24 августа 2017

Работа на Chrome OS в домене Microsoft Active Directory


Если вы всё ещё используете Microsoft Active Directory, тогда Google идёт к вам с крайне выгодным предложением от которого невозможно отказаться в здравом уме.

Не секрет, что Chrome OS умеет работать со службой каталога Microsoft Active Directory уже много лет, как на уровне единого логина пользователя для G Suite и AD (SSO), так и на уровне прямого подключения Web приложений из состава G Suite на Chrome OS к штатным сервисам Windows Server по протоколам SAML и SMB. Более того, для тех кто без Microsoft Office просто жить не может, существует минимум 5 (пять) способов запустить его на Chromebook.

Тем не менее, использование инфраструктуры домена Microsoft Active Directory относительно инфраструктуры домена G Suite при практически идентичной функциональности требует гораздо больше материальных затрат и усилий от администраторов. По части централизованной настройки приложений Windows и красивых иконок на десктопе пока лучше Active Directory, а по части установки Android, iOS и Web приложений, а также по части безопасности и разграничения прав для совместного использования приложений и данных гораздо лучше G Suite.

Важное примечание для большинства пользователей из стран бывшего СССР:

Возможность работы пользователя с любого Chromebook в домене G Suite бесплатна (реально она входит в стоимость подписки на домен G Suite соответствующего типа, что для случая образовательного домена G Suite for Education составляет ноль рублей ноль копеек).

Возможность работы пользователя с любого Windows компьютера в домене Microsoft Active Directory всегда платна (реально требует лицензии либо в составе лицензии на ОС Windows, либо отдельно в виде Windows CAL, даже для образования использование домена Active Directory платно и если вы не платите за это каждый год круглую сумму, то спросите у вашего системного администратора почему и откуда дистрибутивы для установки ОС Windows).

Ввиду вышеизложенного, огромное количество образовательных учреждений и коммерческих организаций в развитых странах перешли на использование домена G Suite, полностью отказавшись от домена Active Directory.

Вместе с тем, организовалась довольно стойкая группа упорных сторонников локальных сетей, которые считают, что облачные технологии небезопасны и/или им просто лень изучать G Suite, пока руководство оплачивает лишние лицензии для Windows. 

Так вот, ради привлечения обеих этих групп, Google решил кардинально поменять свою маркетинговую политику и начать активно продвигать возможности Chrome OS в самые закрытые организации, помешанные на безопасности, на базе использования защищённых десктопов и локальных приложений для них, вместо Web приложений.


Специально для самых упоротых сторонников Active Directory компания Google предложила лицензию Chrome Enterprise, которая фактически превращает любое устройство на базе Chrome OS в компьютер с клиентом Active Directory, полностью совместимый не только с самой службой каталога Microsoft Active Directory, но и с Windows приложениями, использующими Active Directory для обмена токенами. 

Купив лицензию Chrome Enterprise для любого Chromebook в коммерческом или государственном домене G Suite (или почти дармовую лицензию Chrome Education для домена G Suite for Education) вы получаете следующие возможности:

1) Устройство на Chrome OS может быть добавлено в домен Active Directory, как компьютер, аналогично добавлению в домен Windows ПК, и станет отображаться в консоли Active Directory Users and Computers, наравне с Windows компьютерами;

2) Используя стандартные консоли управления Microsoft Active Directory вы сможете включить устройства Chrome OS в организационные единицы и применить к ним компьютерные групповые политики Active Directory. В частности вы можете из Active Directory с помощью групповых политик настроить на Chrome OS способ подключения к сети, назначить локальный или сетевой принтер, предоставить доступ к общим папкам, настроить доступ к серверу для автоматической установки ПО и т.п.

3) Устройства на Chrome OS станут использовать синхронизацию данных по токенам Active Directory, что позволит обновлять на них данные клиентских приложений Windows.

4) Логин на устройства Chrome OS будет производиться с учётной записью пользователя из Active Directory.

5) Ввиду того, что с лицензией Chrome Enterprise пользователи могут логиниться с использованием учётных записей Active Directory, к ним также будут применяться и пользовательские групповые политики Active Directory, согласно тому, в какой организационной единице или группе находиться пользовательская учётная запись.

Более того, с лицензией Chrome Enterprise устройства на Chrome OS станут управляться не только из домена G Suite, но и с помощью внешних приложений, предназначенных для управления устройствами на разных ОС, в т.ч. с использованием Active Directory.

В частности, Chrome OS с лицезией Chrome Enterprise смогут управляться на ряду с macOS и Windows компьютерами с помощью VMware AirWatch.

Однако, это ещё не главная вишенка на торте, а лишь подготовка к главному моменту, ради чего всё вышеперечисленное и было задумано.

Помните, что для упоротого любителя Microsoft Active Directory безопасность ассоциируется с двумя вещами - это, во-первых, наличие данных только локально на десктопе или внутреннем сервере, а не в облаке, и, во-вторых, наличие приложений, работающих с локальными данными также только локально, а не в браузере (ну не понимают пока многие, что в браузере давно есть локальные приложения пятого поколения - подробнее про локальные Web приложения смотри здесь).

