Windows 상점이 “모든 것”을 클라우드로 옮기더라도 여전히 Active Directory가 필요합니까? LDAP 인증 “관리”기능 아마도 일부 KMS

이 질문에서 벗어나기 : 정말로 MS Active Directory가 필요합니까? 2014 년 새로운 방향으로

기본 Windows 인프라 고려 :

  • 도메인 컨트롤러
  • Exchange 2007/2010/2013
  • 공유 지점
  • SQL
  • 파일 서버 / 인쇄 서버
  • AD 통합 DNS
  • AD 인증 타사 장치 (네트워킹 및 일부 콘텐츠 필터링 등의 경우 802.1X라고 가정)
  • IT 앱 / 하드웨어 등의 AD / LDAP 인증 “관리”기능
  • 아마도 일부 KMS 물건
  • 원한다면 CA를 던져
  • 자란 앱
  • 타사 사내 앱

이제 모든 것을 찢어 내고 클라우드로가는 것을 결정합시다. Exchange / Sharepoint / File Services를 Office 365로 이전하기로 계약했습니다. 이제 Azure와 같은 SQL에서도 SQL이 호스팅됩니다. 우리는 AD-DNS의 필요성에서 벗어나 간단한 Windows DNS 서버를 통해 모든 것을 실행합니다. 우리는 여전히 802.1X가 필요하며 다양한 클라우드 앱에 가능한 경우 SSO를 원합니다. 자체 개발 및 타사 사내 앱은 그대로 유지되지만 AD 인증 대신 내부 사용자 데이터베이스를 사용할 수 있습니다.

문제는 … 실제로 Active Directory가 필요합니까?

또는 AD는 온-프레미스 또는 Azure 또는 유사 (ADFS)을 통해 호스팅되거나 Azure 또는 유사을 통해 호스팅 된 VM에서 ADDS를 실행합니다. / 우리는 다음과 같은 제 3 자 SSO 옵션과 같은 다른 것으로보고해야 할 수 http://www.onelogin.com/partners/app-partners/office-365/ 그것만큼 간단 경우에도 SSO 기능을 제공 할 수 있습니다 또는 유사한 각 사용자에 대한 LastPass 또는 유사?

클라우드의 다른 모든 것이 있으면 AD는 어떤 종류의 합법적 인 요구를 충족합니까?

이전에 AD에 의존했던 모든 것을 AD 인증에 의존하지 않는 SaaS 오퍼링으로 옮기면 MS 중심 인프라가 AD를 전혀 갖지 못한 채 벗어날 수 있습니까?

답변

AD없이 많은 수의 워크 스테이션을 관리했습니다. 전동 도구 (Altiris Deployment Solution)가 있었지만 특정 상황에서는 여전히 문제가 있습니다.

  1. 보안 감사원이 와서 기본 워크 스테이션 암호 정책으로는 충분하지 않다고 말합니다. 5,000 대의 컴퓨터에서 암호 복잡성 및 만료 등을 변경하려면 (사소한) 스크립트를 작성하고 모든 컴퓨터에서 실행되도록 예약해야했습니다. (노트북을 잡는 행운을 빕니다!)
  2. 부서 프린터 매핑 물론, 우리는 IP 번호를 사용할 수 있습니다. 즉, 부서 A와 부서 B가 프린터 전쟁에 처한 경우, 구제 조치에는 프린터를 스테이 킹 한 다음 문제가있는 워크 스테이션으로 다시 돌아와 워크 스테이션에서 프린터를 제거해야합니다. (인쇄 관리 소프트웨어를 대신 구매할 수 있다고 가정합니다.) 또한 프린터를 사용하지 않을 경우 어떻게 프린터를 워크 스테이션에 넣었을까요? 그리고 다시는 끝나지 않게하려면 어떻게해야합니까?
  3. WSUS에 대한 레지스트리 키가 있으므로 기술적 으로 패치 관리를 위해 AD가 필요하지 않습니다. 그러나 이미지에 이러한 레지스트리 키를 포함하는 경우 몇 개의 키 (SusClientID 및 PingID)를 확인하고 삭제해야합니다. 그렇지 않으면 업데이트 가 적용 되지 않습니다 . 또는보다 구체적이고 정확하게하기 위해 그들 중 하나만 업데이트를받습니다.
  4. 소프트웨어 설치 전동 공구 (LANdesk, Altiris 등)로 이러한 작업을 수행 할 수 있지만 추가 비용이 발생합니다.
  5. “독”프린터 드라이버. 나는이 두 가지를 보았다. 가장 좋은 해결책은 업데이트 된 드라이버가있는 인쇄 대기열입니다.
  6. 허용 된 포리스트 / 허용 된 호스트를 지정하고 인쇄 제한을 설정하지 않는 한 Windows 7 인쇄에는 놀라운 효과가 있습니다. User1이 User2의 로컬 프린터를 사용하기를 원하지 않는 한 모든 프린터가 ip 전용 인 경우에는 큰 문제가되지 않을 것입니다. AD가 없으면 우리 기술자들은 워크 스테이션이나 마스터 이미지에서 gpedit를 사용해야했습니다.
  7. 클라우드 Exchange를 가정하고 있지만 전자 메일 마이그레이션 및 AD가없는 다른 대규모 인프라 변경은 클라이언트 측에서 고통 스럽습니다. 나는 “오래된 실패한 마이그레이션 / 워크 스테이션 추가에서 소프트웨어를 AD로 마이그레이션 / 사용자 프로필을 로컬에서 도메인으로 / 관리자에서 사용자로 강제 전환 / 방화벽으로 변경”Altiris를 통해 실행했다. (Microsoft 컨설턴트는 쿵푸를 보여줄 때까지 엄지 드라이브로 임시 직원을 고용 할 것을 제안했습니다.)

