Windows 상점이 "모든 것"을 클라우드로 옮기더라도 여전히 Active Directory가 필요합니까?


49

이 질문에서 벗어나기 : 정말로 MS Active Directory가 필요합니까? 2014 년 새로운 방향으로

기본 Windows 인프라 고려 :

  • 도메인 컨트롤러
  • Exchange 2007/2010/2013
  • 공유 지점
  • SQL
  • 파일 서버 / 인쇄 서버
  • AD 통합 DNS
  • AD 인증 타사 장치 (네트워킹 및 일부 콘텐츠 필터링 등의 경우 802.1X라고 가정)
  • IT 앱 / 하드웨어 등의 AD / LDAP 인증 "관리"기능
  • 아마도 일부 KMS 물건
  • 원한다면 CA를 던져
  • 자란 앱
  • 타사 사내 앱

이제 모든 것을 찢어 내고 클라우드로가는 것을 결정합시다. Exchange / Sharepoint / File Services를 Office 365로 이전하기로 계약했습니다. 이제 Azure와 같은 SQL에서도 SQL이 호스팅됩니다. 우리는 AD-DNS의 필요성에서 벗어나 간단한 Windows DNS 서버를 통해 모든 것을 실행합니다. 우리는 여전히 802.1X가 필요하며 다양한 클라우드 앱에 가능한 경우 SSO를 원합니다. 자체 개발 및 타사 사내 앱은 그대로 유지되지만 AD 인증 대신 내부 사용자 데이터베이스를 사용할 수 있습니다.

문제는 ... 실제로 Active Directory가 필요합니까?

또는 AD는 온-프레미스 또는 Azure 또는 유사 (ADFS)을 통해 호스팅되거나 Azure 또는 유사을 통해 호스팅 된 VM에서 ADDS를 실행합니다. / 우리는 다음과 같은 제 3 자 SSO 옵션과 같은 다른 것으로보고해야 할 수 http://www.onelogin.com/partners/app-partners/office-365/ 그것만큼 간단 경우에도 SSO 기능을 제공 할 수 있습니다 또는 유사한 각 사용자에 대한 LastPass 또는 유사?

클라우드의 다른 모든 것이 있으면 AD는 어떤 종류의 합법적 인 요구를 충족합니까?

이전에 AD에 의존했던 모든 것을 AD 인증에 의존하지 않는 SaaS 오퍼링으로 옮기면 MS 중심 인프라가 AD를 전혀 갖지 못한 채 벗어날 수 있습니까?


7
사용자의 워크 스테이션은 "클라우드"로 이동하지 않을 것입니다. 그렇다면 클라우드를 어떻게 사용하는지 알고 싶습니다.
Michael Hampton

아마존에 호스팅 된 VDI 제품이 없습니까? (나에게 미치광이 같은 소리가 들리지만 나는 콩 카운터와 함께 CAPEX 대 OPEX 전투에 들어갈 것입니다 ...)
Evan Anderson

1
아마존은 베타로 호스팅 된 VDI를 보유하고 있습니다. 다른 회사도 있지만 많은 회사에서는 소프트웨어를 설치할 수 없습니다. Google이 "ipad에서 Windows를 실행"하면 일반적인 사용 사례 인 것처럼 모든 파일을 찾을 수 있습니다. (대표적인 예 : nytimes.com/2012/02/23/technology/personaltech/... )
캐서린 Villyard

답변:


89

AD없이 많은 수의 워크 스테이션을 관리했습니다. 전동 도구 (Altiris Deployment Solution)가 있었지만 특정 상황에서는 여전히 문제가 있습니다.

