Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: Hever 11. 02. 2016, 12:31:38

Název: Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 11. 02. 2016, 12:31:38
Zdravím, potřebuji radu.

Existuje možnost ve větší firemní síti (asi 50 uživatelských stanic) nezavádět autentizaci uživatelských stanic oproti AD DC (Active Directory Domain Controlleru, česky doménový řadič)?

Nyní je politika nastavená tak, že na počítačích běžných zaměstnanců jsou čisté instalace windows s nějakým tím antivirem nasdíleným file serverem (funguje když je počítač ve firemní síti nebo na VPN, všichni vidí to stejné). Uživatelé pak pracují s různými systémy (nějaký ten ERP, nějaké CRM, a google apps) do kterých se autentizují svým heslem. Firma se ale rozrostla a už je potřeba řešit oprávnění k jednotlivým složkám na file serveru. Pomyslel jsem si - nu což, na file server se tedy budou přihlašovat. Havaruje to ale na tom, že windows umí login na file server, ale poněkud zapomněli implementovat logout [1][2] (zdravím a posílám pěknou písničku do Redmondu).

Pokud bych měl zavádět AD DC, určitě bych se prvně snažil vyhnout všem Microsoft řešením (vendor lock-in), tedy nechtěl bych zabředávat do všelijakých možností AD a zavedl bych jen onu autentifikaci, což by mělo jít i se sambou na linuxu. Ale vůbec se mi to nepozdává a byl bych velmi štastný, kdybych se tomu mohl vyhnout.

Moje otázka teda je - řeknete mi všichni, že jsem blázen a AD autentifikace do systému je v tomto případě prostě něco nevyhnutelného? Nebo se najde někdo, kdo mě v mém osamělém boji podpoří a ukáže mi, že jsou i jiné možnosti?


TLDR;

Proč jsou na stanicích windows? Do sedmiček jsem i já windows používal (až s příchodem strašlivých osmiček jsem pochopil, že patřím na linux) a je to tak nějak zvykem. Nerad bych ale v tomto zabřednul, a mám pocit, že nasazením AD by se přesně toto stalo. Rád bych, aby se i na klientech začal postupně používat svobodný software a jednou by na něm mohlo fungovat všechno.

Proč se mi Active Directory authentication příčí? Obecně mi přijde zvrácené spojovat možnost přístupu k file serveru s přístupem do počítače. Většina stanic jsou notebooky a velmi mnoho lidí s nimi chodí mimo síť i na dlouhou dobu. Co jsem zjistil, tato politika s tím má problém. Když není k dosažení DC, párkrát se ještě do svého účtu na svém notebooku přihlásit lze, ale jen chvíli, pak je uživatel bez DC vyřízený. Co pak odpovídat na telefonáty nešťastných uživatelů, kteří se nemůžou přihlásit ke svému účtu? A co pak uživatelé s jinými OS - bastlit je taky na toto monstrum? A mimochodem, co CALy, mám pocit, že bychom se bez nakupování licencí (na co?) neobešli?

Proč je potřeba odhlášení od file serveru? Protože, myslím si, je to přece naprosto přirozená věc. Přijde za mnou kolega, bavíme se, chce mi něco ukázat, odhlásím se, on se přihlásí, ukáže, odhlásí se, přihlásím se zpátky já. Toto je podle mě normální. Nehledě na to, že někdy můžu mít kromě svého i nějaké další speciální přístupové loginy. Odhlásit se v prostředí windows od přihlášeného file serveru jde jen odhlášením se z windows sezení (alternatvině použitím nějakých příkazů, které restartují službu a ručním shozením všech explorer oken - což je nepoužitelné, nelze vysvětlit běžnému uživateli). Rozumím, že v případě s kolegou a AD DC autentifikací bych dal přepnout windows účet, kde by se kolega přihlásil. Tomuto postupu ale bez AD DC autentifikace (tedy lokální účet a pracovní skupina) alternativa není - a mít více účtů na každém klientu mi přijde jako nesmysl.

