15
Active Directory On-Premise vs. Azure AD
Liebes Administrator-Forum
ich betreue jetzt neu einen Standort mit 12 Clients und einem alten Server 2012R2 der getauscht werden soll.
Aktuelles Setting:
- 12 Clients, 7 Win11 Pro, 4 Win10 Pro, alle Clients in AzureAD angemeldet
- Server 2012R2 wird abgeschaltet
- neuer Server 2022 wurde bereits aufgesetzt, aber nur bis zur Eingabe der Seriennummer, kein DC, kein AD, nix noch (Windows Server 2022 Standard (Desktopdarstellung))
- ein Drucker und ein Plotter die direkt an den Clients installiert sind
- ActionPack ist vorhanden, 5x Office365 E3, 7x Office365 E1
Wunsch des Kunden:
- Fileserver für grosse Datenmengen
- BMD NTCS am Server, setzt SQL voraus
Frage:
- kann ich für die Identitätsverwaltung/Zugriffsverwaltung nur AzureAD verwenden oder ist zwingend ein lokales AD mit AzureAD Connect notwendig
- bekomme ich Probleme, wenn ich keinen lokalen DC habe?
- Server direkt in AzureAD einbinden ist nicht möglich, oder habe ich da eine Möglichkeit übersehen?
Selbstverständlich habe ich vorher schon das Forum durchsucht, aber ein Grossteil der Fragen/Antworten liegt schon 2-3 Jahre zurück und seitdem hat sich bei AzureAD wieder einiges verändert.
Vielen Dank für eure Unterstützung!
ich betreue jetzt neu einen Standort mit 12 Clients und einem alten Server 2012R2 der getauscht werden soll.
Aktuelles Setting:
- 12 Clients, 7 Win11 Pro, 4 Win10 Pro, alle Clients in AzureAD angemeldet
- Server 2012R2 wird abgeschaltet
- neuer Server 2022 wurde bereits aufgesetzt, aber nur bis zur Eingabe der Seriennummer, kein DC, kein AD, nix noch (Windows Server 2022 Standard (Desktopdarstellung))
- ein Drucker und ein Plotter die direkt an den Clients installiert sind
- ActionPack ist vorhanden, 5x Office365 E3, 7x Office365 E1
Wunsch des Kunden:
- Fileserver für grosse Datenmengen
- BMD NTCS am Server, setzt SQL voraus
Frage:
- kann ich für die Identitätsverwaltung/Zugriffsverwaltung nur AzureAD verwenden oder ist zwingend ein lokales AD mit AzureAD Connect notwendig
- bekomme ich Probleme, wenn ich keinen lokalen DC habe?
- Server direkt in AzureAD einbinden ist nicht möglich, oder habe ich da eine Möglichkeit übersehen?
Selbstverständlich habe ich vorher schon das Forum durchsucht, aber ein Grossteil der Fragen/Antworten liegt schon 2-3 Jahre zurück und seitdem hat sich bei AzureAD wieder einiges verändert.
Vielen Dank für eure Unterstützung!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5600202564
Url: https://administrator.de/forum/active-directory-on-premise-vs-azure-ad-5600202564.html
Ausgedruckt am: 20.04.2025 um 12:04 Uhr
15 Kommentare
Neuester Kommentar
Ich hoffe du hast dich mit den Lizenzregeln des Action Packs beschäftigt ?
Das ist nicht mehr so einfach.
Servus,
du kannst AzureAD verwenden, ja.
Ob es deinen Anforderungen genügt: Kein Ahnung, hast Du nicht beschrieben.
AzureAD ist kein ADDS. Es gibt z.B. keine GPOs oder ähnliches, dass müsstest du via Intune abwicklen.
Server können nicht in AzureAD eingebunden werden, außer einige Linux Distos, da geht es.
Wenn Du noch einen Exchange Onprem hast (selbst dann, wenn alle Postfächer in der Cloud liegen) brauchst du ein AD. Umgekehrt brauchst Du auch eine lokale Exchange Installation, solange Du ein lokales AD benötigst.
Für Server könntest Du dir Azure AD Services anschauen, ist praktisch ein managed ADDS.
du kannst AzureAD verwenden, ja.
