Windowsショップが「すべて」をクラウドに移動しても、Active Directoryが必要ですか？

この質問から脱却します。MSActive Directoryは本当に必要ですか？2014年の新しい方向に。

基本的なWindowsインフラストラクチャを考慮に入れる：

• ドメインコントローラー
• Exchange 2007/2010/2013
• 共有ポイント
• SQL
• ファイルサーバー/プリントサーバー
• AD統合DNS
• AD認証済みのサードパーティデバイス（ネットワークや場合によってはコンテンツフィルタリングなどのために802.1Xを使用します）
• ITアプリ/ハードウェア/などのAD / LDAP認証「管理」機能。
• おそらくいくつかのKMSのもの
• 必要に応じてCAを投入します
• 自作アプリ
• サードパーティの社内アプリ

それでは、それをすべてリッピングして、クラウドに行くことに決めましょう。Exchange / Sharepoint / File ServicesをOffice 365に移行することを契約しました。SQLはAzureのようなものでもホストされるようになりました。AD-DNSの必要性をなくし、単純なWindows DNSサーバーを介してすべてを実行します。まだ802.1Xが必要です。可能であれば、さまざまなクラウドアプリへのSSOを希望します。自社開発およびサードパーティの社内アプリはおそらく残るでしょうが、AD認証の代わりに内部ユーザーデータベースを使用する機能があります

質問は...本当にActive Directoryが本当に必要なのでしょうか？

さらに、ADオンプレミス、Azureなどを介してホストされる（ADFS）、またはAzureなどを介してホストされたVMでADDSを実行することもできます。http://www.onelogin.com/partners/app-partners/office-365/など、サードパーティのSSOオプションなど、SSOの機能を簡単に提供できるものを探しますかLastPassまたは各ユーザーの類似？

クラウド内の他のすべてがADの場合、どのような正当なニーズが満たされますか？

以前はADに依存していたすべてをAD認証に依存しないSaaSサービスに移行する場合、MS中心のインフラストラクチャはADをまったく使用しないで済むでしょうか。

ADなしで多数のワークステーションを管理しました。電動工具（Altiris Deployment Solution）がありましたが、特定の状況ではまだ痛いです：

1. セキュリティ監査人が入り、デフォルトのワークステーションパスワードポリシーでは不十分であると言います。5,000台のマシンでパスワードの複雑さや有効期限などを変更するには、（重要な）スクリプトを作成し、すべてのマシンで実行するようにスケジュールする必要がありました。（ところで、ラップトップを捕まえて頑張ってください！）
2. 部門のプリンターのマッピング。もちろん、IP番号を使用できます。つまり、部門Aと部門Bがプリンター戦争に巻き込まれた場合、解決策は、プリンターを杭打ちし、犯罪者をワークステーションに戻し、プリンターをワークステーションから取り外すことです。（代わりに印刷管理ソフトウェアを購入できると思います。）また、そのプリンターが使用することになっていない場合、そもそもそのプリンターはワークステーションでどうやって終了したのでしょうか。
3. WSUSにはレジストリキーがあるため、技術的にはパッチ管理にADは必要ありません。ただし、これらのレジストリキーをイメージに含める場合は、いくつかのキー（SusClientIDとPingID）を確認して削除する必要があります。そうしないと、キーが更新されません。または、より具体的かつ正確にするために、そのうちの1つだけが更新を取得します。
4. ソフトウェアのインストール。電動工具（LANdesk、Altirisなど）でこれらを実行できますが、それは余分なお金です。
5. 「毒」プリンタードライバー。これらのいくつかを見てきました。最善の解決策は、更新されたドライバーを備えた印刷キューです。
6. Windows 7の印刷には、ポイントおよび印刷の制限で許可されたフォレスト/許可されたホストを設定しない限り、epiがあります。User1がUser2のローカルプリンターを使用したくない限り、すべてのプリンターがIPのみである場合、おそらくこれは大した問題ではないでしょう。ADがなければ、技術者はワークステーションまたはマスターイメージでgpeditを使用する必要がありました。
7. クラウドExchangeを想定していますが、ADを使用しないメールの移行やその他の大規模なインフラストラクチャの変更は、クライアント側で苦痛を伴うことも追加します。「古い失敗した移行/追加ワークステーションからADへのソフトウェアの削除/ローカルからドメインへのユーザープロファイルの移行/管理者からパワーユーザーへのユーザーの移行/ファイアウォールの変更を行う」ジョブをスクリプト化し、Altirisで実行しました。（Microsoftのコンサルタントは、私がカンフーを見せてくれるまで、サムドライブで臨時雇用者を雇うことを提案していました。）

また、ドメインではなくワークグループがあることを伝えると、3つの頭があるように見えるソフトウェアベンダーもいます。Altirisはワークグループで実行されますが、たとえば、デスクトップ技術者がパスワードを変更することは許可されていません。（オーケー、オーケー。彼らはパスワードを変更できます。しかし、彼らはあなたのキューブを振ってサーバーに新しいパスワードを入力するか、新しいパスワードが何かを教えなければなりません。）

私が得ているのは、ADなしで多くのワークステーションを管理できることですが、交換用のソフトウェアを購入する必要があるかもしれません。

ADとGPOは引き続きワークステーションの管理を処理します。それなしでは、サードパーティのアプリケーションにお金を払ったり、本当に本当にユーザーを信頼しています。

