Si un magasin Windows transfère «tout» dans le nuage, a-t-il encore besoin d'Active Directory?

Pour répondre à cette question: Ai-je vraiment besoin de MS Active Directory? dans une nouvelle direction pour 2014.

Prise en compte d'une infrastructure Windows de base:

• contrôleurs de domaine
• Exchange 2007/2010/2013
• Sharepoint
• SQL
• Serveurs de fichiers / serveurs d'impression
• AD intégré DNS
• Périphériques tiers authentifiés par AD (par exemple, 802.1X pour la mise en réseau et éventuellement un filtrage du contenu, etc.)
• Fonctions "administratives" authentifiées par AD / LDAP sur des applications informatiques / matériel / etc.
• peut-être des trucs KMS
• jeter dans un CA si vous voulez
• applications développées à la maison
• Applications internes tierces

Maintenant, extrayons le tout et décidons que nous allons dans le nuage. Nous avons signé un contrat pour déplacer les services Exchange / Sharepoint / File vers Office 365. SQL sera désormais également hébergé sur quelque chose comme Azure. Nous nous sommes éloignés du besoin d'AD-DNS et nous avons simplement tout géré via un simple serveur DNS Windows. Nous avons toujours besoin de 802.1X et aimerions si possible utiliser l'authentification unique pour nos différentes applications cloud. Les applications internes développées à domicile et tierces resteraient probablement, mais auraient la possibilité d'utiliser des bases de données d'utilisateurs internes au lieu de l'authentification AD

La question est ... Avons-nous vraiment besoin d'Active Directory?

Ou plus précisément, AD sur site ou même hébergé via Azure ou similaire (ADFS) ou exécuter ADDS sur une machine virtuelle hébergée via Azure ou similaire. Pourrions-nous ou devrions-nous nous tourner vers quelque chose d'autre comme une option d'authentification unique tierce telle que http://www.onelogin.com/partners/app-partners/office-365/ ou similaire, pouvant fournir une fonctionnalité d'authentification unique même si elle est aussi simple LastPass ou similaire pour chaque utilisateur?

Quels types de besoins légitimes AD remplit-il si tout le reste dans le nuage?

Une infrastructure centrée sur les MS pourrait-elle s’en tirer avec l’absence totale d’AD, si elle transférait tout ce qui reposait auparavant sur AD vers des offres SaaS qui ne reposaient pas sur une authentification AD?

J'ai géré un grand nombre de postes de travail sans AD. J'avais des outils électriques (Altiris Deployment Solution), mais ça faisait toujours mal dans certaines situations:

1. Un auditeur de sécurité intervient et dit que notre stratégie de mot de passe de poste de travail par défaut n'est pas assez bonne. Afin de modifier la complexité et l'expiration des mots de passe, etc., sur 5 000 machines, nous avons dû écrire un script (non trivial) et planifier son exécution sur toutes les machines. (Au fait, bonne chance pour attraper les ordinateurs portables!)
2. Imprimantes du département de cartographie. Bien sûr, nous pourrions utiliser le numéro IP. Cela signifie que si les départements A et B entrent en guerre avec les imprimantes, la solution consiste à installer l'imprimante, puis à la ramener à son poste de travail pour la retirer de son poste de travail. (Je suppose que vous pourriez acheter un logiciel de gestion d’impression à la place.) En outre, comment cette imprimante at-elle été installée sur son poste de travail si elle n’était pas censée l’utiliser, et comment l’empêcheriez-vous d’y retourner?
3. Il existe des clés de registre pour WSUS, vous n'avez donc techniquement pas besoin d'AD pour la gestion des correctifs. Toutefois, si vous incluez ces clés de registre dans l'image, vous devez vous assurer de supprimer deux clés (SusClientID et PingID), sinon elles ne seront jamais mises à jour. Ou, pour être plus précis et précis, un seul d'entre eux recevra des mises à jour.
4. Le logiciel installe. Vous pouvez le faire avec des outils électriques (LANdesk, Altiris, etc.), mais c'est de l'argent supplémentaire.
5. Pilotes d'imprimante "Poison". J'ai vu quelques-uns d'entre eux. Le meilleur remède était une file d’impression avec un pilote mis à jour.
6. L'impression Windows 7 aurait des crises épiques à moins que nous ne définissions des forêts autorisées / des hôtes autorisés en point et des restrictions d'impression. Ce ne serait peut-être pas grave si toutes les imprimantes étaient uniquement IP, tant que User1 ne voulait jamais utiliser l'imprimante locale de User2. Sans AD, nos techniciens devaient utiliser gpedit sur le poste de travail ou sur l'image principale.
7. Vous supposez Exchange Cloud, mais je vais aussi ajouter que les migrations de courrier électronique et autres changements d'infrastructure importants sans AD sont pénibles pour le client. J'ai écrit le script "supprimer les logiciels de l'ancienne migration ayant échoué / ajouter un poste de travail à AD / migrer le profil de l'utilisateur de local à domaine / rétrograder un utilisateur d'administrateur à un utilisateur expérimenté / modifier le pare-feu" et les exécuter à travers Altiris. (Les consultants de Microsoft ont suggéré d’embaucher des intérimaires avec des clés USB jusqu’à ce que je leur montre mon kung-fu.)

