49 votes

Craig avatar

Si un atelier Windows transfère "tout" dans le nuage, a-t-il encore besoin d'Active Directory ?

Demandé el 24 de Janvier, 2014
Quand la question a-t-elle été
18859 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

En s'inspirant de cette question : Ai-je vraiment besoin de MS Active Directory ? dans une nouvelle direction pour 2014.

En tenant compte d'une infrastructure Windows de base :

  • contrôleurs de domaine
  • Exchange 2007/2010/2013
  • Sharepoint
  • SQL
  • Serveurs de fichiers / Serveurs d'impression
  • AD intégré DNS
  • Dispositifs tiers authentifiés par AD (disons 802.1X pour la mise en réseau et éventuellement le filtrage de contenu, etc.)
  • Fonctions "administratives" authentifiées par AD/LDAP sur les applications informatiques, le matériel, etc.
  • peut-être un peu de KMS
  • ajoutez un CA si vous le souhaitez
  • applications maison
  • Applications internes de tiers

Maintenant, nous allons tout déchirer et décider d'aller dans le nuage. Nous avons passé un contrat pour transférer Exchange/Sharepoint/File Services vers Office 365. SQL sera également hébergé sur quelque chose comme Azure. Nous nous sommes affranchis du besoin d'AD-DNS et nous nous contentons de tout faire fonctionner via un simple serveur DNS Windows. Nous avons toujours besoin de 802.1X et nous aimerions, si possible, avoir un SSO pour nos différentes applications dans le nuage. Les applications maison et les applications internes de tierces parties resteraient probablement, mais elles auraient la possibilité d'utiliser des bases de données d'utilisateurs internes au lieu de l'authentification AD.

La question est la suivante : avons-nous vraiment besoin d'Active Directory ?

Ou plus précisément, AD sur site ou même hébergé via Azure ou similaire (ADFS) ou l'exécution d'ADDS sur une VM hébergée via Azure ou similaire. Pourrions-nous/devrions-nous nous tourner vers quelque chose d'autre comme une option SSO tierce telle que http://www.onelogin.com/partners/app-partners/office-365/ ou similaire qui peut fournir une fonctionnalité SSO, même si elle est aussi simple que LastPass ou similaire pour chaque utilisateur ?

Quels sont les besoins légitimes auxquels répond AD si tout le reste est dans le nuage ?

Une infrastructure centrée sur MS pourrait-elle se passer totalement d'AD si elle transfère tout ce qui dépendait auparavant d'AD vers des offres SaaS qui ne dépendent pas de l'authentification AD ?

Demandé el 24 de Janvier, 2014 par Craig

Réponses

Trop de publicités?

87voto

Katherine Villyard avatar
Katherine Villyard Points 18470

J'ai géré un grand nombre de postes de travail sans AD. J'avais des outils puissants (Altiris Deployment Solution), mais cela faisait toujours mal dans certaines situations :

  1. Un auditeur de sécurité vient nous voir et nous dit que notre politique de mot de passe par défaut pour les postes de travail n'est pas assez bonne. Pour modifier la complexité et l'expiration des mots de passe, etc., sur 5 000 machines, nous avons dû écrire un script (non trivial) et le programmer pour qu'il s'exécute sur toutes les machines. (Bonne chance pour attraper les ordinateurs portables, soit dit en passant !)
  2. Cartographie des imprimantes départementales. Bien sûr, nous pourrions utiliser le numéro IP. Cela signifie que si le département A et le département B se livrent à une guerre d'imprimantes, la solution consiste à jalonner l'imprimante et à suivre le contrevenant jusqu'à son poste de travail pour en retirer l'imprimante. (Je suppose que vous pourriez acheter un logiciel de gestion d'impression à la place.) Par ailleurs, comment cette imprimante s'est-elle retrouvée sur leur poste de travail s'ils ne sont pas censés l'utiliser, et comment allez-vous empêcher qu'elle ne s'y retrouve à nouveau ?
  3. Il existe des clés de registre pour WSUS. techniquement n'ont pas besoin d'AD pour la gestion des correctifs. Cependant, si vous incluez ces clés de registre dans l'image, vous devez vous assurer de supprimer quelques clés (SusClientID et PingID), sinon elles seront niemals obtenir des mises à jour à tout moment. Ou, pour être plus précis, un seul d'entre eux recevra des mises à jour.
  4. Le logiciel s'installe. Vous pouvez le faire avec des outils puissants (LANdesk, Altiris, etc.), mais c'est de l'argent en plus.
  5. Pilotes d'imprimante "empoisonnés". J'en ai vu quelques-uns. Le meilleur remède était une file d'attente d'impression avec un pilote mis à jour.
  6. L'impression sous Windows 7 provoquerait des crises de colère épiques, à moins que nous ne définissions des restrictions de forêt et d'hôtes autorisés dans les restrictions de point et d'impression. Ce ne serait peut-être pas un problème si toutes les imprimantes étaient uniquement IP, tant que l'utilisateur 1 ne veut jamais utiliser l'imprimante locale de l'utilisateur 2. Sans AD, nos techniciens devaient utiliser gpedit sur le poste de travail ou sur l'image maître.
  7. Vous supposez qu'il s'agit d'Exchange en nuage, mais j'ajouterai que les migrations de courrier électronique et autres changements d'infrastructure importants sans AD sont pénibles pour le client. J'ai scripté les tâches "supprimer le logiciel d'une ancienne migration qui a échoué/ajouter le poste de travail à AD/migrer le profil de l'utilisateur de local à domaine/déménager l'utilisateur d'admin à power user/effectuer des changements sur le pare-feu" et je les ai exécutées via Altiris. (Les consultants de Microsoft suggéraient d'embaucher des intérimaires avec des clés USB jusqu'à ce que je leur montre mon kung-fu).