厳密にBYODのようなことをしている場合、または作業用にステートレスVMのみを配布している場合、これはそれほど当てはまりません。

クラウドは単なる別のISPです

エキサイティングですが、クラウドは単なるアウトソーシングプロバイダーに過ぎません。多くの場合、インフラストラクチャと運用に柔軟性を提供しようとする企業です。確かに、クラウドは、スケーラビリティ、信頼性、パフォーマンスなどの一般的に求められているサービス目標を簡素化することを目的としていますが、それはまだ単なるホスティングオプションです

Identity and Access Managementプラットフォームが必要で、Active Directoryがオンプレミスを必要とするか、ホスティングプロバイダーが既に必要としていますか？

ネットワークサービスの物理的な場所を変更しても、要件は変わりません。

Active Directoryは拡張性が高く、AD DSに直接依存しない多数のシステムがある場合でも、クラウドまたはその他の場所でホストされる「スタンドアロン」インフラストラクチャコンポーネントを管理するために利用できます。

WindowsプラットフォームとMicrosoftミドルウェアを引き続き使用する場合、クラウドでのActive Directory認証の完全なレベルのサポートは、オンプレミス以上のActive Directoryドメインサービスを要求します。

ずっとクラウド

すべてをクラウドに移行することに本当に熱心ですか？やれ！ドメインコントローラーを仮想化します。これは単なる見栄えではありません。それはただのアウトソーシングソリューションです:-)

本当の問題は、AD DS なしで MS中心の「Windowsショップ」をクラウドに移動できるかどうかだと思います

この問題の中心点は、ADがあなたに何をしていると思うかに依存します。クラウドアプリの認証にのみ使用されるSSO資格情報の中央ストアとしてのみ使用されている場合は、もちろん、別の中央ストアに置き換えることができます。

しかし、ADはそれ以上のことができます。

• ソフトウェアの展開。

• OSの展開。

• プリンター管理。

• ユーザープロファイル管理（例：移動プロファイルまたはUE-Vを使用して、ユーザーがどこからでもログインし、ローカルデータとカスタマイズを保持できるようにする）。すべてのサービスがクラウドにある場合でも、これは依然として重要だと思います。データは依然としてローカルであり、クライアントマシンは故障または交換されるからです。

• スケーラビリティ：純粋にOffice 365を使用するよりも、ADUCおよび「ローカル」のPowerShellスクリプトなどを使用して、数千のユーザーアカウントのプロビジョニングと継続的な管理を管理したいです。

• 非標準アプリケーションとの統合-たとえば、ADと統合するRFIDベースのIDカードシステムがあり、AzureベースのADFSと通信させようとは思いません。

もちろん、これらのすべてが毎回関連するわけではありません-スケーラビリティに関する私のコメントの逆は、少数のユーザーしかいない中小企業は確かにOffice 365またはGoogle Appsに加えて今週発売されているラップトップを購入できるということです最寄りのスーパーマーケット、新規採用者ごとに、これが彼らにとって苦痛が少ないと判断した場合。

出来ますか？はい。しますか？そうは思いません。あなたが言及したホストされたソリューションはすべてADフェデレーションをサポートします。そして、どこでもSSOを望むので、それを達成する唯一の普遍的な方法はADになります。

また、LastPassなどの製品は、SSOではなくパスワードボールトです。

いくつかの本当に良い答えは別として、私は質問を逆にしたいと思います：Microsoftショップを運営している場合、Active Directoryを持たないことのポイントは何ですか？あなたはできる使用に周りを取得し、ADせずにMicrosoft製品を管理するが、彼らはそれで動作するように設計されており、いずれかがあなたに投げることができます回避するよりも、ネイティブ広告の統合は常に良いでしょう。

複雑さは少ない？ADを持たないことは、実際には環境にさらに複雑さを追加します。ADですぐに実行できるすべての適切な代替手段を見つける必要があるためです。ADを追加すると...何？いくつかのドメインコントローラー（VMである可能性が高いため、追加のハードウェアも必要ありません）下位のWindows管理者は小さなADを管理でき、上級の管理者はすべて大きなADを管理できます。ADを使用しないための回避策を見つけて実装できるほどマイクロソフト製品に習熟している場合、実際に使用するのに十分なスキルがあります。

費用？どちらがかかりますか？既にフルクラウドに移行していると言っているので、追加のAzure VMを2つ追加しても、予算をわずかに抑えることはできません。オンラインサービスで既に使用しているものを考えると、物理的なDCのWindows Serverライセンスも数個ではありません（すべてのユーザーに必要なクライアントWindowsおよびOfficeライセンスは言うまでもありません）。

TL; DR：全体として、ADを実装するのが簡単であること（大規模であっても）と、ADを使用することでどれだけ利益が得られるかを考えると、ADを持たないことに本当に意味はありません。

あなたはADを「必要としない」が、それはあなたの人生を楽にするだろう。サイズに応じて、2台のサーバー、1台のプライマリ、1台のバックアップがあることを確認してください。そうでない場合、ADサーバーが失われた場合（1台のみ）、バックアップがSOLIDでない限り、ドメインを再構築する必要があります。