Si una tienda de Windows mueve "todo" a la nube, ¿todavía necesita Active Directory?

49

Dando un giro a esta pregunta: ¿realmente necesito MS Active Directory? en una nueva dirección para 2014.

Teniendo en cuenta una infraestructura básica de Windows:

  • controladores de dominio
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Servidores de archivos / Servidores de impresión
  • DNS integrado de AD
  • Dispositivos de terceros autenticados por AD (digamos 802.1X para redes y tal vez algunos filtros de contenido, etc.)
  • Funciones "administrativas" autenticadas por AD / LDAP en aplicaciones de TI / hardware / etc.
  • tal vez algunas cosas de KMS
  • agregue un CA si desea
  • aplicaciones de cosecha propia
  • Aplicaciones internas de terceros

Ahora, eliminemos todo y decidamos que vamos a la nube. Contratamos mover Exchange / Sharepoint / File Services a Office 365. SQL ahora también estará alojado en algo como Azure. Nos hemos alejado de la necesidad de AD-DNS y simplemente ejecutamos todo a través de un simple servidor DNS de Windows. Todavía necesitamos 802.1X y nos gustaría SSO si es posible para nuestras diversas aplicaciones en la nube. Es probable que las aplicaciones internas y de terceros crezcan, pero tienen la capacidad de usar bases de datos de usuario internas en lugar de autenticación AD

La pregunta es ... ¿realmente necesitamos Active Directory?

O, más concretamente, AD local o incluso alojado a través de Azure o similar (ADFS) o ejecutando ADDS en una VM alojada a través de Azure o similar. ¿Podría / deberíamos buscar algo más como una opción de SSO de terceros como http://www.onelogin.com/partners/app-partners/office-365/ o similar que puede proporcionar la funcionalidad de SSO incluso si es tan simple como LastPass o similar para cada usuario?

¿Qué tipo de necesidades legítimas cumple AD si todo lo demás en la nube?

¿Podría una infraestructura centrada en MS escapar sin tener AD en absoluto si mueven todo lo que anteriormente dependía de AD a las ofertas de SaaS que no dependían de la autenticación de AD?

active-directory cloud adfs microsoft-office-365 saas El limpiador
fuente
77
Las estaciones de trabajo de sus usuarios no van a "la nube" ... y si lo hacen, ¡me gustaría saber cómo lo hacen!
Michael Hampton
¿Amazon no tiene un producto VDI alojado? (A mí me parece una locura, pero luego entraré en una batalla CAPEX versus OPEX con un contador de frijoles ...)
Evan Anderson el
1
Amazon tiene un VDI alojado en beta. Hay otras compañías que lo hacen, pero muchas de ellas no le permiten instalar software. Si google "ejecuta Windows en ipad", probablemente los encontrará a todos, ya que ese parece ser el caso de uso habitual. (Ejemplo típico: nytimes.com/2012/02/23/technology/personaltech/… )
Katherine Villyard

Respuestas:

89

He administrado una gran cantidad de estaciones de trabajo sin AD. Tenía herramientas eléctricas (Altiris Deployment Solution), pero aún me duele en ciertas situaciones:

