Se uma loja do Windows move "tudo" para a nuvem, ainda precisa do Active Directory?

Resolvendo esta questão: Eu realmente preciso do MS Active Directory? em uma nova direção para 2014.

Levando em conta uma infraestrutura básica do Windows:

• controladores de domínio
• Exchange 2007/2010/2013
• Sharepoint
• SQL
• Servidores de arquivo / servidores de impressão
• DNS Integrado ao AD
• Dispositivos de terceiros autenticados pelo AD (digamos 802.1X para rede e talvez alguma filtragem de conteúdo etc.)
• Funções "administrativas" autenticadas pelo AD / LDAP em aplicativos de TI / hardware / etc.
• talvez algumas coisas KMS
• jogue uma CA se você quiser
• aplicativos cultivados em casa
• Aplicativos internos de terceiros

Agora, vamos analisar tudo e decidir que estamos indo para a nuvem. Contratamos para mover os Serviços de Exchange / Sharepoint / Arquivo para o Office 365. O SQL agora também será hospedado em algo como o Azure. Evitamos a necessidade do AD-DNS e simplesmente executamos tudo por meio de um simples servidor DNS do Windows. Ainda precisamos do 802.1X e gostaríamos de SSO, se possível, para nossos vários aplicativos em nuvem. Aplicativos internos internos e de terceiros provavelmente permaneceriam, mas terão a capacidade de usar bancos de dados de usuários internos em vez da autenticação do AD

A questão é ... realmente precisamos do Active Directory?

Ou mais, o AD no local ou mesmo hospedado via Azure ou similar (ADFS) ou executando o ADDS em uma VM hospedada através do Azure ou similar. Poderíamos / Devemos considerar algo como uma opção de SSO de terceiros, como http://www.onelogin.com/partners/app-partners/office-365/ ou similar, que pode fornecer a funcionalidade de SSO, mesmo que seja tão simples quanto LastPass ou similar para cada usuário?

Que tipo de necessidades legítimas o AD atende se tudo o mais na nuvem?

Uma infra-estrutura centrada no MS se safaria de não ter o AD, se mudasse tudo o que anteriormente dependia do AD para as ofertas SaaS que não dependiam da autenticação do AD?

Eu gerenciei um grande número de estações de trabalho sem o AD. Eu tinha ferramentas elétricas (Altiris Deployment Solution), mas ainda doía em determinadas situações:

1. O auditor de segurança entra e diz que nossa política de senha da estação de trabalho padrão não é boa o suficiente. Para alterar a complexidade e expiração da senha, etc., em 5.000 máquinas, tivemos que escrever um script (não trivial) e agendar que fosse executado em todas as máquinas. (A propósito, boa sorte em pegar os laptops!)
2. Mapeando impressoras de departamento. Claro, poderíamos usar o número IP. Isso significa que, se o Departamento A e o Departamento B entrarem em guerra, o remédio envolve piquetar a impressora e seguir o infrator de volta à sua estação de trabalho para remover a impressora da estação de trabalho. (Suponho que você possa comprar um software de gerenciamento de impressão.) Além disso, como essa impressora acabou em sua estação de trabalho, se eles não deveriam usá-la, e como você evitará que ela acabe lá novamente?
3. Existem chaves de registro para o WSUS, portanto, tecnicamente , você não precisa do AD para gerenciamento de patches. No entanto, se você incluir essas chaves do registro na imagem, precisará garantir e excluir algumas chaves (SusClientID e PingID), caso contrário elas nunca receberão atualizações. Ou, para ser mais específico e preciso, apenas um deles receberá atualizações.
4. Instalações de software. Você pode fazer isso com ferramentas elétricas (LANdesk, Altiris etc.), mas isso é dinheiro extra.
5. Drivers de impressora "envenenados". Eu já vi alguns deles. O melhor remédio foi uma fila de impressão com um driver atualizado.
6. A impressão do Windows 7 teria birras épicas, a menos que definíssemos floresta / hosts permitidos em restrições de apontar e imprimir. Talvez isso não seria um grande problema se todas as impressoras fossem apenas IP, desde que o Usuário1 nunca quisesse usar a impressora local do Usuário2. Sem o AD, nossos técnicos precisavam usar o gpedit na estação de trabalho ou na imagem principal.
7. Você está assumindo o Exchange na nuvem, mas também adicionarei que as migrações de email e outras grandes mudanças na infraestrutura sem o AD são dolorosas para o cliente. Eu escrevi os trabalhos "remover software da migração com falha antiga / adicionar estação de trabalho ao AD / migrar o perfil do usuário do local para o domínio / rebaixar o usuário do administrador para o usuário avançado / fazer alterações no firewall" e executei-os no Altiris. (Os consultores da Microsoft estavam sugerindo que contratássemos temporários com pen drives até eu mostrar a eles meu kung-fu.)

Além disso, existem fornecedores de software que olham para você como se você tivesse três cabeças quando diz que possui grupos de trabalho em vez de domínios. A Altiris é executada em grupos de trabalho, mas seus técnicos de desktop nunca podem alterar suas senhas, por exemplo. (Ok, ok. Eles podem alterar a senha. Mas também precisam passar pelo seu cubo e digitar a nova senha no servidor ou informar qual é a nova senha.)

O que eu entendo é: você pode gerenciar muitas estações de trabalho sem o AD, mas pode ser necessário comprar um software de substituição e, mesmo com um bom software, você encontrará coisas dolorosas.

