Если магазин Windows перемещает “все” в облако, ему все еще нужен Active Directory?
Gitosis не сохраняется и был удержан от использования в пользу gitolite (страница промерзавца). Часть причины этого из-за чрезвычайно подверженной ошибкам установки и установки gitosis, как Вы узнали.
Addtionally Вы упоминаете Вас, нужен демон для git://протокол. Ни один gitosis или gitolite обеспечивают это или необходимы для него. Gitolite действительно дает возможность управления, какие репозитории доступны через git://протокол, но внешний мерзавец-демон должен уже быть установлен, настроен, и выполнение.
Я управлял большим количеством рабочих станций без AD. У меня были электроинструменты (решение для развертывания Altiris), но в определенных ситуациях он все равно мешал:
- Аудитор безопасности приходит и говорит, что наша политика паролей рабочей станции по умолчанию недостаточно хороша. Чтобы изменить сложность пароля, срок его действия и т. Д. На 5000 машинах, нам пришлось написать (нетривиальный) сценарий и запланировать его запуск на всех машинах. (Удачи, кстати, с ноутбуками!)
- Принтеры отдела картографии. Конечно, мы могли бы использовать IP-адрес. Это означает, что если отдел A и отдел B вступят в войну с принтерами, средство правовой защиты будет заключаться в том, чтобы поставить принтер и затем проследить за преступником до его рабочей станции, чтобы удалить принтер со своей рабочей станции. (Я полагаю, вы могли бы вместо этого купить программное обеспечение для управления печатью.) Кроме того, как этот принтер вообще оказался на их рабочей станции, если они не должны его использовать, и как вы предотвратите его появление там снова?
- Есть ключи реестра для WSUS, так что вы технически не требуется AD для управления исправлениями. Однако, если вы включите эти ключи реестра в образ, вам необходимо убедиться и удалить пару ключей (SusClientID и PingID), иначе они никогда никогда не будут получать обновления. Или, чтобы быть более конкретным и точным, только один из них будет получать обновления.
- Программное обеспечение устанавливается. Вы можете сделать это с помощью электроинструментов (LANdesk, Altiris и т. Д.), Но это дополнительные деньги.
- Драйверы принтера "Яд". Я видел пару таких. Лучшим средством была очередь печати с обновленным драйвером.
- Печать из Windows 7 привела бы к эпическим истерикам, если бы мы не установили разрешенные леса / разрешенные хосты в ограничениях точки и печати. Возможно, это не имело бы большого значения, если бы все принтеры были только IP, если User1 никогда не хочет использовать локальный принтер User2. Без AD нашим специалистам приходилось использовать gpedit на рабочей станции или на главном образе.
- Вы предполагаете облачный Exchange, но я также собираюсь добавить, что миграция электронной почты и другие крупные инфраструктурные изменения без AD болезненны для клиента. Я написал сценарий «удалить программное обеспечение из старой неудачной миграции / добавить рабочую станцию в AD / перенести профиль пользователя с локального на домен / понизить уровень пользователя с администратора до опытного пользователя / внести изменения в брандмауэр» и запустил их через Altiris. (Консультанты Microsoft предлагали нам нанять временщиков с флэш-накопителями, пока я не показал им свое кунг-фу.)
Кроме того, есть поставщики программного обеспечения, которые смотрят на вас, как на три головы, когда вы говорите им, что у вас есть рабочие группы, а не домены. . Altiris работает в рабочих группах, но, например, вашим специалистам по настольным компьютерам никогда не разрешается менять свои пароли. (Хорошо, хорошо. Они могут изменить свой пароль. Но они также должны пройти ваш куб и ввести свой новый пароль на сервер или сообщить вам свой новый пароль.)
Что я Я получаю следующее: вы можете управлять множеством рабочих станций без AD, но вам, возможно, придется покупать замену программного обеспечения, и даже с хорошим программным обеспечением вы столкнетесь с болезненными вещами.