  1. El auditor de seguridad entra y dice que nuestra política de contraseña de estación de trabajo predeterminada no es lo suficientemente buena. Para cambiar la complejidad y la caducidad de la contraseña, etc., en 5,000 máquinas, tuvimos que escribir un script (no trivial) y programarlo para que se ejecute en todas las máquinas. (¡Buena suerte atrapando las computadoras portátiles, por cierto!)
  2. Cartografía del departamento de impresoras. Claro, podríamos usar el número de IP. Eso significa que si el Departamento A y el Departamento B entran en una guerra de impresoras, el remedio consiste en vigilar la impresora y luego seguir al delincuente de regreso a su estación de trabajo para quitar la impresora de su estación de trabajo. (Supongo que podría comprar un software de administración de impresión en su lugar). Además, ¿cómo terminó esa impresora en su estación de trabajo en primer lugar si no se supone que la usen, y cómo evitará que vuelva a terminar allí?
  3. Hay claves de registro para WSUS, por lo que técnicamente no necesita AD para la administración de parches. Sin embargo, si incluye esas claves de registro en la imagen, debe asegurarse y eliminar un par de claves (SusClientID y PingID) o de lo contrario nunca recibirán actualizaciones. O, para ser más específicos y precisos, solo uno de ellos recibirá actualizaciones.
  4. Instalaciones de software. Puede hacer esto con herramientas eléctricas (LANdesk, Altiris, etc.), pero eso es dinero extra.
  5. Controladores de impresora "venenosos". He visto un par de estos. El mejor remedio fue una cola de impresión con un controlador actualizado.
  6. La impresión de Windows 7 tendría berrinches épicos a menos que establezcamos bosques permitidos / hosts permitidos en restricciones de punto e impresión. Quizás esto no sería un gran problema si todas las impresoras fueran solo IP, siempre que el Usuario1 nunca quiera usar la impresora local del Usuario2. Sin AD, nuestros técnicos tuvieron que usar gpedit en la estación de trabajo o en la imagen maestra.
  7. Está asumiendo el intercambio en la nube, pero también voy a agregar que las migraciones de correo electrónico y otros grandes cambios de infraestructura sin AD son dolorosos para el cliente. Escribí el script "eliminar software de la migración fallida antigua / agregar estación de trabajo a AD / migrar el perfil del usuario de local a dominio / degradar usuario de administrador a usuario avanzado / realizar cambios en el firewall" y los ejecuté a través de Altiris. (Los consultores de Microsoft sugirieron que contratáramos temporeros con unidades de memoria USB hasta que les mostrara mi kung-fu).

Además, hay proveedores de software que lo miran como si tuviera tres cabezas cuando les dice que tiene grupos de trabajo en lugar de dominios. Altiris se ejecuta en grupos de trabajo, pero sus técnicos de escritorio nunca pueden cambiar sus contraseñas, por ejemplo. (Está bien, está bien. Pueden cambiar su contraseña. Pero también tienen que pasar por su cubo y escribir su nueva contraseña en el servidor, o decirle cuál es su nueva contraseña).

Lo que quiero decir es: puede administrar muchas estaciones de trabajo sin AD, pero es posible que deba comprar un software de reemplazo, e incluso con un buen software se encontrará con cosas dolorosas.

Katherine Villyard
fuente
15
Desearía poder votar esta respuesta dos veces. Es gratificante leer una descripción experimentada de esta trinchera particular y rara.
ErikE
3
Por curiosidad, ¿cuáles fueron las razones comerciales detrás de un entorno de ese tamaño sin AD?
2
Mi predecesor y yo pedimos AD repetidamente. Por lo general, nos dijeron que éramos tan grandes que sería demasiado difícil hacerlo este año y tal vez podamos hacerlo el próximo año, y además, tienes Altiris. Un año, nuestro antiguo y moribundo servidor de correo nos superó (la migración fallida). Al año siguiente, un vicepresidente decidió que necesitábamos Exchange, y teníamos que tener AD para hacer Exchange. Numfar, haz el baile de la alegría!
Katherine Villyard
66
+1 - Tengo un pequeño cliente que no tiene AD y es insoportable trabajar con ellos. Mi opinión sobre AD es similar a mi opinión sobre DHCP: la necesita cuando tiene más de cero computadoras cliente.
Evan Anderson
44
Tengo que admirar tu fortaleza al lidiar con un ambiente tan horrible sin AD. Creo que habría renunciado o habría implementado un dominio Samba si las cosas empeoraran. (También me gusta su parte sobre el guión fu en el último fragmento. Estoy harto de los "administradores de sistemas" que no pueden automatizar las operaciones básicas. Es un triste estado de cosas cuando los consultores establecen sus expectativas tan bajas también).
Evan Anderson
13

AD y GPO aún manejarán la administración de estaciones de trabajo. Sin ella, estás pagando por una aplicación de terceros o realmente realmente confías en tus usuarios.

Si está haciendo algo como estrictamente BYOD, o distribuyendo solo máquinas virtuales sin estado para trabajar, entonces esto no se aplica tanto.

mfinni
fuente
8

The Cloud es solo otro ISP

Si bien es emocionante, cualquier Cloud es solo otro proveedor de outsourcing: una compañía que intenta ofrecer flexibilidad para su infraestructura y operaciones, a menudo a un costo reducido y (con suerte) una mejor confiabilidad. Claro, la nube está dirigida a simplificar los objetivos de servicio comunes que se buscan, como la escalabilidad, la confiabilidad y el rendimiento, pero sigue siendo solo una opción de alojamiento

¿Necesita una plataforma de gestión de identidad y acceso, y Active Directory se ajusta a esa necesidad en las instalaciones o en su proveedor de alojamiento?

