web-dev-qa-db-ja.com

Windowsショップが「すべて」をクラウドに移行する場合でも、Active Directoryは必要ですか?

この質問から離れて: 本当にMS Active Directoryが必要ですか? 2014年の新しい方向性。

基本的なWindowsインフラストラクチャを考慮する:

  • ドメインコントローラー
  • Exchange 2007/2010/2013
  • 共有ポイント
  • SQL
  • ファイルサーバー/プリントサーバー
  • AD統合DNS
  • ADで認証されたサードパーティデバイス(ネットワーキングやおそらくコンテンツフィルタリングなどのための802.1Xとしましょう)
  • ITアプリ/ハードウェアなどでのAD/LDAP認証の「管理」機能。
  • おそらくいくつかのKMSのもの
  • 必要に応じてCAを投入する
  • 自作アプリ
  • サードパーティの社内アプリ

それでは、それをすべて取り除き、クラウドに移行することを決定しましょう。 Exchange/Sharepoint/File ServicesをOffice 365に移行することを契約しました。SQLはAzureのようなものでもホストされるようになります。 AD-DNSの必要性から解放され、単純なWindows DNSサーバーを介してすべてを実行します。まだ802.1Xが必要であり、可能であれば、さまざまなクラウドアプリに対してSSOを使用します。自社製およびサードパーティの社内アプリはおそらく残るでしょうが、AD認証の代わりに内部ユーザーデータベースを使用できます

問題は... Active Directoryが本当に必要なのですか?

それ以上に、オンプレミスのADや、Azureなど(ADFS)でホストされている、またはホストされているVM Azureを介してADDSを実行している。他のようなものを検討する必要があるかどうかLastPassと同じくらい簡単でもSSO機能を提供できる http://www.onelogin.com/partners/app-partners/office-365/ などのサードパーティSSOオプション各ユーザーに似ていますか?

クラウド内の他のすべてのものがある場合、ADはどのような正当なニーズを満たしますか?

MS中心のインフラストラクチャが、以前はADに依存していたすべてをSaaSに依存していなかったオファリングに移動した場合、ADがまったくない状態で回避できますか? AD認証?

active-directorycloudadfsmicrosoft-office-365saas
49
TheCleaner

ADなしで多数のワークステーションを管理してきました。私はパワーツール(Altiris Deployment Solution)を持っていましたが、特定の状況ではそれでも傷つきました:

  1. セキュリティ監査人がやってきて、デフォルトのワークステーションのパスワードポリシーは十分ではないと言っています。 5,000台のマシンでパスワードの複雑さや有効期限などを変更するために、(自明でない)スクリプトを記述し、それをすべてのマシンで実行するようにスケジュールする必要がありました。 (ちなみにラップトップを捕まえて頑張ってください!)
  2. 部門プリンターのマッピング。もちろん、IP番号を使用できます。つまり、部門Aと部門Bがプリンター戦争に参加した場合、救済策としては、プリンターを杭打ちし、犯罪者をワークステーションに戻し、ワークステーションからプリンターを削除する必要があります。 (代わりに印刷管理ソフトウェアを購入できると思います。)また、そのプリンターを使用する予定がない場合に、そもそもそのプリンターがワークステーションでどのように使用されるのでしょうか。また、プリンターが再び使用されないようにするにはどうすればよいでしょうか。
  3. WSUSにはレジストリキーがあるため、パッチ管理に技術的に ADは必要ありません。ただし、これらのレジストリキーをイメージに含める場合は、いくつかのキー(SusClientIDとPingID)を確認して削除する必要があります。そうしないと、キーがnever更新されます。または、より具体的かつ正確にするために、そのうちの1つだけが更新を取得します。
  4. ソフトウェアのインストール。パワーツール(LANdesk、Altirisなど)を使用してこれらを実行できますが、それは追加の費用です。
  5. 「毒」プリンタードライバー。私はこれらのいくつかを見てきました。最善の解決策は、更新されたドライバーを備えた印刷キューでした。
  6. 許可されたフォレスト/許可されたホストをポイントアンドプリント制限に設定しない限り、Windows 7の印刷には壮大なかんしゃくがあります。たぶん、User1がUser2のローカルプリンタを使用したくない限り、すべてのプリンタがIP専用であれば、これは大した問題ではないでしょう。 ADがない場合、技術者はワークステーションまたはマスターイメージでgpeditを使用する必要がありました。
  7. クラウドExchangeを想定していますが、ADを使用しない電子メールの移行やその他の大きなインフラストラクチャの変更はクライアントエンドで苦痛であることも付け加えておきます。 「古い失敗した移行からソフトウェアを削除する/ワークステーションをADに追加する/ユーザーのプロファイルをローカルからドメインに移行する/ユーザーを管理者から降格する/パワーユーザーに変更する/ファイアウォールに変更を加える」ジョブをスクリプト化し、Altirisで実行しました。 (Microsoftのコンサルタントは、私がカンフーを紹介するまで、サムドライブで臨時雇用者を雇うことを提案していました。)

また、ドメインではなくワークグループがあると言ったときに、3つの頭があるように見えるソフトウェアベンダーもあります。 Altirisはワークグループで実行されますが、たとえばデスクトップ技術者が自分のパスワードを変更することはできません。 (承知しました。承知しました。パスワードを変更することもできます。ただし、キューブを振ってサーバーに新しいパスワードを入力する必要があります。またはtell yo彼らの新しいパスワードは何ですか。)

