如果Windows商店将“一切”移到云中，它是否仍需要Active Directory？

摆脱这个问题：我真的需要MS Active Directory吗？朝着2014年的新方向发展。

考虑基本的Windows基础结构：

• 域控制器
• Exchange 2007/2010/2013
• 共享点
• 的SQL
• 文件服务器/打印服务器
• AD集成DNS
• 经过AD身份验证的第三方设备（例如，用于联网的802.1X以及某些内容过滤等）
• IT应用程序/硬件/等上具有AD / LDAP身份验证的“管理”功能。
• 也许一些KMS的东西
• 如果愿意，可以加入CA
• 本地应用
• 第三方内部应用

现在，让我们将其全部撕掉，并决定我们要进入云计算。我们已经签订了将Exchange / Sharepoint /文件服务迁移到Office 365的合同。SQL现在也将托管在类似Azure的东西上。我们摆脱了对AD-DNS的需求，只需通过简单的Windows DNS服务器运行所有内容即可。我们仍然需要802.1X，如果可能，我们希望对各种云应用程序使用SSO。自行开发和第三方的内部应用程序可能会保留，但可以使用内部用户数据库代替AD身份验证

问题是...我们真的需要Active Directory吗？

甚至更重要的是，AD本地部署，甚至通过Azure或类似的（ADFS）托管，或者通过Azure或类似的托管的VM运行ADDS。能否/我们应该寻找其他类似第三方的SSO选项，例如http://www.onelogin.com/partners/app-partners/office-365/或类似的东西，即使它简单，也可以提供SSO功能每个用户的LastPass或类似内容？

如果云中的其他所有内容都满足AD的什么样的合法需求？

如果将以MS为中心的基础架构将以前依赖于AD的所有内容转移到不依赖AD身份验证的SaaS产品中，是否可以完全不用AD？

我已经管理了大量没有广告的工作站。我拥有强大的工具（Altiris部署解决方案），但在某些情况下仍然会受到伤害：

1. 安全审核员进来，说我们的默认工作站密码策略还不够好。为了更改5,000台计算机上的密码复杂性和有效期等，我们必须编写一个（非常重要的）脚本并计划在所有计算机上运行。（顺便说一句，祝您好运来接笔记本电脑！）
2. 制图部门的打印机。当然，我们可以使用IP地址。这意味着，如果部门A和部门B陷入打印机大战，则补救方法包括放样打印机，然后将违规者带回他们的工作站，以从其工作站中删除打印机。（我想您可以购买打印管理软件。）此外，如果打印机不应该使用该打印机，那么该打印机如何首先放在他们的工作站上，又如何防止它再次出现在那里？
3. WSUS有注册表项，因此从技术上讲，您不需要AD即可进行补丁程序管理。但是，如果在映像中包括这些注册表项，则需要确保并删除几个项（SusClientID和PingID），否则它们将永远无法获得更新。或者，更具体和准确地讲，只有其中之一将获得更新。
4. 软件安装。您可以使用强大的工具（LANdesk，Altiris等）来完成这些任务，但这是多余的钱。
5. “毒药”打印机驱动程序。我看过其中一些。最好的解决方法是使用更新的驱动程序的打印队列。
6. 除非我们在点和打印限制中设置允许的林/允许主机，否则Windows 7打印将具有史诗般的刺激性。如果所有打印机都仅使用ip，那么只要User1不想使用User2的本地打印机，这可能就没什么大不了的。没有广告，我们的技术人员要么在工作站上要么在主映像上使用gpedit。
7. 您假设使用的是Cloud Exchange，但我还要补充一点，在没有AD的情况下，电子邮件迁移和其他大型基础架构更改会给客户端带来痛苦。我编写了“将软件从失败的旧迁移/添加工作站删除到AD /将用户的配置文件从本地迁移到域/将用户从管理员迁移到高级用户/对防火墙进行更改”的脚本，并通过Altiris运行它们。（微软顾问建议我们在拇指驱动器上雇用临时工，直到我向他们展示我的功夫。）

另外，有些软件供应商告诉您您拥有工作组而不是域，就好像您有三个负责人。Altiris在工作组中运行，但是例如，永远不允许您的台式机技术人员更改其密码。（好的，好的。他们可以更改密码。但是他们也必须绕过您的多维数据集，然后将新密码输入服务器，或者告诉您新密码是什么。）