Cambiar la ubicación física de sus servicios de red no cambia sus requisitos.

Active Directory es altamente extensible, incluso con una gran cantidad de sistemas que no dependen directamente de AD DS, aún puede utilizarlo para administrar componentes de infraestructura "independientes", alojados en la nube o en cualquier otro lugar.

Si continúa utilizando la plataforma de Windows y el middleware de Microsoft, el nivel absoluto de soporte para la autenticación de Active Directory en la nube exige servicios de dominio de Active Directory, incluso más que en las instalaciones.

Nube todo el camino

¿Todavía tiene muchas ganas de mover todo a la nube? ¡Hazlo! Virtualice sus Controladores de dominio , no es un show stopper. Es solo otra solución de outsourcing :-)

Creo que la verdadera pregunta es si puede mover su "tienda de Windows" centrada en MS a la nube sin AD DS

Mathias R. Jessen
fuente
¿No es esencialmente una forma menos precisa de iterar la pregunta original? He leído la respuesta varias veces porque deseo ver tu punto, pero no puedo. ¿Es posible aclarar? (¿y la parte de 'los requisitos no cambian' no se pierde toda la debacle del abastecimiento? Tanto los requisitos funcionales como los no funcionales se someten a un escrutinio riguroso y con frecuencia ven cambios en un proyecto de abastecimiento).
ErikE
Su última declaración es exactamente mi punto, perdón por la frase vaga. El aspecto de la nube no es diferente de cualquier otro proyecto de abastecimiento en que los requisitos de su negocio no se transforman significativamente si elige la nube en lugar de cualquier otra solución de alojamiento / hosting / virtualización. Dicho esto, tienes razón, mi respuesta no tiene ningún consejo cobarde y significativo en relación con el abastecimiento
Mathias R. Jessen
Mi impresión es que la noción de que los requisitos comerciales no cambian significativamente es un punto de venta típico de los proveedores de la nube. Los puntos de compra no necesariamente se ajustan a esa noción. Ejemplo01: el almacenamiento y procesamiento de datos puede necesitar una evaluación regulatoria en cuanto a dónde (qué país) se puede hacer. Ejemplo02: el asunto de Snowden revela la nube como una amenaza activa con respecto a la confidencialidad y la integridad. En realidad, Suecia recibió una advertencia basada en la evidencia sobre el espionaje de nubes industriales en el extranjero en años anteriores: svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE
... hay una coincidencia: el artículo del periódico sueco acaba de recibir un seguimiento menor, incluso si es relativamente escaso en información: theguardian.com/world/2014/jan/26/… Mi punto es simplemente que la evaluación de los requisitos comerciales los criterios tienden a crecer cuando los proveedores externos de alojamiento / alojamiento / nube son alternativas bajo consideración. Naturalmente, los requisitos comerciales explícitos ven más o menos cambios debido a esto, en algunos casos significativamente.
ErikE
1
+1 para esta línea: "Cambiar la ubicación física de sus servicios de red no cambia sus requisitos".
Thomas
8

El punto central de este problema depende de lo que vea que AD hace por usted. Si solo se usa como la tienda central para las credenciales de SSO que solo se usan para autenticar aplicaciones en la nube, entonces, por supuesto, se puede reemplazar con otra tienda central.

Pero AD puede hacer mucho más que eso:

  • Despliegue de software.

  • Implementación del sistema operativo.

  • Gestión de impresoras.

  • Gestión de perfiles de usuario (por ejemplo, utilizando perfiles móviles o UE-V para permitir a los usuarios iniciar sesión en cualquier lugar y mantener sus datos y personalizaciones locales). Creo que esto todavía es importante incluso cuando todos sus servicios están en la nube, porque los datos pueden ser locales y las máquinas del cliente aún se descomponen o se reemplazan.

  • Escalabilidad: prefiero administrar el aprovisionamiento y la administración continua de mis miles de cuentas de usuario a través de ADUC y scripting 'local' de PowerShell, etc., que solo a través de Office 365.

  • Integración con aplicaciones no estándar: por ejemplo, tenemos un sistema de tarjeta de identificación basado en RFID que se integra con AD y realmente no me gustaría intentar que hable con ADFS basado en Azure.