Co jsem zkoušel? Pochopil jsem tedy, že se při použití běžného "windows sdílení souborů" (což je jakási směsice postupů a protokolů, asi označovaná SMB nebo CIFS) s odhlášením nepochodím, hledal jsem, jestli windows neumí *namapovat* i jiné protokoly, u kterých by možnost odhlásit se byla. Našel jsem jen NFS, ale ani to není z různých důvodů použitelné (ne všechny windows ho umí a ty co ho umí ho ani neumí vždy správně a je snad i potřeba ultimate verze).

Jak bych to tedy asi řešil? Použít aplikaci, která umí namountovat do systému sdílené adresáře. Takové aplikace existují, když se nezabývám nešifrovanými protokoly, tak používají protokol SFTP. To samozřejmě není problém, naopak by to i krásně eliminovalo potřebu VPN pro těch pár co se připojují ze světa. Nabízí placené aplikace ExpanDrive, NetDrive, WebDrive, SFTP Net Drive - kde jsou minimální funkční i cenové rozdíly. Ve světě svobodného software existuje knihovna Dokan a například aplikace sshfs, ale vypadá to nevyladěné, vlastně mi to i při triviálních pokusech jaksi zamrzlo a nešlo s tím nic dělat ani po restartu. Když chci mít adresář namapovaný v systému a šifrovaný protokol, už nic jiného v nabídce nevidím. Takže možností jsou jen ty placené aplikace. U nich mi tedy vadí, že to není součást systému, jakási ikonka navíc na kterou si musí uživatelé zvyknout, ale problém to řeší. A taky potenciálně nejistá budoucnost, když to nemá otevřený kód - ale tak už to hold chodí.

Fakt nevyužít AD i se vším co umí? Nechce se mi do toho, nemyslím si, že to potřebujeme. DNS, DHCP umí router. Tisk řeší síťové tiskárny. Exchange se nepoužívá (google apps). Distribuovat aktualizace z jednoho místa by mohlo být ke zvážení, ale zvládneme i to i bez toho. A group policy - to už by byl, myslím, potřeba windows server a studování stovek screenshotů jak se co s tím dá dělat, a do toho se mi moc nechce (stojí to za to?).


[1] http://superuser.com/questions/883604/disconnecting-logging-out-from-windows-network-share-without-restarting-workst
[2] http://superuser.com/questions/327974/logging-out-of-a-network-share-drive-without-reboot/883606#883606
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: vana-hb 11. 02. 2016, 12:55:01
U 50ti lidí bych o AD uvažoval. A jestli jsou licence tak neni co řešit protože lepší řešení neexistuje.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: j 11. 02. 2016, 13:21:27
Citace
Co jsem zjistil, tato politika s tím má problém...
Zadny problem s tim neni. Jen potrebujes, aby se user na notesu aspon jednou prihlasil v domene, pak uz AD nepotrebuje videt.

Citace
Proč je potřeba odhlášení od file serveru
Jednak je to blbost (protoze davat svoje heslo nekomu do profilu muze leda magor) druhak si kdokoli muze mountnout cokoli pod libovolnym uctem kterej zna. Vubec se nikde nemusi odhlasovat. Proc by jako mel? Sem zvedav, jak bys resil ty uzasny situace, kdy aplikaci zmizej data pod rukama, protoze user odpojil sitovej disk ...

Citace
Co jsem zkoušel?
Zjevne samy blbosti, protoze si nezkusil ani google. NFS je vykonostni tragedie.


Citace
Jak bych to tedy asi řešil?
Resil bych to tak, ze bych najal admina, kterej ma aspon paru o tom, jak veci fungujou a nevymejsli kraviny. Fakt se tesim, jak budes vysvetlovat, ze sice sou stanice na gigovy siti, ale data se prenasej rychlosti modemu ... Kolik myslis ze sftp da? Kdyz z toho vyzdimes 10Mbit pro JEDEN stroj, tak si muzes gratulovat. CPU serveru pojede na 100%.