  1. 보안 감사원이 와서 기본 워크 스테이션 암호 정책으로는 충분하지 않다고 말합니다. 5,000 대의 컴퓨터에서 암호 복잡성 및 만료 등을 변경하려면 (사소한) 스크립트를 작성하고 모든 컴퓨터에서 실행되도록 예약해야했습니다. (노트북을 잡는 행운을 빕니다!)
  2. 부서 프린터 매핑 물론, 우리는 IP 번호를 사용할 수 있습니다. 즉, 부서 A와 부서 B가 프린터 전쟁에 처한 경우, 구제 조치에는 프린터를 스테이 킹 한 다음 문제가있는 워크 스테이션으로 다시 돌아와 워크 스테이션에서 프린터를 제거해야합니다. (인쇄 관리 소프트웨어를 대신 구매할 수 있다고 가정합니다.) 또한 프린터를 사용하지 않을 경우 어떻게 프린터를 워크 스테이션에 넣었을까요? 그리고 다시는 끝나지 않게하려면 어떻게해야합니까?
  3. WSUS에 대한 레지스트리 키가 있으므로 기술적 으로 패치 관리를 위해 AD가 필요하지 않습니다. 그러나 이미지에 이러한 레지스트리 키를 포함하는 경우 몇 개의 키 (SusClientID 및 PingID)를 확인하고 삭제해야합니다. 그렇지 않으면 업데이트 가 적용 되지 않습니다 . 또는보다 구체적이고 정확하게하기 위해 그들 중 하나만 업데이트를받습니다.
  4. 소프트웨어 설치 전동 공구 (LANdesk, Altiris 등)로 이러한 작업을 수행 할 수 있지만 추가 비용이 발생합니다.
  5. "독"프린터 드라이버. 나는이 두 가지를 보았다. 가장 좋은 해결책은 업데이트 된 드라이버가있는 인쇄 대기열입니다.
  6. 허용 된 포리스트 / 허용 된 호스트를 지정하고 인쇄 제한을 설정하지 않는 한 Windows 7 인쇄에는 놀라운 효과가 있습니다. User1이 User2의 로컬 프린터를 사용하기를 원하지 않는 한 모든 프린터가 ip 전용 인 경우에는 큰 문제가되지 않을 것입니다. AD가 없으면 우리 기술자들은 워크 스테이션이나 마스터 이미지에서 gpedit를 사용해야했습니다.
  7. 클라우드 Exchange를 가정하고 있지만 전자 메일 마이그레이션 및 AD가없는 다른 대규모 인프라 변경은 클라이언트 측에서 고통 스럽습니다. 나는 "오래된 실패한 마이그레이션 / 워크 스테이션 추가에서 소프트웨어를 AD로 마이그레이션 / 사용자 프로필을 로컬에서 도메인으로 / 관리자에서 사용자로 강제 전환 / 방화벽으로 변경"Altiris를 통해 실행했다. (Microsoft 컨설턴트는 쿵푸를 보여줄 때까지 엄지 드라이브로 임시 직원을 고용 할 것을 제안했습니다.)

또한 도메인이 아닌 작업 그룹을 가지고 있다고 말할 때 3 개의 헤드가있는 것처럼 보이는 소프트웨어 공급 업체가 있습니다. Altiris는 작업 그룹에서 실행되지만 데스크톱 기술은 예를 들어 암호를 변경할 수 없습니다. (좋아요. 암호를 변경할 수도 있습니다.하지만 큐브로 돌아가서 새 암호를 서버에 입력하거나 새 암호가 무엇인지 알려줘야합니다 .)

내가 얻는 것은 : AD없이 많은 워크 스테이션을 관리 할 수 ​​있지만 교체 소프트웨어를 구입해야 할 수도 있으며 멋진 소프트웨어조차도 고통스러운 일이 발생할 수 있습니다.


15
이 답변을 두 번 올릴 수 있기를 바랍니다. 이 특별하고 드문 트렌치에 대한 경험이 풍부한 설명을 읽는 것이 좋습니다.
ErikE

3
호기심으로 인해 AD가없는 규모의 환경에 대한 비즈니스 이유는 무엇입니까?