Ob es deinen Anforderungen genügt: Kein Ahnung, hast Du nicht beschrieben.
AzureAD ist kein ADDS. Es gibt z.B. keine GPOs oder ähnliches, dass müsstest du via Intune abwicklen.
Server können nicht in AzureAD eingebunden werden, außer einige Linux Distos, da geht es.
Wenn Du noch einen Exchange Onprem hast (selbst dann, wenn alle Postfächer in der Cloud liegen) brauchst du ein AD. Umgekehrt brauchst Du auch eine lokale Exchange Installation, solange Du ein lokales AD benötigst.
Für Server könntest Du dir Azure AD Services anschauen, ist praktisch ein managed ADDS.
Zitat von @Cloudrakete:
Wenn Du noch einen Exchange Onprem hast (selbst dann, wenn alle Postfächer in der Cloud liegen) brauchst du ein AD. Umgekehrt brauchst Du auch eine lokale Exchange Installation, solange Du ein lokales AD benötigst.
Wenn Du noch einen Exchange Onprem hast (selbst dann, wenn alle Postfächer in der Cloud liegen) brauchst du ein AD. Umgekehrt brauchst Du auch eine lokale Exchange Installation, solange Du ein lokales AD benötigst.
Servus,
Das mit dem onprem Exchange stimmt nicht mehr ganz, inzwischen reicht es, die Management Rolle zu installieren. Ein kompletter Exchange wird nicht mehr benötigt.
Ich weis jetzt nicht wie das mit Berechtigungen auf lokale Freigaben ala \\Server\Freigabe aussieht aber
ich finde keine Möglichkeit einen Cloud Only Benutzer hier zu berechtigen bzw. ich finde nur die User welche im AD angelegt sind.
Da du ja Fileserver schreibst und SQL Server aber nicht ob es da eine Berechtigungsstruktur geben soll
ist das ganze etwas schwer zu beantworten. Auch mal so ein generelles "Wo soll es hingehen und was ist Geplant" wäre hilfreich.
ich finde keine Möglichkeit einen Cloud Only Benutzer hier zu berechtigen bzw. ich finde nur die User welche im AD angelegt sind.
Da du ja Fileserver schreibst und SQL Server aber nicht ob es da eine Berechtigungsstruktur geben soll
ist das ganze etwas schwer zu beantworten. Auch mal so ein generelles "Wo soll es hingehen und was ist Geplant" wäre hilfreich.
Vielen Dank für euer Feedback.
Ziel sollte sein, dass die komplette Geschichte so einfach wie möglich, dennoch geschützt vor Fremdzugriff ist. (Aussage Kunde)
Ergänzend noch:
- Berechtigungsstruktur so einfach wie möglich, d.h. alle Mitarbeiter dürfen auf alle Files am Fileserver zugreifen. (alle Benutzer aus dem AzureAD)
- BMD NTCS braucht den Server nur für die Datenbank, lokal auf dem Benutzer muss zusätzlich das Programm installiert werden und wird mittels eigenem Benutzernamen und Passwort benutzt bzw. verwaltet.
- warum wird Exchange onprem benötigt? Mails liegen schon seit Jahren bei dieser Firma in der Cloud und wird auch nur über das gehandelt.
Ziel sollte sein, dass die komplette Geschichte so einfach wie möglich, dennoch geschützt vor Fremdzugriff ist. (Aussage Kunde)
Ergänzend noch:
- Berechtigungsstruktur so einfach wie möglich, d.h. alle Mitarbeiter dürfen auf alle Files am Fileserver zugreifen. (alle Benutzer aus dem AzureAD)
- BMD NTCS braucht den Server nur für die Datenbank, lokal auf dem Benutzer muss zusätzlich das Programm installiert werden und wird mittels eigenem Benutzernamen und Passwort benutzt bzw. verwaltet.
- warum wird Exchange onprem benötigt? Mails liegen schon seit Jahren bei dieser Firma in der Cloud und wird auch nur über das gehandelt.