есть поставщики программного обеспечения, которые смотрят на вас, как на три головы, когда вы говорите им, что у вас есть рабочие группы, а не домены. Altiris работает в рабочих группах, но, например, вашим специалистам по настольным компьютерам никогда не разрешается менять свои пароли. (Хорошо, хорошо. Они могут изменить свой пароль. Но они также должны пройти ваш куб и ввести свой новый пароль на сервер или сообщить вам свой новый пароль.)Что я Я получаю следующее: вы можете управлять множеством рабочих станций без AD, но вам, возможно, придется покупать замену программного обеспечения, и даже с хорошим программным обеспечением вы столкнетесь с болезненными вещами.
есть поставщики программного обеспечения, которые смотрят на вас, как на три головы, когда вы говорите им, что у вас есть рабочие группы, а не домены. Altiris работает в рабочих группах, но, например, вашим специалистам по настольным компьютерам никогда не разрешается менять свои пароли. (Хорошо, хорошо. Они могут изменить свой пароль. Но они также должны пройти ваш куб и ввести свой новый пароль на сервер или сообщить вам свой новый пароль.)Что я Я получаю следующее: вы можете управлять множеством рабочих станций без AD, но вам, возможно, придется покупать замену программного обеспечения, и даже с хорошим программным обеспечением вы столкнетесь с болезненными вещами.
Но они также должны пройти мимо вашего куба и ввести свой новый пароль на сервер или сообщить вам , какой у них новый пароль.)Я имею в виду: вы можете управлять множеством рабочие станции без AD, но вам может потребоваться купить заменяющее программное обеспечение, и даже с хорошим программным обеспечением вы столкнетесь с болезненными вещами.
Но они также должны пройти мимо вашего куба и ввести свой новый пароль на сервер или сообщить вам , какой у них новый пароль.)Я имею в виду: вы можете управлять множеством рабочие станции без AD, но вам, возможно, придется покупать замену программного обеспечения, и даже с хорошим программным обеспечением вы столкнетесь с болезненными вещами.
AD и GPO по-прежнему будут управлять рабочими станциями. Без него вы платите за стороннее приложение или действительно действительно доверяете своим пользователям.
Если вы делаете что-то вроде строгого BYOD или распределяете для работы только виртуальные машины без сохранения состояния, то это не так уж важно.
Не могли бы вы? Да. Вы бы хотели? Я так не думаю. Все упомянутые вами размещенные решения поддерживают федерацию AD, и, поскольку вы хотите, чтобы единый вход был везде, единственным универсальным способом достижения этого будет AD.
И такие продукты, как LastPass, являются хранилищем паролей, а не SSO.
Вам не «нужна» AD, но она облегчит вам жизнь. В зависимости от вашего размера убедитесь, что у вас есть 2 сервера, 1 основной, 1 резервный. В противном случае, если вы потеряете сервер AD (и у вас будет только 1), вам придется перестроить домен, если только ваши резервные копии не являются SOLID.
Суть этой проблемы зависит от того, что, по вашему мнению, делает для вас AD. Если он используется только как центральное хранилище для учетных данных SSO, которые используются только для аутентификации в облачных приложениях, то, конечно, его можно заменить другим центральным хранилищем.
Но AD может гораздо больше:
Развертывание программного обеспечения.
Развертывание ОС.
Управление принтером.
Управление профилями пользователей (например, с использованием перемещаемых профилей или UE-V , чтобы пользователи могли входить в систему в любом месте и сохранять свои локальные данные и настройки). Я думаю, что это все еще имеет значение, даже когда все ваши службы находятся в облаке, потому что данные все еще могут быть локальными, а клиентские машины по-прежнему выходят из строя или подлежат замене.
Масштабируемость: я бы предпочел управлять предоставлением и текущим управлением тысячами моих учетные записи пользователей через ADUC и «локальные» сценарии PowerShell и т. д., чем просто через Office 365.
