考虑到基本的Windows基础结构:
>域控制器
> Exchange 2007/2010/2013
> Sharepoint
> sql
>文件服务器/打印服务器
> AD集成DNS
> AD认证的第三方设备(比方说802.1X用于网络,也许还有一些内容过滤等)
> IT应用程序/硬件/等上的AD / LDAP认证“管理”功能.
>也许是一些KMS的东西
>如果你愿意,可以投入CA.
>本土应用程序
>第三方内部应用程序
现在,让我们全力以赴,决定我们要去云端.我们签约将Exchange / Sharepoint /文件服务迁移到Office 365.现在,sql也将托管在Azure之类的东西上.我们已经摆脱了对AD-DNS的需求,只需通过简单的Windows DNS服务器运行所有内容即可.我们仍然需要802.1X,如果可能的话,我们希望我们的各种云应用程序都能使用SSO.本土和第三方内部应用程序可能会保留,但能够使用内部用户数据库而不是AD身份验证
问题是……我们真的需要Active Directory吗?
或者更重要的是,AD内部部署甚至托管通过Azure或类似的(ADFS)或通过Azure或类似方式在托管VM上运行ADDS.可能/我们应该寻找其他东西,比如第三方SSO选项,如http://www.onelogin.com/partners/app-partners/office-365/或类似的,可以提供SSO功能,即使它像LastPass一样简单或类似的每个用户?
如果云中的其他所有内容,AD会满足哪些合法需求?
如果将以前依赖AD的所有内容移动到不依赖于AD身份验证的SaaS产品,那么以MS为中心的基础架构是否可以完全没有AD?
>安全审核员进来说我们的默认工作站密码策略不够好.为了在5,000台机器上更改密码复杂性和过期等,我们必须编写一个(非平凡的)脚本并安排在所有机器上运行. (顺便说一句,抓住笔记本电脑祝你好运!)
>映射部门打印机.当然,我们可以使用IP号码.这意味着如果部门A和部门B进入打印机大战,则补救措施包括放下打印机,然后跟随违规者返回工作站以从工作站中取出打印机. (我想你可以购买打印管理软件.)另外,如果打印机不应该使用它,那么打印机最初是如何在他们的工作站上完成的?你将如何阻止它再次在那里结束?
> WSUS有注册表项,因此从技术上讲,您不需要AD来进行补丁管理.但是,如果在图像中包含这些注册表项,则需要确保并删除一些键(SusClientID和PingID),否则它们永远不会获得更新.或者,为了更具体和准确,只有其中一个将获得更新.
>软件安装.你可以使用电动工具(LANdesk,Altiris等)来做这些,但这是多余的钱.
>“Poison”打印机驱动程序.我见过其中的几个.最好的补救措施是具有更新驱动程序的打印队列.
>除非我们在点和打印限制中设置允许的林/允许主机,否则Windows 7打印将具有史诗般的发脾气.如果所有打印机都是ip-only,只要User1永远不想使用User2的本地打印机,也许这不是什么大问题.没有AD,我们的技术人员必须在工作站或主映像上使用gpedit.
>您正在假设云交换,但我还要补充说,电子邮件迁移和其他没有AD的大型基础架构变更在客户端是痛苦的.我编写了“从旧的失败迁移/添加工作站删除软件到AD /从用户本地域迁移用户的配置文件到用户/降级用户从高级用户/更改防火墙”工作并通过Altiris运行它们的脚本. (微软顾问建议我们用拇指驱动器雇用临时工,直到我向他们展示我的功夫.)
此外,当你告诉他们你有工作组而不是域时,有些软件供应商看着你,就像你有三个脑袋一样. Altiris在工作组中运行,但例如,您的桌面技术人员永远不会更改其密码. (好的,好的.他们可以更改密码.但他们也必须通过您的多维数据集摆动并在服务器中输入新密码,或者告诉您他们的新密码是什么.)
我得到的是:你可以管理很多没有AD的工作站,但你可能需要购买替代软件,即使使用不错的软件,你也会遇到痛苦的事情.