Quote from @Avoton:
Servus,
Das mit dem onprem Exchange stimmt nicht mehr ganz, inzwischen reicht es, die Management Rolle zu installieren. Ein kompletter Exchange wird nicht mehr benötigt.
Zitat von @Cloudrakete:
Wenn Du noch einen Exchange Onprem hast (selbst dann, wenn alle Postfächer in der Cloud liegen) brauchst du ein AD. Umgekehrt brauchst Du auch eine lokale Exchange Installation, solange Du ein lokales AD benötigst.
Wenn Du noch einen Exchange Onprem hast (selbst dann, wenn alle Postfächer in der Cloud liegen) brauchst du ein AD. Umgekehrt brauchst Du auch eine lokale Exchange Installation, solange Du ein lokales AD benötigst.
Servus,
Das mit dem onprem Exchange stimmt nicht mehr ganz, inzwischen reicht es, die Management Rolle zu installieren. Ein kompletter Exchange wird nicht mehr benötigt.
Danke, ich weiß.
Du brauchst ihn trotzdem und darfst ihn auch nicht deinstallieren, maximal Ausschalten.
Daher braucht man defacto den Exhange trotzdem. Man kann den Exchange aber weitesgehend zurückbauen.
Quote from @ChrFla:
Vielen Dank für euer Feedback.
Ziel sollte sein, dass die komplette Geschichte so einfach wie möglich, dennoch geschützt vor Fremdzugriff ist. (Aussage Kunde)
Ergänzend noch:
- Berechtigungsstruktur so einfach wie möglich, d.h. alle Mitarbeiter dürfen auf alle Files am Fileserver zugreifen. (alle Benutzer aus dem AzureAD)
- BMD NTCS braucht den Server nur für die Datenbank, lokal auf dem Benutzer muss zusätzlich das Programm installiert werden und wird mittels eigenem Benutzernamen und Passwort benutzt bzw. verwaltet.
- warum wird Exchange onprem benötigt? Mails liegen schon seit Jahren bei dieser Firma in der Cloud und wird auch nur über das gehandelt.
Vielen Dank für euer Feedback.
Ziel sollte sein, dass die komplette Geschichte so einfach wie möglich, dennoch geschützt vor Fremdzugriff ist. (Aussage Kunde)
Ergänzend noch:
- Berechtigungsstruktur so einfach wie möglich, d.h. alle Mitarbeiter dürfen auf alle Files am Fileserver zugreifen. (alle Benutzer aus dem AzureAD)
- BMD NTCS braucht den Server nur für die Datenbank, lokal auf dem Benutzer muss zusätzlich das Programm installiert werden und wird mittels eigenem Benutzernamen und Passwort benutzt bzw. verwaltet.
- warum wird Exchange onprem benötigt? Mails liegen schon seit Jahren bei dieser Firma in der Cloud und wird auch nur über das gehandelt.
Den Exchange brauchst Du, weil Exchange Online nicht in dein lokales AD schreiben kann.
Damit Exchange Online das kann, nutzt er den Exchange onprem.
Alternativ die Managementtools via PowerShell (ggf. mehr manueller Aufwand)
Wenn du kein lokales AD mehr nutzt und alle User auf cloud only umstellst, kannst du das AD sowie drn Exchange allerdings vollständig abbauen.
Zitat von @Cloudrakete:
Den Exchange brauchst Du, weil Exchange Online nicht in dein lokales AD schreiben kann.
Damit Exchange Online das kann, nutzt er den Exchange onprem.
Alternativ die Managementtools via PowerShell (ggf. mehr manueller Aufwand)
Wenn du kein lokales AD mehr nutzt und alle User auf cloud only umstellst, kannst du das AD sowie drn Exchange allerdings vollständig abbauen.
Quote from @ChrFla:
Vielen Dank für euer Feedback.
Ziel sollte sein, dass die komplette Geschichte so einfach wie möglich, dennoch geschützt vor Fremdzugriff ist. (Aussage Kunde)
Ergänzend noch:
- Berechtigungsstruktur so einfach wie möglich, d.h. alle Mitarbeiter dürfen auf alle Files am Fileserver zugreifen. (alle Benutzer aus dem AzureAD)
- BMD NTCS braucht den Server nur für die Datenbank, lokal auf dem Benutzer muss zusätzlich das Programm installiert werden und wird mittels eigenem Benutzernamen und Passwort benutzt bzw. verwaltet.