В общем, чтобы привлечь даже такую категорию пользователей, Google решил сделать ход конём и поддержать их самые любимые инициативы, пусть и в ущерб красоте, простоте, надёжности и стройности своей Web платформы Chrome OS.

Во-первых, с лицензией Chrome Enterprise любое устройство Chrome OS может функционировать, как тонкий клиент VMWare или Citrix, причём используя SSO через учётную запись из Active Directory.

Таким образом, если в вашей организации развёрнут сервис VDI от Citrix или VMware и, соответственно, есть служба каталога Active Directory, куда добавлен ваш Chromebook, то не стоит удивляться следующему сценарию работы:

1) Вы приходите со своим Chromebook на работу, которым пользовались дома, как обычно для Web приложений и Android игр.

2) Включаете свой Chromebook в полностью закрытой от внешнего мира локальной сети предприятия и логинитесь не из под своего персонального домашнего аккаунта Google, а из под рабочего аккаунта Active Directory.


3) В результате вместо ожидаемого интерфейса Chrome OS вы на весь экран получаете интерфейс десктопа Windows со всеми локально предустановленными приложениями, от Microsoft Office до Adobe Creative Suite. 


4) Далее используете свой Chromebook весь день, как обычный Windows компьютер, пока не разлогинитесь.


Во-вторых, с лицензией Chrome Enterprise любое устройство Chrome OS может функционировать как получатель программных пакетов, которые в своём контейнере могут содержать приложения от любых операционных систем (кроме iOS и macOS ввиду лицензионных ограничений Apple).

Таким образом, если в вашей организации развёрнут сервис распространения приложений от Citrix или VMware и, соответственно, есть служба Active Directory, куда добавлен ваш Chromebook, то возможен следующий сценарий работы:

1) Вы приходите со своим Chromebook на работу, которым пользовались дома, как обычно только для Web и Android приложений.

2) Включаете свой Chromebook в полностью закрытой от внешнего мира локальной сети предприятия и логинитесь не из под своего персонального домашнего аккаунта Google, а из под рабочего аккаунта Active Directory.

3) На экране появляется стандартный интерфейс Chrome OS, которым вы можете продолжать пользоваться, как и ранее.

4) Помимо стандартных приложений для Chrome OS, у вас есть ярлык для запуска распространямых приложений, который, равно, как и ярлык Google Play, переносит вас в корпоративный магазин приложений для ОС Windows, Linux и т.п. (кроме iOS и macOS).

5) Вы либо сами устанавливаете на свой Chromebook отдельные приложения Windows, Linux и т.п. и получаете такой же, как обычно, ярлык для их запуска на Chrome OS, либо администратор Active Directory групповой политикой устанавливает в ваш пользовательский аккаунт эти приложения принудительно.

6) Вы используете на Chrome OS с лицензией Chrome Enterprise одновременно любые приложения, которые захотите, в любом порядке. Например, в одном окне у вас открыт старый 1С 7.7, несовместимый с облаками, в другом Microsoft Excel, в третьем Google Sheets (для тех, кто не знал он может работать польностью оффлайн), в четвёртом Adobe Photoshop и вы либо копируете (Ctrl+C/Ctrl+V) информацию между окнами из приложения в приложение, чтобы из старых данных создать новый красивый отчёт, либо записываете их в файл на Google Drive, либо на внутренний Windows File Server и открываете последовательно их в каждом приложении. При этом параллельно слушая ранее сохранённую музыку из родного Spotify приложения для Android.

И в завершение всего этого, стоит отметить следующее:

1) Стоимость лицензии Chrome Enterprise составляет $50 в год на устройство, что примерно равно стоимости обязательной для всех Windows компьютеров в домене Active Directory лицензии Windows CAL.

2) Стоимость обычного Chromebook в среднем ниже стоимости ноутбука на Windows при сопоставимых аппаратных характеристиках.

3) Стоимоть типичного Chromebook в среднем сильно ниже стоимости аппаратного тонкого клиента Citrix или VMware при несопоставимо большем объёме функций.


В общем, если вы параноидально беспокоитесь за безопасность своих данных и не при каких условиях не хотите их выкладывать в облако, равно как и стремитесь выполнять все возможные требования законов по защите персональных данных для государственных организаций, то теперь вы можете абсолютно спокойно использовать устройства Chrome OS для работы в локальной сети наравне и даже взамен Windows компьютеров. 

Если совсем страшно, то просто запретите политиками G Suite запуск любых облачных сервисов на Chrome OS (это штатная функция изначально) и ещё для верности заблокируйте на файрволле доступ изнутри сети к любым Web сайтам, кроме двух адресов (один для обновления ОС Windows и один для обновления Chrome OS) и спите спокойно.
Отправить комментарий