Par ailleurs, certains fournisseurs de logiciels vous regardent comme si vous aviez trois têtes lorsque vous leur dites que vous avez des groupes de travail plutôt que des domaines. Altiris fonctionne dans des groupes de travail, mais vos techniciens de bureau ne sont jamais autorisés à changer leurs mots de passe, par exemple. (D'accord, d'accord. Ils peuvent changer leur mot de passe. Mais ils doivent aussi passer par votre cube et taper leur nouveau mot de passe sur le serveur, ou vous dire leur nouveau mot de passe).

Ce que je veux dire, c'est que Vous pouvez gérer de nombreux postes de travail sans AD, mais vous devrez peut-être acheter un logiciel de remplacement, et même avec un bon logiciel, vous rencontrerez des problèmes.

Répondu el 24 de Janvier, 2014 par Katherine Villyard (18470 Points )

13voto

mfinni avatar
mfinni Points 35332

AD et GPO continueront à gérer les postes de travail. Sans cela, vous payez pour une application tierce ou pour un système de gestion des postes de travail. vraiment vraiment vraiment faire confiance à vos utilisateurs.

Si vous faites quelque chose comme du BYOD strict, ou si vous ne distribuez que des VM sans état pour le travail, alors cela ne s'applique pas autant.

Répondu el 24 de Janvier, 2014 par mfinni (35332 Points )

8voto

Rob Moir avatar
Rob Moir Points 31534

Le point central de cette question dépend de ce que vous considérez que l'AD fait pour vous. S'il n'est utilisé que comme magasin central pour les informations d'identification SSO qui ne servent qu'à s'authentifier auprès des applications en nuage, il peut bien sûr être remplacé par un autre magasin central.

Mais l'AD peut faire beaucoup plus que cela :

  • Déploiement de logiciels.

  • Déploiement du système d'exploitation.

  • Gestion des imprimantes.

  • Gestion du profil de l'utilisateur (par exemple, à l'aide de profils d'itinérance ou d'un système de gestion de l'information). UE-V pour permettre aux utilisateurs de se connecter n'importe où et de conserver leurs données locales et leurs personnalisations). Je pense que cela reste important même lorsque tous vos services sont dans le nuage, car les données peuvent toujours être locales et les machines clientes peuvent toujours tomber en panne ou être remplacées.

  • Évolutivité : Je préfère gérer le provisionnement et la gestion continue de mes milliers de comptes d'utilisateurs via ADUC et des scripts powershell "locaux", etc. plutôt que de passer uniquement par Office 365.

  • Intégration avec des applications non standard - par exemple, nous avons un système de cartes d'identité basé sur la technologie RFID qui s'intègre à AD et je n'aimerais vraiment pas essayer de le faire communiquer avec ADFS basé sur Azure.

Bien entendu, tous ces éléments ne seront pas toujours pertinents - à l'inverse de mon commentaire sur l'évolutivité, une petite entreprise ne comptant que quelques utilisateurs pourrait certainement acheter Office 365 ou Google Apps, ainsi que l'ordinateur portable en vente cette semaine au supermarché le plus proche, pour chaque nouvel employé si elle décide que c'est moins pénible pour elle.

Répondu el 25 de Janvier, 2014 par Rob Moir (31534 Points )

8voto

Mathias R. Jessen avatar
Mathias R. Jessen Points 24807

L'informatique en nuage n'est qu'un autre fournisseur d'accès à Internet

Bien que passionnant, le "nuage" n'est qu'un autre fournisseur d'externalisation - une entreprise qui tente d'offrir de la flexibilité à votre infrastructure et à vos opérations, souvent à moindre coût, et (espérons-le) avec une meilleure fiabilité. Certes, l'informatique dématérialisée vise à simplifier les objectifs de service couramment recherchés, tels que l'évolutivité, la fiabilité et les performances, mais il ne s'agit encore que d'une option d'hébergement.

Vous avez besoin d'une plate-forme de gestion des identités et des accès, et Active Directory répond à ce besoin sur site ou chez votre hébergeur, dites-vous déjà ?

Le fait de changer l'emplacement physique de vos services de réseau ne modifie pas vos exigences.

Active Directory est très extensible. Même si un grand nombre de systèmes ne dépendent pas directement d'AD DS, vous pouvez toujours l'utiliser pour gérer des composants d'infrastructure "autonomes", hébergés dans le nuage ou ailleurs.

Si vous continuez à utiliser la plateforme Windows et les logiciels intermédiaires de Microsoft, le simple niveau de prise en charge de l'authentification Active Directory dans l'informatique dématérialisée nécessite des services de domaine Active Directory, encore plus que sur site.

Le nuage sur toute la ligne

Toujours aussi enthousiaste à l'idée de tout transférer dans le nuage ? Faites-le ! Virtualisez vos contrôleurs de domaine Il ne s'agit pas d'un obstacle. Il s'agit simplement d'une autre solution d'externalisation :-)

Je pense que la vraie question est de savoir si vous pouvez déplacer votre "boutique Windows" centrée sur MS vers l'informatique dématérialisée. sans AD DS

Répondu el 25 de Janvier, 2014 par Mathias R. Jessen (24807 Points )

5voto

longneck avatar
longneck Points 22437

Pourriez-vous ? Oui. Le voudriez-vous ? Je ne crois pas. Toutes les solutions hébergées que vous avez mentionnées prennent en charge la fédération AD, et puisque vous voulez un SSO partout, le seul moyen universel d'y parvenir sera AD.

Et des produits comme LastPass sont des coffres-forts pour mots de passe, pas des SSO.

Répondu el 24 de Janvier, 2014 par longneck (22437 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X