- warum wird Exchange onprem benötigt? Mails liegen schon seit Jahren bei dieser Firma in der Cloud und wird auch nur über das gehandelt.
Vielen Dank für euer Feedback.
Ziel sollte sein, dass die komplette Geschichte so einfach wie möglich, dennoch geschützt vor Fremdzugriff ist. (Aussage Kunde)
Ergänzend noch:
- Berechtigungsstruktur so einfach wie möglich, d.h. alle Mitarbeiter dürfen auf alle Files am Fileserver zugreifen. (alle Benutzer aus dem AzureAD)
- BMD NTCS braucht den Server nur für die Datenbank, lokal auf dem Benutzer muss zusätzlich das Programm installiert werden und wird mittels eigenem Benutzernamen und Passwort benutzt bzw. verwaltet.
- warum wird Exchange onprem benötigt? Mails liegen schon seit Jahren bei dieser Firma in der Cloud und wird auch nur über das gehandelt.
Den Exchange brauchst Du, weil Exchange Online nicht in dein lokales AD schreiben kann.
Damit Exchange Online das kann, nutzt er den Exchange onprem.
Alternativ die Managementtools via PowerShell (ggf. mehr manueller Aufwand)
Wenn du kein lokales AD mehr nutzt und alle User auf cloud only umstellst, kannst du das AD sowie drn Exchange allerdings vollständig abbauen.
Wenn ich kein lokales AD mehr nutzen will, wie kann ich dann AzureAD implementieren als Identitätsverwaltung am Server 2022. Finde dazu keine passenden Unterlagen bzw. Seiten wo dies beschrieben wird.
Zitat von @Cloudrakete:
Danke, ich weiß.
Du brauchst ihn trotzdem und darfst ihn auch nicht deinstallieren, maximal Ausschalten.
Daher braucht man defacto den Exhange trotzdem. Man kann den Exchange aber weitesgehend zurückbauen.
Danke, ich weiß.
Du brauchst ihn trotzdem und darfst ihn auch nicht deinstallieren, maximal Ausschalten.
Daher braucht man defacto den Exhange trotzdem. Man kann den Exchange aber weitesgehend zurückbauen.
Wenn du vorher einen Exchange hatte hast du Recht, deinstallieren darf man ihn nicht.
Wenn man aber noch nie einen OnPrem Exchange hatte, reicht die Verwaltungsrolle.
Zitat von @ChrFla:
Wenn ich kein lokales AD mehr nutzen will, wie kann ich dann AzureAD implementieren als Identitätsverwaltung am Server 2022. Finde dazu keine passenden Unterlagen bzw. Seiten wo dies beschrieben wird.
Wenn ich kein lokales AD mehr nutzen will, wie kann ich dann AzureAD implementieren als Identitätsverwaltung am Server 2022. Finde dazu keine passenden Unterlagen bzw. Seiten wo dies beschrieben wird.
Gar nicht. Server gehen AFAIK bei AzureAD nicht. Du willst eher Azure AD DS, was @Cloudrakete schon mal erwähnt hat.
Gruß,
Avoton
Zitat von @ChrFla:
Wenn ich kein lokales AD mehr nutzen will, wie kann ich dann AzureAD implementieren als Identitätsverwaltung am Server 2022. Finde dazu keine passenden Unterlagen bzw. Seiten wo dies beschrieben wird.
Wenn ich kein lokales AD mehr nutzen will, wie kann ich dann AzureAD implementieren als Identitätsverwaltung am Server 2022. Finde dazu keine passenden Unterlagen bzw. Seiten wo dies beschrieben wird.
Gar nicht. Server gehen AFAIK bei AzureAD nicht. Du willst eher Azure AD DS, was @Cloudrakete schon mal erwähnt hat.
Gruß,
Avoton
Hmmm... die Frage der Kosten stellt sich mir da, wenn auf https://azure.microsoft.com/de-de/products/active-directory/ds#layout-co ... steht, dass hier Stundenbasiert abgerechnet wird?