또한 도메인이 아닌 작업 그룹을 가지고 있다고 말할 때 3 개의 헤드가있는 것처럼 보이는 소프트웨어 공급 업체가 있습니다. Altiris는 작업 그룹에서 실행되지만 데스크톱 기술은 예를 들어 암호를 변경할 수 없습니다. (좋아요. 암호를 변경할 수도 있습니다.하지만 큐브로 돌아가서 새 암호를 서버에 입력하거나 새 암호가 무엇인지 알려줘야합니다 .)

내가 얻는 것은 : AD없이 많은 워크 스테이션을 관리 할 수 ​​있지만 교체 소프트웨어를 구입해야 할 수도 있으며 멋진 소프트웨어조차도 고통스러운 일이 발생할 수 있습니다.

답변

AD와 GPO는 여전히 워크 스테이션 관리를 처리합니다. 그것 없이는 타사 응용 프로그램에 대한 비용을 지불하거나 실제로 사용자를 신뢰합니다.

BYOD와 같은 작업을 수행하거나 작업을 위해 상태 비 저장 VM 만 배포하는 경우에는 적용되지 않습니다.

답변

클라우드는 또 다른 ISP입니다

모든 클라우드는 다른 아웃소싱 제공 업체 일뿐 아니라 인프라와 운영에 유연성을 제공하고 비용을 낮추고 안정성을 높이려는 회사입니다. 물론 클라우드는 확장 성, 안정성 및 성능과 같은 공통의 인기있는 서비스 목표를 단순화하는 것을 목표로하지만 여전히 호스팅 옵션 일뿐입니다.

Identity and Access Management 플랫폼이 필요하며 온 프레미스 또는 호스팅 제공 업체에 필요한 Active Directory에 적합합니까?

네트워크 서비스의 실제 위치를 변경해도 요구 사항은 변경되지 않습니다.

AD DS에 직접 의존하지 않는 많은 수의 시스템이 있어도 Active Directory는 확장 성이 뛰어나지 만 클라우드 나 다른 곳에서 호스팅되는 “독립형”인프라 구성 요소를 관리하는 데 여전히이를 활용할 수 있습니다.

Windows 플랫폼과 Microsoft 미들웨어를 계속 사용하는 경우 클라우드에서 Active Directory 인증에 대한 단순한 수준의 지원은 온 프레미스 이상의 Active Directory 도메인 서비스를 요구합니다.

끝까지 클라우드

여전히 모든 것을 클라우드로 옮기는 데 관심이 있습니까? 해! 도메인 컨트롤러를 가상화하십시오 . 쇼 스토퍼는 아닙니다. 그것은 또 다른 아웃소싱 솔루션입니다 🙂

실제 질문은 MS 중심의 “Windows shop”을 AD DS 없이 클라우드로 옮길 수 있는지 여부입니다.

