Si una tienda de Windows mueve "todo" a la nube, ¿todavía necesita Active Directory?

Dando un giro a esta pregunta: ¿realmente necesito MS Active Directory? en una nueva dirección para 2014.

Teniendo en cuenta una infraestructura básica de Windows:

• controladores de dominio
• Exchange 2007/2010/2013
• Sharepoint
• SQL
• Servidores de archivos / Servidores de impresión
• DNS integrado de AD
• Dispositivos de terceros autenticados por AD (digamos 802.1X para redes y tal vez algunos filtros de contenido, etc.)
• Funciones "administrativas" autenticadas por AD / LDAP en aplicaciones de TI / hardware / etc.
• tal vez algunas cosas de KMS
• agregue un CA si desea
• aplicaciones de cosecha propia
• Aplicaciones internas de terceros

Ahora, eliminemos todo y decidamos que vamos a la nube. Contratamos mover Exchange / Sharepoint / File Services a Office 365. SQL ahora también estará alojado en algo como Azure. Nos hemos alejado de la necesidad de AD-DNS y simplemente ejecutamos todo a través de un simple servidor DNS de Windows. Todavía necesitamos 802.1X y nos gustaría SSO si es posible para nuestras diversas aplicaciones en la nube. Es probable que las aplicaciones internas y de terceros crezcan, pero tienen la capacidad de usar bases de datos de usuario internas en lugar de autenticación AD

La pregunta es ... ¿realmente necesitamos Active Directory?

O, más concretamente, AD local o incluso alojado a través de Azure o similar (ADFS) o ejecutando ADDS en una VM alojada a través de Azure o similar. ¿Podría / deberíamos buscar algo más como una opción de SSO de terceros como http://www.onelogin.com/partners/app-partners/office-365/ o similar que puede proporcionar la funcionalidad de SSO incluso si es tan simple como LastPass o similar para cada usuario?

¿Qué tipo de necesidades legítimas cumple AD si todo lo demás en la nube?

¿Podría una infraestructura centrada en MS escapar sin tener AD en absoluto si mueven todo lo que anteriormente dependía de AD a las ofertas de SaaS que no dependían de la autenticación de AD?

He administrado una gran cantidad de estaciones de trabajo sin AD. Tenía herramientas eléctricas (Altiris Deployment Solution), pero aún me duele en ciertas situaciones:

1. El auditor de seguridad entra y dice que nuestra política de contraseña de estación de trabajo predeterminada no es lo suficientemente buena. Para cambiar la complejidad y la caducidad de la contraseña, etc., en 5,000 máquinas, tuvimos que escribir un script (no trivial) y programarlo para que se ejecute en todas las máquinas. (¡Buena suerte atrapando las computadoras portátiles, por cierto!)
2. Cartografía del departamento de impresoras. Claro, podríamos usar el número de IP. Eso significa que si el Departamento A y el Departamento B entran en una guerra de impresoras, el remedio consiste en vigilar la impresora y luego seguir al delincuente de regreso a su estación de trabajo para quitar la impresora de su estación de trabajo. (Supongo que podría comprar un software de administración de impresión en su lugar). Además, ¿cómo terminó esa impresora en su estación de trabajo en primer lugar si no se supone que la usen, y cómo evitará que vuelva a terminar allí?
3. Hay claves de registro para WSUS, por lo que técnicamente no necesita AD para la administración de parches. Sin embargo, si incluye esas claves de registro en la imagen, debe asegurarse y eliminar un par de claves (SusClientID y PingID) o de lo contrario nunca recibirán actualizaciones. O, para ser más específicos y precisos, solo uno de ellos recibirá actualizaciones.
4. Instalaciones de software. Puede hacer esto con herramientas eléctricas (LANdesk, Altiris, etc.), pero eso es dinero extra.
5. Controladores de impresora "venenosos". He visto un par de estos. El mejor remedio fue una cola de impresión con un controlador actualizado.
6. La impresión de Windows 7 tendría berrinches épicos a menos que establezcamos bosques permitidos / hosts permitidos en restricciones de punto e impresión. Quizás esto no sería un gran problema si todas las impresoras fueran solo IP, siempre que el Usuario1 nunca quiera usar la impresora local del Usuario2. Sin AD, nuestros técnicos tuvieron que usar gpedit en la estación de trabajo o en la imagen maestra.
7. Está asumiendo el intercambio en la nube, pero también voy a agregar que las migraciones de correo electrónico y otros grandes cambios de infraestructura sin AD son dolorosos para el cliente. Escribí el script "eliminar software de la migración fallida antigua / agregar estación de trabajo a AD / migrar el perfil del usuario de local a dominio / degradar usuario de administrador a usuario avanzado / realizar cambios en el firewall" y los ejecuté a través de Altiris. (Los consultores de Microsoft sugirieron que contratáramos temporeros con unidades de memoria USB hasta que les mostrara mi kung-fu).

Además, hay proveedores de software que lo miran como si tuviera tres cabezas cuando les dice que tiene grupos de trabajo en lugar de dominios. Altiris se ejecuta en grupos de trabajo, pero sus técnicos de escritorio nunca pueden cambiar sus contraseñas, por ejemplo. (Está bien, está bien. Pueden cambiar su contraseña. Pero también tienen que pasar por su cubo y escribir su nueva contraseña en el servidor, o decirle cuál es su nueva contraseña).

Lo que quiero decir es: puede administrar muchas estaciones de trabajo sin AD, pero es posible que deba comprar un software de reemplazo, e incluso con un buen software se encontrará con cosas dolorosas.