Hat hier jemand Ahnung, was das auf die Firma zukommt?
Es gibt 3 Tiers
0 - 25000 Objekte
Alle 5 Tage eine Sicherung
Keine Vertrauensstellung möglich
Kosten Benutzerstruktur: 0,15EUR pro Stunde * 2 (2x DCs per default)
Kosten Ressourcengesamtstruktur: -
25.000 - 100.000 Objekte
Alle 3 Tage eine Sicherung
Bis zu 5 Vertrauensstellungen
Kosten Benutzerstruktur: 0,38EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 0,38EUR pro Stunde
100.000 - 500.000 Objekte
Tägliche Sicherung (7 Tage Rentention, jede dritte Sicherung 30 Tage Retention)
bis zu 10 Vertrausenstellungen
Kosten Benutzerstruktur: 1,51EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 1,51EUR pro Stunde
- Standard
0 - 25000 Objekte
Alle 5 Tage eine Sicherung
Keine Vertrauensstellung möglich
Kosten Benutzerstruktur: 0,15EUR pro Stunde * 2 (2x DCs per default)
Kosten Ressourcengesamtstruktur: -
- Enterprise
25.000 - 100.000 Objekte
Alle 3 Tage eine Sicherung
Bis zu 5 Vertrauensstellungen
Kosten Benutzerstruktur: 0,38EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 0,38EUR pro Stunde
- Premium
100.000 - 500.000 Objekte
Tägliche Sicherung (7 Tage Rentention, jede dritte Sicherung 30 Tage Retention)
bis zu 10 Vertrausenstellungen
Kosten Benutzerstruktur: 1,51EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 1,51EUR pro Stunde
Zitat von @Cloudrakete:
Es gibt 3 Tiers
0 - 25000 Objekte
Alle 5 Tage eine Sicherung
Keine Vertrauensstellung möglich
Kosten Benutzerstruktur: 0,15EUR pro Stunde * 2 (2x DCs per default)
Kosten Ressourcengesamtstruktur: -
25.000 - 100.000 Objekte
Alle 3 Tage eine Sicherung
Bis zu 5 Vertrauensstellungen
Kosten Benutzerstruktur: 0,38EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 0,38EUR pro Stunde
100.000 - 500.000 Objekte
Tägliche Sicherung (7 Tage Rentention, jede dritte Sicherung 30 Tage Retention)
bis zu 10 Vertrausenstellungen
Kosten Benutzerstruktur: 1,51EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 1,51EUR pro Stunde
Es gibt 3 Tiers
- Standard
0 - 25000 Objekte
Alle 5 Tage eine Sicherung
Keine Vertrauensstellung möglich
Kosten Benutzerstruktur: 0,15EUR pro Stunde * 2 (2x DCs per default)
Kosten Ressourcengesamtstruktur: -
- Enterprise
25.000 - 100.000 Objekte
Alle 3 Tage eine Sicherung
Bis zu 5 Vertrauensstellungen
Kosten Benutzerstruktur: 0,38EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 0,38EUR pro Stunde
- Premium
100.000 - 500.000 Objekte
Tägliche Sicherung (7 Tage Rentention, jede dritte Sicherung 30 Tage Retention)
bis zu 10 Vertrausenstellungen
Kosten Benutzerstruktur: 1,51EUR pro Stunde * 2 (2x DCs per default)
Ressourcengesamtstruktur: 1,51EUR pro Stunde
ist da meine Rechnung richtig?
0,15 EUR x 24 x 30 x 2 = 216 Euro für die kleinstmögliche Variante
Bitte das VPN vom Standort zum Azure AD bzw. zu Azure nicht vergessen. Das kommt auch noch dazu.
Dann die Frage was machst du wenn der AD in der Cloud nicht erreichbar ist weil die Internetleitung samt VPN tot ist ?
Also Redundanz schaffen für die Internetanbindung.
Ich denke also das ganze kostet dich oder die Firma mehr als extra Server oder ggf. 2 Server inkl. Lizenzen in 2 Jahren.