O AD e o GPO ainda gerenciarão o gerenciamento de estações de trabalho. Sem ele, você está pagando por um aplicativo de terceiros ou realmente confiando realmente em seus usuários.

Se você estiver fazendo algo como estritamente BYOD ou distribuindo apenas VMs sem estado para trabalhar, isso não se aplica tanto.

A nuvem é apenas mais um ISP

Embora emocionante, qualquer nuvem é apenas mais um provedor de terceirização - uma empresa que tenta oferecer flexibilidade para sua infraestrutura e operações, geralmente com custo reduzido e (com sorte) maior confiabilidade. Certamente, a nuvem visa simplificar objetivos comuns de serviço procurados, como escalabilidade, confiabilidade e desempenho - mas ainda é apenas uma opção de hospedagem

Você precisa de uma plataforma de Gerenciamento de Identidade e Acesso, e o Active Directory se adapta às necessidades locais ou no seu provedor de hospedagem, você já disse?

Alterar a localização física dos seus serviços de rede não altera seus requisitos.

O Active Directory é altamente extensível, mesmo com um grande número de sistemas que não dependem diretamente do AD DS, você ainda pode utilizá-lo para gerenciar componentes de infraestrutura "autônomos", hospedados na nuvem ou em qualquer outro lugar.

Se você continuar utilizando a plataforma Windows e o middleware da Microsoft, o alto nível de suporte à autenticação do Active Directory na nuvem implorará pelos Serviços de Domínio Active Directory, ainda mais do que no local.

Nuvem todo o caminho

Ainda está realmente interessado em mudar tudo para a nuvem? Faça! Virtualize seus controladores de domínio , não é um impedimento de exibição. É apenas mais uma solução de terceirização :-)

Eu acho que a verdadeira questão é se você pode mover sua "loja do Windows" centrada no MS para a nuvem sem o AD DS

O ponto central desse problema depende do que você vê o AD fazendo por você. Se ele estiver sendo usado apenas como repositório central de credenciais de SSO, usadas apenas para autenticação em aplicativos em nuvem, é claro que ele poderá ser substituído por outro repositório central.

Mas o AD pode fazer muito mais do que isso:

• Implantação de software.

• Implantação de SO.

• Gerenciamento de impressora.

• Gerenciamento de perfil de usuário (por exemplo, usando perfis móveis ou UE-V para permitir que os usuários efetuem login em qualquer lugar e mantenham seus dados e personalizações locais). Acho que isso ainda importa mesmo quando todos os seus serviços estão na nuvem, porque os dados ainda podem ser locais e as máquinas clientes ainda quebram ou são substituídas.

• Escalabilidade: prefiro gerenciar o provisionamento e o gerenciamento contínuo de minhas milhares de contas de usuário via ADUC e scripts 'locais' do powershell etc., do que apenas pelo Office 365.

• Integração com aplicativos não padrão - por exemplo, temos um sistema de cartão de identificação baseado em RFID que se integra ao AD e eu realmente não gostaria de tentar fazê-lo falar com o ADFS baseado no Azure.

Obviamente, nem todas essas coisas serão relevantes sempre - o reverso do meu comentário sobre escalabilidade é que uma pequena empresa com apenas alguns usuários certamente poderia comprar o Office 365 ou o Google Apps, além de qualquer laptop que esteja à venda esta semana em o supermercado mais próximo, para cada novo contratado, se eles decidirem que isso é menos doloroso para eles.

Você poderia? Sim. Voce gostaria de? Acho que não. Todas as soluções hospedadas mencionadas são compatíveis com a Federação do AD e, como você deseja o SSO em todos os lugares, a única maneira universal de realizar isso será o AD.

E produtos como o LastPass são um cofre de senhas, não um SSO.

Além de algumas respostas realmente boas, gostaria de reverter a pergunta: qual é o sentido de não ter o Active Directory se você estiver executando uma loja da Microsoft? Você pode usar e gerenciar produtos da Microsoft sem o AD, mas eles foram projetados para funcionar com ele, e a integração nativa do AD sempre será melhor do que qualquer solução alternativa que você possa usar.

Menos complexidade? Na verdade, não ter o AD adiciona mais complexidade ao seu ambiente, porque você precisa encontrar alternativas adequadas para tudo o que o AD teria feito pronto para uso; ter AD adiciona ... o que? Alguns controladores de domínio (que podem muito bem ser VMs, sem precisar de hardware adicional)? Qualquer administrador júnior do Windows pode gerenciar um pequeno anúncio e todos os seniores podem gerenciar um grande. Se você é proficiente o suficiente em produtos da Microsoft para encontrar e implementar soluções alternativas para não ter o AD, você é definitivamente hábil o suficiente para realmente usá- lo.

Custos? Quais custos? Você já disse que está migrando para a nuvem completa; portanto, algumas VMs do Azure adicionais nem poderão reduzir seu orçamento; nem mesmo algumas licenças do Windows Server para controladores de domínio físicos teriam, considerando o que você já está gastando em serviços online (para não mencionar as licenças do Windows e do Office, que você ainda precisa para todos os usuários).

TL; DR: apesar de tudo, realmente não vejo sentido em não ter AD, dado o quão trivial é implementá-lo (mesmo em larga escala) e quanto você ganha por tê-lo.

Você não "precisa" de AD, mas facilitará sua vida. Dependendo do seu tamanho, verifique se você tem 2 servidores, 1 primário e 1 backup; caso contrário, se você perder o servidor AD (e tiver apenas 1), precisará reconstruir um domínio, a menos que seus backups sejam SOLID.