Citace
Fakt nevyužít AD i se vším co umí ...
Mno jestli te bavi obchazet 50 stroju porad dokola a kazdej nastavovat extra ... me by nebavilo ti to platit.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Hever 11. 02. 2016, 14:03:21
Díky za reakci, zkusím trochu oponovat:

Citace
Zadny problem s tim neni. Jen potrebujes, aby se user na notesu aspon jednou prihlasil v domene, pak uz AD nepotrebuje videt.
Není to tak. Po přihlášení v doméně se může člověk offline přihlásit, ale jen několikrát, podle toho jak je nastavený CachedLogonsCount, kde je výchozí nastavení 10 možných přihlášení, možno zvýšit na 50. Pak je otázka, jestli je to dost nebo není. Dokážu si představit, že to na pár denní služebce v sibiřské stepi nemusí stačit (kdyby to byl počet dní, řeknu si ok, ale počet přihlášení může být málo).

Citace
protoze davat svoje heslo nekomu do profilu muze leda magor
Proč? Samozřejmě  si nezaškrtne "pamatuj si toto heslo". Myslím, že je běžné, že se člověk k různým službám přihlašuje z různých míst.

Citace
druhak si kdokoli muze mountnout cokoli pod libovolnym uctem kterej zna
Nemůže. Nemůžeš si mountnout už namountovaný sdílený adresář pod jiným loginem, nejde to - už tam někdo přihlášený je.

Citace
aplikaci zmizej data pod rukama, protoze user odpojil sitovej disk
Ano, to je samozřejmě situace, která může nastat, vychází to z principu věci. Stejně tak se toto stává, když vypadne kabel/wifi signál nebo spadne server.

Citace
protoze si nezkusil ani google
Sice je používán google apps, ale celkově je směr nastavený opouštět "cloudové" služby a stěhovat si svá data na svá zařízení. Takže přesunovat file server na cloud je v tomto ohledu nesmysl. Také si nedovedu představit, jak by si lidé sdíleli nějaké 100MB soubory přes cloud (architekti a projektanti s takovými velikostmi opravdu běžně pracují).

Citace
najal admina
Ano, cesta s AD admina vyžaduje, protože je krkolomná a bez specializovaného admina blbě realizovatelná. Takže je to hodně drahá cesta. Zkouším najít levnější, jednodušší.

Citace
stanice na gigovy siti, ale data se prenasej rychlosti modemu ... Kolik myslis ze sftp da?
Díky za relevantní podnět. Je pravda, že SSH šifrování mívá nemalou režii. Zkusím se na to zaměřit.

Citace
obchazet 50 stroju porad dokola a kazdej nastavovat extra
Ono si to žije vlastním životem. Na začátku se tam nahodí ten antivir, nastaví pár drobností, nainstaluje tiskárny a přístup k ERP. Ale pak už se s tím prakticky nic neřeší. Takže neobcházíme ty počítače.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: i.cz 11. 02. 2016, 14:49:24
CachedLogonsCount znamena kolik ruznych uctu se nacachuje. Ne kolikrat se muzu pripojit offline.