Ich stand ebenfalls vor dem Problem bzw. der Überlegung das ganze AD Zeug bei einem Bekannten ( KMU 40-60 User ) in die Cloud zu heben. Alleine was die Anbindung und ADDS in der Cloud gekostet haben hat man auf 5 Jahre hin 2 neue Server gegeben.
Dann die Frage was machst du wenn der AD in der Cloud nicht erreichbar ist weil die Internetleitung samt VPN tot ist ?
Also Redundanz schaffen für die Internetanbindung.
Ich denke also das ganze kostet dich oder die Firma mehr als extra Server oder ggf. 2 Server inkl. Lizenzen in 2 Jahren.
Ich stand ebenfalls vor dem Problem bzw. der Überlegung das ganze AD Zeug bei einem Bekannten ( KMU 40-60 User ) in die Cloud zu heben. Alleine was die Anbindung und ADDS in der Cloud gekostet haben hat man auf 5 Jahre hin 2 neue Server gegeben.
Zitat von @Mr-Gustav:
Bitte das VPN vom Standort zum Azure AD bzw. zu Azure nicht vergessen. Das kommt auch noch dazu.
Dann die Frage was machst du wenn der AD in der Cloud nicht erreichbar ist weil die Internetleitung samt VPN tot ist ?
Also Redundanz schaffen für die Internetanbindung.
Ich denke also das ganze kostet dich oder die Firma mehr als extra Server oder ggf. 2 Server inkl. Lizenzen in 2 Jahren.
Ich stand ebenfalls vor dem Problem bzw. der Überlegung das ganze AD Zeug bei einem Bekannten ( KMU 40-60 User ) in die Cloud zu heben. Alleine was die Anbindung und ADDS in der Cloud gekostet haben hat man auf 5 Jahre hin 2 neue Server gegeben.
Bitte das VPN vom Standort zum Azure AD bzw. zu Azure nicht vergessen. Das kommt auch noch dazu.
Dann die Frage was machst du wenn der AD in der Cloud nicht erreichbar ist weil die Internetleitung samt VPN tot ist ?
Also Redundanz schaffen für die Internetanbindung.
Ich denke also das ganze kostet dich oder die Firma mehr als extra Server oder ggf. 2 Server inkl. Lizenzen in 2 Jahren.
Ich stand ebenfalls vor dem Problem bzw. der Überlegung das ganze AD Zeug bei einem Bekannten ( KMU 40-60 User ) in die Cloud zu heben. Alleine was die Anbindung und ADDS in der Cloud gekostet haben hat man auf 5 Jahre hin 2 neue Server gegeben.
Danke... ich sehe da für kleine Unternehmen nicht wirklich Sinn (sowohl bzgl. Redundanz als auch Kosten).
-> Conclusion für mich: Also doch klassisch Server mit DC und AD on-premise und mit AzureAD Connect syncen.
Nun du musst dich eben nicht um den Betrieb kümmern und um die Sicherung. Anmelden und los geht´s Benutzer anlegen. Du musst dich nicht mit den ganzen Feinheiten untendrunter oder was die konfigurieren angeht kümmern.
Wenn was nicht so will wie es muss/soll ist der MS Support gefragt und nicht du denn es wurde ja ein Service gekauft bzw. durch MS verkauft. MS kümmert sich um die Redundanz usw.....
Wenn man das selber alles kann dann kann mans auch selber betreiben, wobei die Standard Konfig jetzt nicht wirklich schwierig ist ein einem Unternehmen bis max. 30 Mann/Frau/Divers/Unentschlossen/......
Das sind alles Punkte die man Berücksichtigen muss.
Wenn was nicht so will wie es muss/soll ist der MS Support gefragt und nicht du denn es wurde ja ein Service gekauft bzw. durch MS verkauft. MS kümmert sich um die Redundanz usw.....
Wenn man das selber alles kann dann kann mans auch selber betreiben, wobei die Standard Konfig jetzt nicht wirklich schwierig ist ein einem Unternehmen bis max. 30 Mann/Frau/Divers/Unentschlossen/......
Das sind alles Punkte die man Berücksichtigen muss.
1