2
전임자와 나는 둘 다 AD를 반복해서 요구했다. 우리는 일반적으로 우리가 너무 커서 올해에는 너무 어려울 것이며 내년에는 그것을 할 수 있으며, 그 외에도 Altiris를 가지고 있다고 들었습니다. 1 년 동안 죽어가는 고대 메일 서버가 실패했습니다 (마이그레이션 실패). 내년에 VP는 Exchange가 필요하다고 결정했으며 Exchange를하려면 AD가 있어야했습니다. Numfar, 기쁨의 춤을 춰라!
캐서린 빌라 드

6
+1-AD가없는 작은 고객이 한 명 있는데 그들과 함께 일하는 것은 매우 힘든 일입니다. AD를 사용하는 것은 DHCP를 사용하는 것과 비슷합니다. 클라이언트 컴퓨터가 0 대 이상인 경우 필요합니다.
Evan Anderson

4
나는 AD가없는 그런 끔찍한 환경을 다룰 때 당신의 용기에 감탄해야합니다. 상황이 더 나빠지면 종료했거나 Samba 도메인을 배포했다고 생각합니다. (나는 또한 마지막 비트에서 fu를 스크립팅하는 것에 대해 당신의 비트를 좋아합니다. 기본 작업을 자동화 할 수없는 "sysadmins"의 죽음에 시달리고 있습니다. 컨설턴트들도 기대치를 너무 낮게 설정 한 것은 슬픈 일입니다.)
Evan Anderson

13

AD와 GPO는 여전히 워크 스테이션 관리를 처리합니다. 그것 없이는 타사 응용 프로그램에 대한 비용을 지불하거나 실제로 사용자를 신뢰합니다.

BYOD와 같은 작업을 수행하거나 작업을 위해 상태 비 저장 VM 만 배포하는 경우에는 적용되지 않습니다.


8

클라우드는 또 다른 ISP입니다

모든 클라우드는 다른 아웃소싱 제공 업체 일뿐 아니라 인프라와 운영에 유연성을 제공하고 비용을 낮추고 안정성을 높이려는 회사입니다. 물론 클라우드는 확장 성, 안정성 및 성능과 같은 공통의 인기있는 서비스 목표를 단순화하는 것을 목표로하지만 여전히 호스팅 옵션 일뿐입니다.

Identity and Access Management 플랫폼이 필요하며 온 프레미스 또는 호스팅 제공 업체에 필요한 Active Directory에 적합합니까?

네트워크 서비스의 실제 위치를 변경해도 요구 사항은 변경되지 않습니다.

AD DS에 직접 의존하지 않는 많은 수의 시스템이 있어도 Active Directory는 확장 성이 뛰어나지 만 클라우드 나 다른 곳에서 호스팅되는 "독립형"인프라 구성 요소를 관리하는 데 여전히이를 활용할 수 있습니다.

Windows 플랫폼과 Microsoft 미들웨어를 계속 사용하는 경우 클라우드에서 Active Directory 인증에 대한 단순한 수준의 지원은 온 프레미스 이상의 Active Directory 도메인 서비스를 요구합니다.

끝까지 클라우드

여전히 모든 것을 클라우드로 옮기는 데 관심이 있습니까? 해! 도메인 컨트롤러를 가상화하십시오 . 쇼 스토퍼는 아닙니다. 그것은 또 다른 아웃소싱 솔루션입니다 :-)

실제 질문은 MS 중심의 "Windows shop"을 AD DS 없이 클라우드로 옮길 수 있는지 여부입니다.


이것이 본질적으로 원래의 질문을 반복하는 덜 정확한 방법이 아닙니까? 나는 당신의 요점을보고 싶지만 대답을 여러 번 읽었습니다. 명확히 할 수 있습니까? ( '요구 사항이 변경되지 않음'부분이 전체 소싱 혼란을 잃지 않습니까? 기능적 요구 사항과 비 기능적 요구 사항이 모두 철저한 조사를 거쳐 소싱 프로젝트에서 자주 변경 사항을 확인합니다).
ErikE

마지막 진술은 정확히 내 요점입니다. 모호한 표현에 유감입니다. 클라우드 측면은 다른 주택 / 호스팅 / 가상화 솔루션보다 클라우드를 선택할 경우 비즈니스 요구 사항 이 크게 변하지 않는다는 점에서 다른 소싱 ​​프로젝트와 다르지 않습니다. 즉, 귀하의 권리, 내 대답은 소싱과 관련하여 실제로 의미있는 조언을 겁쟁이는 아닙니다
Mathias R. Jessen