En outre, certains éditeurs de logiciels vous regardent comme si vous aviez trois têtes lorsque vous leur dites que vous avez des groupes de travail plutôt que des domaines. Altiris fonctionne dans des groupes de travail, mais vos techniciens de bureau ne sont jamais autorisés à modifier leurs mots de passe, par exemple. (OK, d'accord. Ils peuvent changer leur mot de passe. Mais ils doivent également passer à côté de votre cube et taper leur nouveau mot de passe sur le serveur, ou vous dire quel est leur nouveau mot de passe.)

Je veux en venir au principe suivant: vous pouvez gérer de nombreux postes de travail sans AD, mais vous devrez peut-être acheter un logiciel de remplacement. Même avec un logiciel agréable, vous rencontrerez des difficultés.

AD et GPO continueront à gérer les postes de travail. Sans cela, vous payez pour une application tierce ou faites vraiment confiance à vos utilisateurs.

Si vous faites quelque chose de strictement BYOD, ou si vous ne distribuez que des machines virtuelles sans état, cela ne s'applique pas autant.

Le Cloud n'est qu'un autre fournisseur d'accès

Bien que passionnant, tout nuage n’est qu’un autre fournisseur d’impartition - une entreprise qui tente d’offrir une flexibilité à votre infrastructure et à vos opérations, souvent à un coût réduit, et (espérons-le) une meilleure fiabilité. Bien entendu, le Cloud vise à simplifier les objectifs de service recherchés, tels que l’évolutivité, la fiabilité et les performances, mais c’est toujours une option d’hébergement.

Vous avez besoin d'une plate-forme de gestion des identités et des accès, et Active Directory répond déjà aux besoins sur place ou chez votre fournisseur d'hébergement?

Changer l'emplacement physique de vos services réseau ne change pas vos exigences.

Active Directory est hautement extensible, même avec un grand nombre de systèmes ne dépendant pas directement d'AD DS, vous pouvez toujours l'utiliser pour gérer des composants d'infrastructure "autonomes", hébergés dans le Cloud ou ailleurs.

Si vous continuez à utiliser la plate-forme Windows et le middleware Microsoft, le niveau même de prise en charge de l'authentification Active Directory dans le nuage exige des services de domaine Active Directory, voire davantage que sur site.

Cloud tout le chemin

Vous souhaitez toujours tout transférer dans le nuage? Fais le! Virtualisez vos contrôleurs de domaine , ce n'est pas un spectacle. C'est juste une autre solution d'impartition :-)

Je pense que la vraie question est de savoir si vous pouvez déplacer votre "boutique Windows" centrée sur MS vers le Cloud sans AD DS.

