent pour l’utilisateur final. Tout ce qu'ils savent, c'est qu'ils ne doivent pas se souvenir de plusieurs mots de passe. OneLogin est le meilleur exemple ici. Prenez l’autre côté du débat pendant une seconde (je suis de votre côté, je ne fais que débattre) ... peut-être que vous ne voulez pas parler des licences / frais généraux / etc. d'avoir AD environ une fois que vous êtes allé à 100% en nuage. Peut-être qu'une option SSO tierce est une alternative viable à AD?
TheCleaner
S'il ne s'agit que du coût des licences, OpenLDAP satisferait vos besoins, mais les coûts de maintenance / temps dépasseraient probablement les coûts de licence.
James Snell
2

Outre quelques très bonnes réponses, j'aimerais inverser la question: à quoi sert-il de ne pas avoir Active Directory si vous utilisez une boutique Microsoft? Vous pouvez utiliser et gérer des produits Microsoft sans AD, mais ils sont simplement conçus pour fonctionner avec, et l'intégration AD native sera toujours meilleure que toute solution de contournement que vous pouvez ajouter.

Moins de complexité? Ne pas avoir AD ajoute en réalité plus de complexité à votre environnement, car vous devez trouver des alternatives appropriées à tout ce que AD aurait fait par défaut; avoir AD ajoute ... quoi? Deux contrôleurs de domaine (qui peuvent très bien être des machines virtuelles, donc ne nécessitant même pas de matériel supplémentaire)? Tout administrateur Windows junior peut gérer un petit AD et tout administrateur senior peut en gérer un grand. Si vous maîtrisez suffisamment les produits Microsoft pour être en mesure de trouver et de mettre en œuvre des solutions de contournement du fait que vous n'avez pas d'AD, vous êtes certainement assez compétent pour utiliser réellement .

Frais? Quels coûts? Vous avez déjà indiqué que vous utilisiez le cloud complet. Par conséquent, deux ordinateurs virtuels Azure supplémentaires ne pourront même pas réduire votre budget. pas même quelques licences Windows Server pour les DC physiques, étant donné ce que vous dépensez déjà en services en ligne (sans parler des licences clientes Windows et Office, dont vous avez toujours besoin pour tous vos utilisateurs).

TL; DR: Globalement, je ne vois vraiment aucun intérêt à ne pas avoir d'AD, étant donné combien il est trivial de le mettre en œuvre (même à grande échelle) et combien vous en gagnez.

Massimo
la source
Je suis d'accord avec cela et il est similaire à certaines des autres réponses et à leurs points clés / plats à emporter. Je pense que nous sommes tous d’accord sur le fait que la plupart des offres peuvent tirer parti de la DA beaucoup plus facilement que de vivre de force sans elle. En outre (pour aller avec mon OP), maintenant qu'Azure offre ADaaS avec une intégration étroite à O365, si vous deviez emprunter la voie Azure / O365 uniquement pour un petit magasin mettant tout dans le "nuage", il serait plus avantageux une douleur à ne pas utiliser AD.
TheCleaner
-2

Vous n'avez pas "besoin" d'ANNONCE mais cela vous facilitera la vie. En fonction de votre taille, assurez-vous de disposer de 2 serveurs, 1 principale, 1 sauvegarde. Sinon, si vous perdez votre serveur AD (et seulement 1), vous devrez reconstruire un domaine, à moins que vos sauvegardes ne soient SOLID.

tkrabec
la source
4
Désolé, mais je pense que vous avez complètement manqué le but de la question.
Rob Moir