如果Windows商店将“一切”移动到云端,它是否还需要Active Directory?

Modified on: Thu, 25 Jul 2019 21:20:03 +0800

脱离这个问题:我真的需要MS Active Directory吗? ?为2014年的新方向。

考虑基本的Windows基础架构:

  • 域名控制器
  • Exchange 2007/2010/2013
  • 的SharePoint
  • SQL
  • 文件服务器/打印服务器
  • AD集成DNS
  • AD认证的第三方设备(比方说802.1X用于联网,也许还有一些内容过滤等)。
  • 在IT应用程序/硬件/等上进行AD / LDAP身份验证的“管理”功能。
  • 也许是一些KMS的东西
  • 如果你想
  • ,请加入CA.
  • 自家发展的应用
  • 第三方内部应用

现在,让我们全力以赴,决定我们要去云端。我们签约将Exchange / Sharepoint /文件服务迁移到Office 365.现在,SQL也将托管在Azure之类的东西上。我们已经摆脱了对AD-DNS的需求,只需通过简单的Windows DNS服务器运行所有内容即可。我们仍然需要802.1X,如果可能的话,我们希望我们的各种云应用程序都能使用SSO。本土和第三方内部应用程序可能会保留,但能够使用内部用户数据库而不是AD身份验证

问题是......我们真的需要Active Directory吗?

或更重要的是,AD内部部署甚至通过Azure或类似的(ADFS)托管或通过Azure或类似方式在托管VM上运行ADDS。可能/我们应该寻找其他类似第三方SSO选项的内容,例如http: //www.onelogin.com/partners/app-partners/office-365/或类似的提供SSO功能,即使它像LastPass一样简单,也可以为每个用户提供类似功能?

如果云中的其他所有内容,AD会满足哪些合法需求?

如果将以前依赖AD的所有内容移动到不依赖于AD身份验证的SaaS产品,那么以MS为中心的基础架构是否可以完全没有AD?

最佳答案

我已经管理了大量没有AD的工作站。我有电动工具(Altiris Deployment Solution),但在某些情况下它仍然受到伤害:

  1. 安全审核员进来说我们的默认工作站密码策略不够好。为了在5,000台机器上更改密码复杂性和过期等,我们必须编写一个(非平凡的)脚本并安排在所有机器上运行。 (顺便说一下,抓住笔记本电脑,祝你好运!)
  2. 映射部门打印机。当然,我们可以使用IP号码。这意味着如果部门A和部门B进入打印机大战,则补救措施包括放下打印机,然后跟随违规者返回工作站以从工作站中取出打印机。 (我想你可以购买打印管理软件。)另外,如果打印机不应该使用它,那么它最初是如何在他们的工作站上结束的呢?你怎么能阻止它再次到达那里?< / LI>
  3. WSUS有注册表项,因此技术上不需要AD来进行补丁管理。但是,如果在映像中包含这些注册表项,则需要确保并删除一些键(SusClientID和PingID),否则它们永远不会获取更新。或者,为了更具体和准确,只有其中一个将获得更新。
  4. 软件安装。你可以使用电动工具(LANdesk,Altiris等)来做这些,但这是多余的钱。
  5. “Poison”打印机驱动程序。我见过其中的几个。最好的补救措施是带有更新驱动程序的打印队列。
  6. 除非我们在点和打印限制中设置允许的林/允许主机,否则Windows 7打印将具有史诗般的发脾气。如果所有打印机都是ip-only,只要User1永远不想使用User2的本地打印机,也许这不是什么大问题。没有AD,我们的技术人员必须在工作站或主映像上使用gpedit。
  7. 您正在假设云交换,但我还要补充说,电子邮件迁移和其他没有AD的大型基础架构变更在客户端是痛苦的。我编写了“从旧的失败迁移/添加工作站删除软件到AD /从用户本地域迁移用户的配置文件到用户/降级用户从高级用户/更改防火墙”工作并通过Altiris运行它们的脚本。 (微软顾问建议我们用拇指驱动器雇用临时工,直到我向他们展示我的功夫。)
  8. 醇>

    此外,当你告诉他们你有工作组而不是域时,有些软件供应商看着你,就像你有三个脑袋一样。 Altiris在工作组中运行,但例如,您的桌面技术人员永远不会更改其密码。 (好吧,好吧。他们可以更改密码。但是他们也必须通过你的立方体摆动并在服务器中输入新密码,或者告诉你他们的新密码是什么。)

    我得到的是:你可以在没有AD的情况下管理很多工作站,但是你可能需要购买替代软件,即使使用不错的软件,你也会遇到痛苦的事情。


相关问答

添加新评论