답변

이 문제의 핵심은 AD가 자신을 위해하는 것으로 보는 것에 달려 있습니다. 클라우드 앱 인증에만 사용되는 SSO 자격 증명의 중앙 저장소로만 사용되는 경우 다른 중앙 저장소로 교체 할 수 있습니다.

그러나 AD는 그 이상을 할 수 있습니다.

  • 소프트웨어 배포.

  • OS 배포.

  • 프린터 관리.

  • 사용자 프로필 관리 (예 : 로밍 프로필 또는 UE-V 를 사용하여 사용자가 어디에서나 로그인하여 로컬 데이터 및 사용자 지정을 유지하도록 허용) 데이터가 여전히 로컬에 있고 클라이언트 시스템이 여전히 고장 나거나 교체되기 때문에 모든 서비스가 클라우드에있는 경우에도 이것이 중요하다고 생각합니다.

  • 확장 성 : Office 365보다는 ADUC 및 ‘로컬’powershell 스크립팅 등을 통해 수천 명의 사용자 계정의 프로비저닝 및 지속적인 관리를 관리하고 싶습니다.

  • 비표준 응용 프로그램과의 통합-예를 들어 AD와 통합되는 RFID 기반 ID 카드 시스템을 보유하고 있으며 Azure 기반 ADFS와 통신을 시도하는 것은 그리 어렵지 않습니다.

물론,이 모든 것이 항상 관련성이있는 것은 아닙니다. 확장성에 대한 저의 반대 의견은 소수의 사용자 만있는 소기업이 Office 365 또는 Google Apps를 구매할 수 있다는 것입니다. 그들이 가장 고통스럽지 않다고 판단 할 때 가장 가까운 슈퍼마켓.

답변

당신은 할 수 있습니까? 예. 하시겠습니까? 나는 그렇게 생각하지 않습니다. 언급 한 모든 호스팅 솔루션은 AD 페더레이션을 지원하며 SSO가 AD가 될 유일한 보편적 인 방법을 모든 곳에서 원하기 때문에 SSO를 원합니다.

LastPass와 같은 제품은 SSO가 아닌 비밀번호 저장소입니다.

답변

정말 좋은 답변 외에도 Microsoft 상점을 운영하는 경우 Active Directory 가 없는 점은 무엇 입니까? 당신은 할 수 사용하고 AD없이 Microsoft 제품을 관리하기 위해 주위를 얻을 수 있지만, 그들은 그냥 작동하도록 설계되며, 기본 AD 통합은 항상 당신이 던질 수있는 해결 방법보다 더 나은 될 것입니다.

덜 복잡합니까? AD를 갖지 않으면 실제로 환경에 더 많은 복잡성이 추가됩니다. AD가 기본적으로 수행 한 모든 작업에 적합한 대안을 찾아야하기 때문입니다. AD가 있으면 … 뭐? 두 개의 도메인 컨트롤러 (VM이 될 수 있으므로 추가 하드웨어가 필요하지 않음)? 모든 주니어 Windows 관리자는 작은 AD를 관리 할 수 ​​있으며, 모든 고위 관리자는 큰 AD를 관리 할 수 ​​있습니다. AD가없는 경우 해결 방법을 찾아 구현할 수있을만큼 Microsoft 제품에 능숙한 사용자라면 실제로 사용할 수있는 숙련 된 사용자 일 것입니다.

소송 비용? 어떤 비용? 이미 전체 클라우드를 사용한다고 말 했으므로 몇 개의 추가 Azure VM이 예산에서 약간의 찌그러짐을 할 수도 없습니다. 온라인 서비스에 이미 지출하고있는 것을 고려할 때 물리적 DC에 대한 Windows Server 라이센스 몇 개도 마찬가지입니다 (모든 사용자에게 필요한 클라이언트 Windows 및 Office 라이센스는 말할 것도 없습니다).

TL; DR : AD 를 전혀 사용하지 않는 데있어 (어떻게 든 대규모로도) 구현할 수있는 정도와 그것을 통해 얻을 수있는 이익을 고려할 때 AD 가 없다는 점은 전혀 알지 못합니다 .

답변

당신은 AD를 “필요”하지 않지만 인생을 더 편하게 할 것입니다. 크기에 따라 2 개의 서버, 1 개의 기본, 1 개의 백업이 있는지 확인하십시오. 그렇지 않으면 AD 서버를 잃어버린 경우 (1 개만있는 경우) 백업이 SOLID가 아닌 한 도메인을 다시 작성해야합니다.