Облако - это просто еще один интернет-провайдер
Любое Облако - это просто еще один поставщик услуг аутсорсинга - компания, пытающаяся предложить гибкость для вашей инфраструктуры и операций, часто по сниженным ценам и (надеюсь, ) лучшая надежность. Несомненно, облако нацелено на упрощение общих желаемых сервисных целей, таких как масштабируемость, надежность и производительность, но это по-прежнему всего лишь вариант хостинга
. Вам требуется платформа управления идентификацией и доступом, а Active Directory подходит для этих целей локально или по адресу ваш хостинг-провайдер уже говоришь?
Изменение физического расположения ваших сетевых служб не меняет ваших требований.
Active Directory обладает высокой расширяемостью, даже с большим количеством систем, не зависящих напрямую от AD DS, вы все равно можете использовать его для управления "стойкой" -в одиночестве" компоненты инфраструктуры, размещенные в облаке или где-либо еще.
Если вы продолжите использовать платформу Windows и промежуточное программное обеспечение Microsoft, сам по себе уровень поддержки аутентификации Active Directory в облаке потребует доменных служб Active Directory, даже больше, чем на- помещение.
Облако полностью
Все еще очень хотите перенести все в Облако? Сделай это! Виртуализируйте свои контроллеры домена , это не пустяк. Это просто еще одно решение для аутсорсинга: -)
Я думаю, что реальный вопрос заключается в том, можете ли вы перенести свой MS-ориентированный «магазин Windows» в облако без AD DS
сам по себе уровень поддержки аутентификации Active Directory в облаке требует доменных служб Active Directory, даже в большей степени, чем локальная.Облако полностью
Все еще очень хотите перенести все в Облако? Сделай это! Виртуализируйте свои контроллеры домена , это не пустяк. Это просто еще одно решение для аутсорсинга: -)
Я думаю, что реальный вопрос заключается в том, можете ли вы перенести свой MS-ориентированный «магазин Windows» в облако без AD DS
сам по себе уровень поддержки аутентификации Active Directory в облаке требует доменных служб Active Directory даже в большей степени, чем локальная.Облако полностью
Все еще очень хотите перенести все в Облако? Сделай это! Виртуализируйте свои контроллеры домена , это не пустяк. Это просто еще одно решение для аутсорсинга: -)
Я думаю, что реальный вопрос заключается в том, можете ли вы перенести свой MS-ориентированный "магазин Windows" в облако без AD DS
Помимо некоторых действительно хороших ответов, я бы хотелось бы перевернуть вопрос: какой смысл в без наличия Active Directory, если у вас есть магазин Microsoft? Вы можете использовать продукты Microsoft и управлять ими без AD, но они просто предназначены для работы с ним, и встроенная интеграция AD всегда будет лучше, чем любой обходной путь, который вы можете использовать.
Меньше сложности ? Отсутствие AD фактически добавляет сложности к вашей среде, потому что вам нужно найти подходящие альтернативы для всего, что AD сделала бы из коробки; имея AD добавляет ... что? Пара контроллеров домена (которые вполне могут быть виртуальными машинами, поэтому даже не требуют дополнительного оборудования)? Любой младший администратор Windows может управлять небольшим AD, а все старшие - большим. Если вы достаточно разбираетесь в продуктах Microsoft, чтобы находить и применять обходные пути, чтобы избежать AD, вы определенно достаточно квалифицированы, чтобы на самом деле использовать его.
Затраты? Что стоит? Вы уже сказали, что переходите на полностью облачное хранилище, поэтому пара дополнительных виртуальных машин Azure не сможет даже немного сократить ваш бюджет; даже пара лицензий Windows Server для физических контроллеров домена не подойдет, учитывая, что вы уже тратите на онлайн-услуги (не говоря уже о клиентских лицензиях Windows и Office, которые вам все еще нужны для всех ваших пользователей).
TL; DR: all in в общем, я действительно не вижу никакого смысла в без наличия AD, учитывая, насколько тривиально его реализовать (даже в крупном масштабе) и сколько вы получите от него.