비즈니스 요구 사항이 크게 변하지 않는다는 개념 은 클라우드 공급 업체 의 일반적인 판매 지점 입니다. 구매 포인트 가 반드시 그 개념과 일치하지는 않습니다. Example01 : 데이터 저장 및 처리에는 수행 할 수있는 국가 (국가)에 대한 규제 평가가 필요할 수 있습니다. 예 02 : Snowden 사건은 클라우드가 기밀성과 무결성에 대한 적극적인 위협으로 밝혀졌습니다. 스웨덴은 실제로 몇 년 전에 외국 산업 클라우드 스파이 활동에 대한 증거 기반 경고를 받았습니다 : svd.se/naringsliv/myndighet-slar-larm-om-it-lackor_5909395.svd
ErikE

... 우연의 일치있다 : 스웨덴 신문 기사 그냥 사소한 후속있어,이 정보에 상대적으로 부족한 경우에도 : theguardian.com/world/2014/jan/26/... 내 요점은 단순히 비즈니스 요구 사항 평가 외부 주택 / 호스팅 / 클라우드 공급 업체가 대안으로 고려 될 때 기준이 높아지는 경향이 있습니다. 당연히, 명시적인 비즈니스 요구 사항으로 인해 이로 인해 다소 변화가 생기는 경우가 있습니다.
ErikE

1
이 줄에 +1 : "네트워크 서비스의 실제 위치를 변경해도 요구 사항이 변경되지 않습니다."
Thomas

8

이 문제의 핵심은 AD가 자신을 위해하는 것으로 보는 것에 달려 있습니다. 클라우드 앱 인증에만 사용되는 SSO 자격 증명의 중앙 저장소로만 사용되는 경우 다른 중앙 저장소로 교체 할 수 있습니다.

그러나 AD는 그 이상을 할 수 있습니다.

  • 소프트웨어 배포.

  • OS 배포.

  • 프린터 관리.

  • 사용자 프로필 관리 (예 : 로밍 프로필 또는 UE-V 를 사용하여 사용자가 어디에서나 로그인하여 로컬 데이터 및 사용자 지정을 유지하도록 허용) 데이터가 여전히 로컬에 있고 클라이언트 시스템이 여전히 고장 나거나 교체되기 때문에 모든 서비스가 클라우드에있는 경우에도 이것이 중요하다고 생각합니다.

  • 확장 성 : Office 365보다는 ADUC 및 '로컬'powershell 스크립팅 등을 통해 수천 명의 사용자 계정의 프로비저닝 및 지속적인 관리를 관리하고 싶습니다.

  • 비표준 응용 프로그램과의 통합-예를 들어 AD와 통합되는 RFID 기반 ID 카드 시스템을 보유하고 있으며 Azure 기반 ADFS와 통신을 시도하는 것은 그리 어렵지 않습니다.

물론,이 모든 것이 항상 관련성이있는 것은 아닙니다. 확장성에 대한 저의 반대 의견은 소수의 사용자 만있는 소기업이 Office 365 또는 Google Apps를 구매할 수 있다는 것입니다. 그들이 가장 고통스럽지 않다고 판단 할 때 가장 가까운 슈퍼마켓.


어떤 슈퍼마켓에서 노트북을 판매합니까?
kittykittybangbang

Aldi, Tesco, Asda / Walmart 등이 있습니다.
Rob Moir

흠, 여전히 혼란스러워. 유럽인이어야합니다 ..?
kittykittybangbang

5

당신은 할 수 있습니까? 예. 하시겠습니까? 나는 그렇게 생각하지 않습니다. 언급 한 모든 호스팅 솔루션은 AD 페더레이션을 지원하며 SSO가 AD가 될 유일한 보편적 인 방법을 모든 곳에서 원하기 때문에 SSO를 원합니다.