我要说的是：您可以在没有广告的情况下管理许多工作站，但是您可能需要购买替代软件，即使使用了不错的软件，您也会遇到麻烦。

AD和GPO仍将处理工作站的管理。没有它，您将为第三方应用程序付费，或者实际上是真的非常信任您的用户。

如果您要严格执行BYOD之类的操作，或者仅分发无状态的VM进行工作，那么这将不太适用。

云只是另一个ISP

令人兴奋的是，任何云都只是另一家外包提供商-该公司试图以更低的成本和（希望）更好的可靠性为您的基础架构和运营提供灵活性。当然，云旨在简化常见的服务目标，例如可伸缩性，可靠性和性能-但它仍然只是托管选项

您需要身份和访问管理平台，而Active Directory是否适合需要本地部署或托管提供商提供的服务？

更改网络服务的物理位置不会改变您的要求。

Active Directory具有高度的可扩展性，即使有大量不直接依赖于AD DS的系统，您仍然可以使用它来管理托管在云或其他任何地方的“独立”基础架构组件。

如果您继续使用Windows平台和Microsoft中间件，则Cloud中对Active Directory身份验证的绝对支持将带来Active Directory域服务的支持，甚至比内部部署更多。

一路云

还是真的热衷于将所有内容迁移到云吗？做吧！虚拟化您的域控制器，这不是一个表演障碍。这只是另一个外包解决方案:-)

我认为真正的问题是，是否可以在没有 AD DS的情况下将以MS为中心的“ Windows商店”迁移到云端

此问题的中心点取决于您对AD所做的工作。如果仅将其用作仅用于向云应用程序进行身份验证的SSO凭据的中央存储，则当然可以将其替换为另一个中央存储。

但是，AD可以做的还不止这些：

• 软件部署。

• 操作系统部署。

• 打印机管理。

• 用户配置文件管理（例如，使用漫游配置文件或UE-V允许用户在任何地方登录并保留其本地数据和自定义设置）。我认为即使您所有的服务都在云中，这仍然很重要，因为数据仍然可以是本地的，并且客户端计算机仍然会崩溃或被替换。

• 可扩展性：我宁愿通过ADUC和“本地” PowerShell脚本等管理数千个用户帐户的配置和持续管理，而不是单纯通过Office 365。

• 与非标准应用程序的集成-例如，我们有一个基于RFID的ID卡系统，该系统与AD集成在一起，我真的不愿意尝试使其与基于Azure的ADFS进行通信。

当然，并非所有这些事情每次都会相关-我对可伸缩性的评论相反，只有几个用户的小型企业当然可以购买Office 365或Google Apps，以及本周在售的任何笔记本电脑。如果他们认为这对他们来说不那么痛苦，那么对于最近的超市，对于每个新员工来说。

您可以...吗？是。你要吗 我不这么认为。您提到的所有托管解决方案都支持AD联合，并且由于您希望在任何地方都使用SSO，因此实现这一目标的唯一通用方法就是AD。

像LastPass这样的产品是密码保险库，而不是SSO。

除了一些非常好的答案之外，我还想反问这个问题：如果您正在运行Microsoft商店，那么没有 Active Directory有什么意义？您无需使用AD 就可以使用和管理Microsoft产品，但是它们只是设计用于与之配合使用，并且本机AD集成总是比您可以使用的任何解决方法都要好。

复杂程度较低？没有广告实际增加了更多的复杂环境，因为你必须找到一切AD合适的替代品会做乱的盒; 让广告添加...是什么？几个域控制器（很可能是VM，因此甚至不需要其他硬件）？任何初级Windows管理员都可以管理一个小型AD，而所有高级Windows管理员都可以管理一个大型AD。如果您对Microsoft产品足够熟练，能够找到并实施解决方案以解决没有AD的问题，那么您绝对有足够的技能来实际使用它。

费用？哪些费用？您已经说过要使用完整的云，因此另外几个Azure VM甚至无法节省预算。考虑到您已经在在线服务上花费了多少，甚至没有几个Windows Server的物理DC许可证（更不用说客户端Windows和Office许可证了，您仍然需要所有用户使用）。

TL; DR：总而言之，考虑到实施AD的难度（即使是大规模的实施）有多么微不足道，以及获得AD的收益，我真的看不到没有 AD的任何意义。

您不需要“ AD”，但是它将使您的生活更轻松。根据您的大小，确保您具有2台服务器，1个主服务器，1个备份，否则，如果丢失AD服务器（只有1个），则需要重建域，除非您的备份是SOLID。