AD y GPO aún manejarán la administración de estaciones de trabajo. Sin ella, estás pagando por una aplicación de terceros o realmente realmente confías en tus usuarios.

Si está haciendo algo como estrictamente BYOD, o distribuyendo solo máquinas virtuales sin estado para trabajar, entonces esto no se aplica tanto.

The Cloud es solo otro ISP

Si bien es emocionante, cualquier Cloud es solo otro proveedor de outsourcing: una compañía que intenta ofrecer flexibilidad para su infraestructura y operaciones, a menudo a un costo reducido y (con suerte) una mejor confiabilidad. Claro, la nube está dirigida a simplificar los objetivos de servicio comunes que se buscan, como la escalabilidad, la confiabilidad y el rendimiento, pero sigue siendo solo una opción de alojamiento

¿Necesita una plataforma de gestión de identidad y acceso, y Active Directory se ajusta a esa necesidad en las instalaciones o en su proveedor de alojamiento?

Cambiar la ubicación física de sus servicios de red no cambia sus requisitos.

Active Directory es altamente extensible, incluso con una gran cantidad de sistemas que no dependen directamente de AD DS, aún puede utilizarlo para administrar componentes de infraestructura "independientes", alojados en la nube o en cualquier otro lugar.

Si continúa utilizando la plataforma de Windows y el middleware de Microsoft, el nivel absoluto de soporte para la autenticación de Active Directory en la nube exige servicios de dominio de Active Directory, incluso más que en las instalaciones.

Nube todo el camino

¿Todavía tiene muchas ganas de mover todo a la nube? ¡Hazlo! Virtualice sus Controladores de dominio , no es un show stopper. Es solo otra solución de outsourcing :-)

Creo que la verdadera pregunta es si puede mover su "tienda de Windows" centrada en MS a la nube sin AD DS

El punto central de este problema depende de lo que vea que AD hace por usted. Si solo se usa como la tienda central para las credenciales de SSO que solo se usan para autenticar aplicaciones en la nube, entonces, por supuesto, se puede reemplazar con otra tienda central.

Pero AD puede hacer mucho más que eso:

• Despliegue de software.

• Implementación del sistema operativo.

• Gestión de impresoras.

• Gestión de perfiles de usuario (por ejemplo, utilizando perfiles móviles o UE-V para permitir a los usuarios iniciar sesión en cualquier lugar y mantener sus datos y personalizaciones locales). Creo que esto todavía es importante incluso cuando todos sus servicios están en la nube, porque los datos pueden ser locales y las máquinas del cliente aún se descomponen o se reemplazan.

• Escalabilidad: prefiero administrar el aprovisionamiento y la administración continua de mis miles de cuentas de usuario a través de ADUC y scripting 'local' de PowerShell, etc., que solo a través de Office 365.

• Integración con aplicaciones no estándar: por ejemplo, tenemos un sistema de tarjeta de identificación basado en RFID que se integra con AD y realmente no me gustaría intentar que hable con ADFS basado en Azure.

Por supuesto, no todas estas cosas serán relevantes cada vez; lo contrario de mi comentario sobre la escalabilidad es que una pequeña empresa con solo unos pocos usuarios podría comprar Office 365 o Google Apps, además de cualquier computadora portátil que esté a la venta esta semana en el supermercado más cercano, por cada nuevo empleado si deciden que esto es menos doloroso para ellos.

¿Podrías? Si. Te gustaria No lo creo. Todas las soluciones alojadas que mencionó son compatibles con AD Federation, y dado que desea SSO en todas partes, la única forma universal de lograrlo será AD.

Y productos como LastPass son una bóveda de contraseñas, no SSO.

Además de algunas respuestas realmente buenas, me gustaría revertir la pregunta: ¿cuál es el punto de no tener Active Directory si está ejecutando una tienda de Microsoft? Usted puede moverse a la utilización y administración de los productos Microsoft sin AD, pero que sólo están diseñados para trabajar con ella, y la integración de AD nativa siempre será mejor que cualquier Solución Puede tirar.

Menos complejidad? No tener AD en realidad agrega más complejidad a su entorno, porque tiene que encontrar alternativas adecuadas para todo lo que AD habría hecho de forma inmediata; tener AD agrega ... ¿qué? ¿Un par de controladores de dominio (que muy bien pueden ser máquinas virtuales, por lo que ni siquiera requieren hardware adicional)? Cualquier administrador junior de Windows puede administrar un AD pequeño, y todos los senior pueden administrar uno grande. Si es lo suficientemente competente en los productos de Microsoft para poder encontrar e implementar soluciones alternativas para no tener AD, definitivamente es lo suficientemente hábil como para usarlo .

Costos? Que cuesta Ya ha dicho que se va a la nube completa, por lo que un par de máquinas virtuales de Azure adicionales ni siquiera podrán hacer una pequeña mella en su presupuesto; ni siquiera un par de licencias de Windows Server para DC físicas, dado lo que ya está gastando en servicios en línea (sin mencionar las licencias cliente de Windows y Office, que aún necesita para todos sus usuarios).

TL; DR: en general, realmente no veo ningún punto en no tener AD, dado lo trivial que es implementarlo (incluso a gran escala) y cuánto gana al tenerlo.

No "necesita" AD, pero le facilitará la vida. Dependiendo de su tamaño, asegúrese de tener 2 servidores, 1 primario, 1 copia de seguridad, de lo contrario, si pierde su servidor AD (y solo tiene 1), deberá reconstruir un dominio, a menos que sus copias de seguridad sean SÓLIDAS.