LastPass와 같은 제품은 SSO가 아닌 비밀번호 저장소입니다.


LastPass가 SSO가 아니라는 것은 사실이지만, 최종 사용자에게는 관계가 없습니다. 그들이 아는 것은 여러 개의 비밀번호를 기억할 필요가 없다는 것입니다. OneLogin이 더 좋은 예입니다. 토론의 다른 측면을 잠시 동안 취했습니다 (나는 토론 중입니다.) 라이선스 / 오버 헤드 등을 다루고 싶지 않을 수도 있습니다. 100 % 클라우드로 이동하면 AD를 타사의 SSO 옵션이 AD의 대안 일 수 있습니까?
TheCleaner

라이센스 비용에 관한 것이면 OpenLDAP는 사용자의 요구를 충족 시키지만 유지 관리 / 시간 비용은 라이센스 비용을 능가 할 것입니다.
제임스 스넬

2

정말 좋은 답변 외에도 Microsoft 상점을 운영하는 경우 Active Directory 가 없는 점은 무엇 입니까? 당신은 할 수 사용하고 AD없이 Microsoft 제품을 관리하기 위해 주위를 얻을 수 있지만, 그들은 그냥 작동하도록 설계되며, 기본 AD 통합은 항상 당신이 던질 수있는 해결 방법보다 더 나은 될 것입니다.

덜 복잡합니까? AD를 갖지 않으면 실제로 환경에 더 많은 복잡성이 추가됩니다. AD가 기본적으로 수행 한 모든 작업에 적합한 대안을 찾아야하기 때문입니다. AD가 있으면 ... 뭐? 두 개의 도메인 컨트롤러 (VM이 될 수 있으므로 추가 하드웨어가 필요하지 않음)? 모든 주니어 Windows 관리자는 작은 AD를 관리 할 수 ​​있으며, 모든 고위 관리자는 큰 AD를 관리 할 수 ​​있습니다. AD가없는 경우 해결 방법을 찾아 구현할 수있을만큼 Microsoft 제품에 능숙한 사용자라면 실제로 사용할 수있는 숙련 된 사용자 일 것입니다.

소송 비용? 어떤 비용? 이미 전체 클라우드를 사용한다고 말 했으므로 몇 개의 추가 Azure VM이 예산에서 약간의 찌그러짐을 할 수도 없습니다. 온라인 서비스에 이미 지출하고있는 것을 고려할 때 물리적 DC에 대한 Windows Server 라이센스 몇 개도 마찬가지입니다 (모든 사용자에게 필요한 클라이언트 Windows 및 Office 라이센스는 말할 것도 없습니다).

TL; DR : AD 를 전혀 사용하지 않는 데있어 (어떻게 든 대규모로도) 구현할 수있는 정도와 그것을 통해 얻을 수있는 이익을 고려할 때 AD 가 없다는 점은 전혀 알지 못합니다 .


나는 이것에 동의하며 다른 답변 및 주요 요점 / 테이크 아웃과 유사합니다. 우리 모두는 대부분의 서비스가 AD 없이는 강제로 사는 것보다 AD를 훨씬 더 쉽게 이용할 수 있다고 동의합니다. 또한 (내 OP와 함께) Azure는 O365에 긴밀하게 통합 된 ADaaS를 제공합니다. Azure / O365 전용 경로를 따라 작은 상점에 대한 모든 경로를 "클라우드"에 배치하는 경우 더 많을 것입니다. AD를 사용하지 않는 고통.
TheCleaner

-2

당신은 AD를 "필요"하지 않지만 인생을 더 편하게 할 것입니다. 크기에 따라 2 개의 서버, 1 개의 기본, 1 개의 백업이 있는지 확인하십시오. 그렇지 않으면 AD 서버를 잃어버린 경우 (1 개만있는 경우) 백업이 SOLID가 아닌 한 도메인을 다시 작성해야합니다.


4
죄송하지만 질문의 요점을 완전히 놓친 것 같습니다.
Rob Moir
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.