Le point central de ce problème dépend de ce que vous voyez, AD fait pour vous. S'il est uniquement utilisé comme magasin central pour les informations d'identification SSO utilisées uniquement pour s'authentifier auprès d'applications cloud, il peut bien entendu être remplacé par un autre magasin central.

Mais AD peut faire beaucoup plus que cela:

• Déploiement logiciel.

• Déploiement du système d'exploitation.

• Gestion des imprimantes.

• Gestion des profils utilisateur (par exemple, en utilisant des profils itinérants ou UE-V pour permettre aux utilisateurs de se connecter n’importe où et de conserver leurs données locales et leurs personnalisations). Je pense que cela reste important même lorsque tous vos services sont dans le cloud, car les données peuvent toujours être locales et les ordinateurs clients encore en panne ou remplacés.

• Évolutivité: je préférerais gérer l'approvisionnement et la gestion continue de mes milliers de comptes d'utilisateurs via ADUC et les scripts PowerShell «locaux», etc., plutôt que via Office 365.

• Intégration avec des applications non standard - par exemple, nous avons un système de carte d'identité basé sur RFID qui s'intègre à AD et je n'aurais vraiment pas envie d'essayer de le faire parler à des ADFS basés sur Azure.

Bien sûr, toutes ces choses ne seront pas toujours pertinentes. L’inverse de mon commentaire sur l’évolutivité est qu’une petite entreprise comptant seulement quelques utilisateurs pourrait tout simplement acheter Office 365 ou Google Apps, ainsi que tout ordinateur portable en vente cette semaine à le supermarché le plus proche, pour chaque nouvel employé s’ils décident que cela leur est moins pénible.

Pouvez-vous? Oui. Voudrais-tu? Je ne pense pas. Toutes les solutions hébergées que vous avez mentionnées prennent en charge la fédération AD, et puisque vous souhaitez que la connexion unique (SSO) soit le seul moyen universel de réaliser cela, il s'agira de AD.

Et des produits comme LastPass sont un coffre-fort de mots de passe, pas une connexion unique.

Outre quelques très bonnes réponses, j'aimerais inverser la question: à quoi sert-il de ne pas avoir Active Directory si vous utilisez une boutique Microsoft? Vous pouvez utiliser et gérer des produits Microsoft sans AD, mais ils sont simplement conçus pour fonctionner avec, et l'intégration AD native sera toujours meilleure que toute solution de contournement que vous pouvez ajouter.

Moins de complexité? Ne pas avoir AD ajoute en réalité plus de complexité à votre environnement, car vous devez trouver des alternatives appropriées à tout ce que AD aurait fait par défaut; avoir AD ajoute ... quoi? Deux contrôleurs de domaine (qui peuvent très bien être des machines virtuelles, donc ne nécessitant même pas de matériel supplémentaire)? Tout administrateur Windows junior peut gérer un petit AD et tout administrateur senior peut en gérer un grand. Si vous maîtrisez suffisamment les produits Microsoft pour être en mesure de trouver et de mettre en œuvre des solutions de contournement du fait que vous n'avez pas d'AD, vous êtes certainement assez compétent pour utiliser réellement .

Frais? Quels coûts? Vous avez déjà indiqué que vous utilisiez le cloud complet. Par conséquent, deux ordinateurs virtuels Azure supplémentaires ne pourront même pas réduire votre budget. pas même quelques licences Windows Server pour les DC physiques, étant donné ce que vous dépensez déjà en services en ligne (sans parler des licences clientes Windows et Office, dont vous avez toujours besoin pour tous vos utilisateurs).

TL; DR: Globalement, je ne vois vraiment aucun intérêt à ne pas avoir d'AD, étant donné combien il est trivial de le mettre en œuvre (même à grande échelle) et combien vous en gagnez.

Vous n'avez pas "besoin" d'ANNONCE mais cela vous facilitera la vie. En fonction de votre taille, assurez-vous de disposer de 2 serveurs, 1 principale, 1 sauvegarde. Sinon, si vous perdez votre serveur AD (et seulement 1), vous devrez reconstruire un domaine, à moins que vos sauvegardes ne soient SOLID.