如果一家 Windows 商店将“一切”都迁移到云端，它还需要 Active Directory 吗？

我已经管理了大量没有 AD 的工作站。我有电动工具（Altiris 部署解决方案），但在某些情况下它仍然会受到伤害：

1. 安全审计员进来并说我们的默认工作站密码策略不够好。为了在 5,000 台机器上更改密码复杂性和有效期等，我们必须编写一个（非平凡的）脚本并安排它在所有机器上运行。（顺便说一句，祝你抓住笔记本电脑好运！）
2. 测绘部门打印机。当然，我们可以使用 IP 号码。这意味着如果 A 部门和 B 部门发生打印机大战，补救措施包括将打印机放样，然后跟随违规者回到他们的工作站，将打印机从他们的工作站中移除。（我想你可以购买打印管理软件。）另外，如果他们不应该使用它，那台打印机最初是如何出现在他们的工作站上的，你将如何防止它再次出现在他们的工作站上？
3. WSUS 有注册表项，因此从技术上讲，您不需要 AD 来进行补丁管理。但是，如果您在映像中包含这些注册表项，则需要确保并删除几个键（SusClientID 和 PingID），否则它们将永远无法获得更新。或者，更具体和准确地说，只有其中一个会得到更新。
4. 软件安装。您可以使用电动工具（LANdesk、Altiris 等）进行这些操作，但那是额外的钱。
5. “毒药”打印机驱动程序。我见过其中的几个。最好的补救措施是使用更新驱动程序的打印队列。
6. 除非我们在点和打印限制中设置允许的森林/允许的主机，否则 Windows 7 打印会大发雷霆。如果所有打印机都是 ip-only，那么这可能没什么大不了的，只要 User1 从不想使用 User2 的本地打印机。如果没有 AD，我们的技术人员必须在工作站或主映像上使用 gpedit。
7. 您假设使用云 Exchange，但我还要补充一点，没有 AD 的电子邮件迁移和其他大型基础设施更改在客户端是很痛苦的。我编写了“从旧的失败迁移中删除软件/将工作站添加到 AD/将用户的配置文件从本地迁移到域/将用户从管理员降级为高级用户/更改防火墙”作业的脚本，并通过 Altiris 运行它们。（微软顾问建议我们用拇指驱动器雇佣临时工，直到我向他们展示了我的功夫。）

此外，当你告诉他们你有工作组而不是域时，有些软件供应商会认为你有三个头。Altiris 在工作组中运行，但您的桌面技术人员永远不允许更改密码。（好吧，好吧。他们可以更改他们的密码。但他们也必须绕过你的立方体并将他们的新密码输入服务器，或者告诉你他们的新密码是什么。）

我的意思是：您可以在没有 AD 的情况下管理许多工作站，但您可能需要购买替换软件，即使使用好的软件，您也会遇到痛苦的事情。

AD 和 GPO 仍将处理工作站的管理。没有它，你就是在为第三方应用程序付费，或者真的非常信任你的用户。

如果您正在执行严格的 BYOD 之类的操作，或者仅分发无状态 VM 以供工作，那么这并不适用。

这个问题的中心点取决于你认为 AD 为你做了什么。如果它仅用作 SSO 凭据的中央存储，仅用于对云应用程序进行身份验证，那么当然可以将其替换为另一个中央存储。

但 AD 可以做的远不止这些：

• 软件部署。

• 操作系统部署。

• 打印机管理。

• 用户配置文件管理（例如使用漫游配置文件或UE-V以允许用户在任何地方登录并保留其本地数据和自定义）。我认为即使您的所有服务都在云中，这仍然很重要，因为数据仍然可以是本地的，客户端机器仍然会发生故障或被替换。

• 可扩展性：我宁愿通过 ADUC 和“本地”PowerShell 脚本等来管理我的数千个用户帐户的配置和持续管理，而不是纯粹通过 Office 365。

• 与非标准应用程序集成——例如，我们有一个与 AD 集成的基于 RFID 的 ID 卡系统，我真的不想让它与基于 Azure 的 ADFS 对话。

当然，并非所有这些事情每次都相关 - 我对可扩展性的评论与我的评论相反的是，只有少数用户的小型企业当然可以购买 Office 365 或 Google Apps，以及本周在售的任何笔记本电脑最近的超市，对于每个新员工，如果他们认为这对他们来说不那么痛苦。

云只是另一个 ISP

虽然令人兴奋，但任何云只是另一个外包提供商——一家试图为您的基础设施和运营提供灵活性的公司，通常以更低的成本和（希望）更好的可靠性。当然，云旨在简化常见的服务目标，如可扩展性、可靠性和性能——但它仍然只是一个托管选项

您需要一个身份和访问管理平台，而 Active Directory 适合您在内部部署或托管服务提供商处的需要，您已经说过了吗？

更改网络服务的物理位置不会改变您的要求。

Active Directory 具有高度可扩展性，即使有大量不直接依赖于 AD DS 的系统，您仍然可以利用它来管理托管在云或其他任何地方的“独立”基础架构组件。

如果您继续使用 Windows 平台和 Microsoft 中间件，那么对云中 Active Directory 身份验证的绝对支持水平需要 Active Directory 域服务，甚至比内部部署还要多。

一路云

仍然热衷于将所有内容迁移到云端吗？去做吧！虚拟化您的域控制器，它不是一个展示停止器。这只是另一种外包解决方案:-)

我认为真正的问题是您是否可以在没有AD DS的情况下将您以 MS 为中心的“Windows 商店”迁移到云端

您可以...吗？是的。你愿意吗？我不这么认为。您提到的所有托管解决方案都支持 AD 联合，并且由于您希望 SSO 无处不在，因此唯一通用的实现方式将是 AD。

LastPass 之类的产品是密码库，而不是 SSO。

除了一些非常好的答案之外，我想扭转这个问题：如果您经营的是 Microsoft 商店，那么没有Active Directory 有什么意义？您可以在没有 AD 的情况下使用和管理 Microsoft 产品，但它们只是设计用于使用它，并且本机 AD 集成总是比您可以投入的任何解决方法更好。

更复杂？没有 AD 实际上会给您的环境增加更多复杂性，因为您必须为 AD 开箱即用的所有功能找到合适的替代方案；有广告添加...什么？几个域控制器（很可能是虚拟机，因此甚至不需要额外的硬件）？任何初级 Windows 管理员都可以管理小型 AD，而所有高级 Windows 管理员都可以管理大型 AD。如果您对 Microsoft 产品足够精通，能够找到并实施没有 AD 的解决方法，那么您绝对有足够的技能来实际使用它。

费用？哪些费用？您已经说过您将采用全云，因此额外的几个 Azure VM 甚至无法对您的预算产生一点影响；考虑到您已经在在线服务上花费的资金（更不用说客户端 Windows 和 Office 许可证，您的所有用户仍然需要这些许可证），甚至连几个用于物理 DC 的 Windows Server 许可证都不会。

TL;DR：总而言之，我真的认为没有 AD 有任何意义，因为实施它是多么微不足道（即使是大规模），以及拥有它可以获得多少收益。

您不需要“广告”，但它会让您的生活更轻松。根据您的大小，确保您有 2 个服务器、1 个主服务器、1 个备份服务器，否则如果您丢失了 AD 服务器（并且只有 1 个），您将需要重建一个域，除非您的备份是 SOLID。