私が得ているのは、ADがなくても多くのワークステーションを管理できることですが、代わりのソフトウェアを購入する必要がある場合があり、Niceソフトウェアを使用したとしても、苦痛に直面することになります。

88
Katherine Villyard

ADとGPOは引き続きワークステーションの管理を処理します。それがなければ、サードパーティのアプリケーションに料金を支払うか、または本当に本当にユーザーを信頼します。

厳密にBYODのようなことを行っている場合、または機能するようにステートレスVMのみを配布している場合、これはあまり当てはまりません。

13
mfinni

この問題の中心的な点は、ADが何をしているかに依存します。クラウドアプリへの認証にのみ使用されるSSO資格情報の中央ストアとしてのみ使用されている場合は、もちろん、別の中央ストアに置き換えることができます。

しかし、ADはそれだけではありません。

  • ソフトウェアの導入。

  • OSの導入。

  • プリンター管理。

  • ユーザープロファイル管理(たとえば、ローミングプロファイルまたは E-V を使用して、ユーザーがどこにでもログインしてローカルデータとカスタマイズを保持できるようにする)。すべてのサービスがクラウドにある場合でも、データは依然としてローカルであり、クライアントマシンが故障したり置き換えられたりするため、これは依然として重要だと思います。

  • スケーラビリティ:何千ものユーザーアカウントのプロビジョニングと継続的な管理を、純粋にOffice 365経由ではなく、ADUCや「ローカル」のPowerShellスクリプトなどで管理したい。

  • 非標準アプリケーションとの統合-例私たちは、ADと統合するRFIDベースのIDカードシステムを持っているので、AzureベースのADFSと通信させようとはしません。

もちろん、これらすべてが常に関連しているわけではありません。スケーラビリティについての私のコメントの逆は、数人のユーザーしかいない中小企業は確かにOffice 365またはGoogle Appsに加えて、今週のラップトップが何でも発売されるということです。彼らがこれが彼らにとってそれほど苦痛でないと決定した場合、彼らが新しい雇用ごとに最も近いスーパーマーケット。

8
Rob Moir

クラウドは単なるISPです

エキサイティングですが、どのクラウドもアウトソーシングプロバイダーの1つにすぎません。インフラストラクチャと運用に柔軟性を提供しようとする企業であり、多くの場合、低コストで、(できれば)信頼性が向上します。確かに、クラウドは、スケーラビリティ、信頼性、パフォーマンスなど、一般的に求められているサービス目標を簡素化することを目的としていますが、それでもホスティングオプションにすぎません

Identity and Access Managementプラットフォームが必要で、Active Directoryは、オンプレミスまたはホスティングプロバイダーで必要なものに適合しますか?

ネットワークサービスの物理的な場所を変更しても、要件は変わりません。

Active Directoryは非常に拡張性が高く、AD DSに直接依存しない多数のシステムがあっても、それを利用して、クラウドまたは他の場所でホストされる「スタンドアロン」インフラストラクチャコンポーネントを管理できます。

WindowsプラットフォームとMicrosoftミドルウェアを引き続き使用する場合、クラウドでのActive Directory認証のサポートの完全なレベルは、オンプレミス以上に、Active Directoryドメインサービスを要求します。

ずっと雲

すべてをクラウドに移行することにまだ本当に熱心ですか?やれ! ドメインコントローラーの仮想化 、それはショーストッパーではありません。それは単なる別のアウトソーシングソリューションです:-)

本当の問題は、MS中心の「Windowsショップ」をクラウドに移動できるかどうかなしでAD DSだと思います

8
Mathias R. Jessen

出来ますか?はい。よろしいですか?私はそうは思いません。あなたが言及したすべてのホストされたソリューションはADフェデレーションをサポートします。どこでもSSOが必要なので、それを実現する唯一の普遍的な方法はADになります。

また、LastPassなどの製品は、SSOではなくパスワード保管庫です。

5
longneck

Microsoftショップを運営している場合、Active Directoryがないのポイントは何ですか?あなたはADなしでMicrosoft製品を使用および管理することができますが、それらを使用するように設計されているだけであり、ネイティブAD統合は常により優れています投入できる回避策。

それほど複雑ではありませんか? ADを使用しないと、実際に環境にmoreの複雑さが追加されます。 ADを追加すると...何ですか?いくつかのドメインコントローラー(VMである可能性が高いため、追加のハードウェアを必要としないこともあります)?すべてのジュニアのWindows管理者は小さなADを管理でき、すべての上級者は大きなADを管理できます。 ADがない場合の回避策を見つけて実装できるほどマイクロソフト製品に熟練している場合は、実際にそれを使用するのに十分なスキルがあります。

コスト?どの費用?すでにフルクラウドになるとおっしゃっていたので、追加のAzure VMをいくつか追加しても、予算を少し減らすことはできません。オンラインサービスに既に費やしていることを考えると、物理的なDCのWindows Serverライセンスは2つでさえありません(すべてのユーザーに必要なクライアントのWindowsおよびOfficeライセンスは言うまでもありません)。

TL; DR:結局のところ、notADを実装するのは非常に簡単であることを考えると、実際にはADが存在することにはまったく意味がありません。 (大規模であっても)そしてそれを手に入れることでどれだけ得ることができるか

3
Massimo