A pokud nastavim na 0, tak vlastne zakazu offline prihlaseni.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: vty 11. 02. 2016, 15:07:41
Je to v dnešní době exotický požadavek, ale proč ne?
Pochopil jsem (možná špatně), že chcete souborový systém přístupný po síti pro počítače s OS Windows a s centralizovanou správou uživatelských účtů na Windows klientech. Zároveň nechcete použít pro Windows klienty NT doménu resp Active Directory (a to ani v podobě opensource Samba). Bohužel to je jediné nativní řešení pro požadovanou centralizovanou správu účtů ve Windows.
Pro centralizovanou správu účtů, vám pak zbývá projekt pGina napojený např na LDAP aj. To samotné, ale neřeší přístup z Windows k síťovému souborovému systému. Pokud vám nebude vadit Samba, můžete ji zde použít v standalone roli s uživateli v LDAPu.
Máte-li chuť a čas na experimenty, tak mě ještě napadá pro vaše požadavky OpenAFS a pak byste nebyl závislý ani na SMB protokolu.
Je třeba očekávat, že u obou řešení se vyskytnou potíže a nemusí být lehké je zdolat.
Přeji hodně štěstí.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Dzavy 11. 02. 2016, 15:36:03
50 windows stanic bez AD a GPO? Jako admina bych Te asi vyhodil.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: JimB 11. 02. 2016, 16:50:01
No upřímně máte o správě sítě docela zajímavé mínění, tak jak si to představujete je možná funkční na nějaké LAN o 5 uživatelech - řešíte nějaké odhlašování od fileserveru, které IMHO vůbec nehraje roli, ale neřešíte, že nemáte centrální správu uživatelů - co systém to vlastní databáze uživatelů, hesel, skupin, úpřímně bych asi ani nechtěl vidět ten nepořádek c v tom je/bude s přibývajícím počtem uživatelů. Nehledě na to, že AD přináší i další možnosti ohledně správy jednotlivých stanic, což při 50 strojích už skoro nejde ani "oběhat". Stejně tak používat DHCP/DNS na routeru mi přijde docela na hraně i když by se o tom dalo v závislosti na použitém routeru polemizovat. Nepropaguji tu řešení MS, AD se dá při 50lidech a jedné doméně, poměrně slušně postavit i na SAMBA, no a abych se postavil i na druhou stranu, dovedu si představit a i zažil jsem síť ve free firmě, kde si uživatelé defacto spravují PC sami, takže se moc neřeší administrace stanic, ale i tak se využívala centrální správa uživatelů v podobě LDAP. Osobně doporučuji se tomu začít více věnovat / najmout člověka který tomu rozumí.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: win 11. 02. 2016, 16:50:30
pokud by byl zájem, můžeme navázat spolupráci v této souvislosti :) můžu poradit, pomoct případně zrealizovat
když tak zanech kontakt a domluvíme se ...
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: icantbelieveit 11. 02. 2016, 17:15:41
Pominuli fakt, ze tento dotaz patri spise do sekce humor, protoze ukazuje autorovu absolutni neznalost technologii, pak pokud jedinym pozadavkem fileserver postaveny na Windows s potrebou resit opravneni k jednotlivym slozkam, tak opravdu Active Directory nepotrebuje. Na serveru staci vytvorit lokalni uzivatele a pak dle pozadavku nastavit opravneni pro slozky ktere chce v ramci workgroup sdilet. Pro takovy file "server" ani nepotreba serverovou edici Windows, pro 20 konkurencnich pripojeni postaci i Windows 7 Pro.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: VK 11. 02. 2016, 19:49:49
Active Directory je v podstatě LDAP + Kerberos, tedy věci známé i v linuxovém prostředí, a díky tomu máme i Sambu. V čase, kdy jsem dělal v soukromé firmě a měl na starost malou síť (linuxový server i klienti) jsem používal i NFS a nemyslím, že to byla výkonnostní tragédie, spíš naopak. Ale konfigurace NFS a Kerberosu byla nad moje síly.

Nyní spravuji jen vlastní domácí pidi síť se Sambou a musím uznat, že nic snadnějšího neexistuje, zvlášť když na serveru mám Zentyal (headless). A to stále používám linuxové klienty. Na OpenSUSE se díky YaSTu konfiguruje připojení do domény, připojení sdílených adresářů i použití SMB nebo Kerberosu k autentizaci prakticky samo. Bohužel.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: j 11. 02. 2016, 20:38:29
Není to tak. Po přihlášení v doméně se může člověk offline přihlásit, ale jen několikrát, podle toho jak je nastavený CachedLogonsCount, kde je výchozí nastavení 10 možných přihlášení, možno zvýšit na 50. Pak je otázka, jestli je to dost nebo není. Dokážu si představit, že to na pár denní služebce v sibiřské stepi nemusí stačit (kdyby to byl počet dní, řeknu si ok, ale počet přihlášení může být málo).
Prosimte nepis takovyhle hovadiny, AD adminuju 10+ let. Zcela bezne se lidi s NB ukazou v domene 1-2x do roka. S AD je spousta problemu, ale tohle k nim rozhodne nepatri.