Por supuesto, no todas estas cosas serán relevantes cada vez; lo contrario de mi comentario sobre la escalabilidad es que una pequeña empresa con solo unos pocos usuarios podría comprar Office 365 o Google Apps, además de cualquier computadora portátil que esté a la venta esta semana en el supermercado más cercano, por cada nuevo empleado si deciden que esto es menos doloroso para ellos.

Rob Moir
fuente
¿Qué supermercado vende computadoras portátiles?
kittykittybangbang
Aldi los tiene, Tesco, Asda / Walmart ...
Rob Moir
Hmm, aún confundido. Debe ser una cosa de Europa ...?
kittykittybangbang
5

¿Podrías? Si. Te gustaria No lo creo. Todas las soluciones alojadas que mencionó son compatibles con AD Federation, y dado que desea SSO en todas partes, la única forma universal de lograrlo será AD.

Y productos como LastPass son una bóveda de contraseñas, no SSO.

cuello largo
fuente
Si bien es cierto que LastPass no es SSO, para el usuario final es irrelevante. Todo lo que saben es que no tienen que recordar múltiples contraseñas. OneLogin es el mejor ejemplo aquí. Tomado el otro lado del debate por un segundo (estoy de tu lado, solo debatiendo) ... tal vez no quieras ocuparte de las licencias / gastos generales / etc. de tener AD alrededor una vez que te has vuelto 100% en la nube ¿Quizás una opción de SSO de terceros es una alternativa viable a AD?
TheCleaner
Si se trata únicamente del costo de la licencia, entonces OpenLDAP satisfaría sus necesidades, pero el costo de mantenimiento / tiempo probablemente superaría el costo de la licencia.
James Snell
2

Además de algunas respuestas realmente buenas, me gustaría revertir la pregunta: ¿cuál es el punto de no tener Active Directory si está ejecutando una tienda de Microsoft? Usted puede moverse a la utilización y administración de los productos Microsoft sin AD, pero que sólo están diseñados para trabajar con ella, y la integración de AD nativa siempre será mejor que cualquier Solución Puede tirar.

Menos complejidad? No tener AD en realidad agrega más complejidad a su entorno, porque tiene que encontrar alternativas adecuadas para todo lo que AD habría hecho de forma inmediata; tener AD agrega ... ¿qué? ¿Un par de controladores de dominio (que muy bien pueden ser máquinas virtuales, por lo que ni siquiera requieren hardware adicional)? Cualquier administrador junior de Windows puede administrar un AD pequeño, y todos los senior pueden administrar uno grande. Si es lo suficientemente competente en los productos de Microsoft para poder encontrar e implementar soluciones alternativas para no tener AD, definitivamente es lo suficientemente hábil como para usarlo .

Costos? Que cuesta Ya ha dicho que se va a la nube completa, por lo que un par de máquinas virtuales de Azure adicionales ni siquiera podrán hacer una pequeña mella en su presupuesto; ni siquiera un par de licencias de Windows Server para DC físicas, dado lo que ya está gastando en servicios en línea (sin mencionar las licencias cliente de Windows y Office, que aún necesita para todos sus usuarios).

TL; DR: en general, realmente no veo ningún punto en no tener AD, dado lo trivial que es implementarlo (incluso a gran escala) y cuánto gana al tenerlo.

Massimo
fuente
Estoy de acuerdo con esto y es similar a algunas de las otras respuestas y sus puntos clave / conclusiones. Creo que todos estamos de acuerdo en que la mayoría de las ofertas pueden aprovechar AD mucho más fácilmente que vivir a la fuerza sin él. Además (para ir con mi OP), ahora que Azure ofrece ADaaS con una estrecha integración con O365, si tuviera que ir por el único camino de Azure / O365 para una pequeña tienda que pone todo en la "nube", entonces sería más un dolor por NO usar AD.
TheCleaner
-2

No "necesita" AD, pero le facilitará la vida. Dependiendo de su tamaño, asegúrese de tener 2 servidores, 1 primario, 1 copia de seguridad, de lo contrario, si pierde su servidor AD (y solo tiene 1), deberá reconstruir un dominio, a menos que sus copias de seguridad sean SÓLIDAS.

tkrabec
fuente
44
Lo siento, pero creo que te has perdido completamente el punto de la pregunta.
Rob Moir