Citace
Proč? Samozřejmě  si nezaškrtne "pamatuj si toto heslo". Myslím, že je běžné, že se člověk k různým službám přihlašuje z různých míst.
Jasne, a ten keyloger kterej ma user spustenej si to heslo nezapise taky...

Citace
Nemůže. Nemůžeš si mountnout už namountovaný sdílený adresář pod jiným loginem, nejde to - už tam někdo přihlášený je.
Jasne, opet, nevis vubec co pises, stejne jako v prvnim bode, kdykoli lze mount na cokoli pod libovolnym uctem, samo, nepripojis 2x stejny pismeno. Ale klidne pripojis 10x stejnej share pod ruznejma uctama.

Citace
Citace
protoze si nezkusil ani google
Sice je používán google apps, ale celkově je směr nastavený opouštět "cloudové" služby a stěhovat si svá data na svá zařízení. Takže přesunovat file server na cloud je v tomto ohledu nesmysl. Také si nedovedu představit, jak by si lidé sdíleli nějaké 100MB soubory přes cloud (architekti a projektanti s takovými velikostmi opravdu běžně pracují).
... kde byla rec o gapps? Ty jen neumis pouzit google k tomu, abys ziskal aspon zakladni informace o tom, jak veci fungujou.

Citace
Citace
najal admina
Ano, cesta s AD admina vyžaduje, protože je krkolomná a bez specializovaného admina blbě realizovatelná. Takže je to hodně drahá cesta. Zkouším najít levnější, jednodušší.
Nikoli, mnohem drazsi je zamestnavat nekoho, kdo hleda cesty, misto aby pouzil to co existuje a normalne (v ramci moznosti) funguje.

Citace
Citace
obchazet 50 stroju porad dokola a kazdej nastavovat extra
Ono si to žije vlastním životem. Na začátku se tam nahodí ten antivir, nastaví pár drobností, nainstaluje tiskárny a přístup k ERP. Ale pak už se s tím prakticky nic neřeší. Takže neobcházíme ty počítače.
Jasne, takze nova verze aplikaci se ti instaluje tak nejak kdy se userum chce, pripadne neinstaluje vubec, nebo maji vsichni admina ...

50 windows stanic bez AD a GPO? Jako admina bych Te asi vyhodil.
... tak nejak ... kdyz widle, tak proste AD.

... dovedu si představit a i zažil jsem síť ve free firmě, kde si uživatelé defacto spravují PC sami, takže se moc neřeší administrace stanic, ale i tak se využívala centrální správa uživatelů v podobě LDAP. Osobně doporučuji se tomu začít více věnovat / najmout člověka který tomu rozumí.
Ja si to radsi predstavovat nechci, protoze sem to taky parkrat videl - predevsim v ruznych IT firmach to pak vede k tomu, ze cela firemni sit je derava jak reseto, kazdej si provozuje nejaky svoje tunely vsude mozne ...
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Hever 12. 02. 2016, 00:40:37
CachedLogonsCount znamena kolik ruznych uctu se nacachuje. Ne kolikrat se muzu pripojit offline.

A pokud nastavim na 0, tak vlastne zakazu offline prihlaseni.

Ok, díky za dobrou zprávu! Prvně jsem si k tomu prošel tak dva zdroje (microsoft) a nabyl jsem dojmu, že to takto není, ikdyž jsem si to četl asi pětkrát. Teď se dívám jinde, že jsem to opravdu pochopil špatně (ostatně, zjistil jsem na jiných fórech taky, že nejsem první ani poslední, kdo to blbě pochopil - microsoft o tom píše vágně - a komu je to důrazně vysvětlováno).

co systém to vlastní databáze uživatelů, hesel, skupin
...
Stejně tak používat DHCP/DNS na routeru mi přijde docela na hraně i když by se o tom dalo v závislosti na použitém routeru polemizovat.
...
dovedu si představit a i zažil jsem síť ve free firmě, kde si uživatelé defacto spravují PC sami, takže se moc neřeší administrace stanic, ale i tak se využívala centrální správa uživatelů v podobě LDAP. Osobně doporučuji se tomu začít více věnovat / najmout člověka který tomu rozumí.
Co systém to jeden nezaheslovaný účet, nic víc.

To by mě zajímalo - proč by měl být DHCP server na routeru nedostatečný? (Zajímá mě to obecně, přesto dodám, že routery máme značky Mikrotik). Stejně tak DNS - co na této primitivní službě může Microsoft AD dělat jiného?

Centrální správě uživatelů se nijak nebráním, naopak ji samosebou budeme vytvářet - kvůli file serveru budeme určitě vytvářet pořádek v uživatelích a budeme jej chtít propojit se stávajícími dvěma systémy.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Hever 12. 02. 2016, 00:57:08
1) Prosimte nepis takovyhle hovadiny, AD adminuju 10+ let. Zcela bezne se lidi s NB ukazou v domene 1-2x do roka. S AD je spousta problemu, ale tohle k nim rozhodne nepatri.
...
2) Jasne, a ten keyloger kterej ma user spustenej si to heslo nezapise taky...
...
3) Jasne, opet, nevis vubec co pises, stejne jako v prvnim bode, kdykoli lze mount na cokoli pod libovolnym uctem, samo, nepripojis 2x stejny pismeno. Ale klidne pripojis 10x stejnej share pod ruznejma uctama.
...
4) Jasne, takze nova verze aplikaci se ti instaluje tak nejak kdy se userum chce, pripadne neinstaluje vubec, nebo maji vsichni admina ..

1) Ok, omlouvám se, viz výše.
2) Tento druh paranoi nepřijímám. Keyloggery můžou být všude. Když bude v prezentačce nějaké PC, taky tam budeš před přihlášením lozit pod stůl, jestli tam není keylogger? V takové firmě, kde by mě někdo nalákal abych se u něj přihlásil, aby mi keyloggerem sejmul heslo, v takové bych nechtěl pracovat.
3) Uznávám, nevím. Hledal jsem, nenašel jsem. Jak toho docílit, jak to vysvětlit uživatelům, že to můžou vyklikat?
4) Nová verze aplikace není. Není žádná aplikace. Je jedna jakási síťová (při instalaci widlí se tam nějaké věci ponastavují aby to fungovalo) a pak webové.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 12. 02. 2016, 12:02:11
Za všechny dosavadní zprávy všem děkuji. Mám ve zvyku automaticky nepřijímat všechny zavedené pořádky, teda především ty, u kterých mám pocit, že by mohlo existovat i něco jiného. Proto jsem si dovolil tady položit tuto kacířskou otázku. Pár věcí se mi prozatím rozleželo v hlavě.

Abych trochu objasnil co mě vede takto uvažovat. O uživatelských stanicích (především o těch s windows) uvažuju dost jako jen o hloupých terminálech a tedy od samotného systému neočekávám víc než že spustí nějakou aplikaci, ve které si už uživatel řeší všechno. Podvědomou inspirací k tomuto myšlení je mi asi současná doba mnoha "hloupých" zařízení v síti, především mobily a tablety. U takových zařízení se člověk nepřihlašuje, maximálně je tam nějaký ten pin. Až v něm si potom spustí svou aplikaci, kde se autentizuje. Co se group policy týká, věřím, že může nabízet spousty zajímavých věcí. Ale věřím, že u většinu těchto věcí není třeba, když člověk systémy ve firmě navrhne jinak, jednodušeji. A co se zaručení bezpečnosti týká, to by samozřejmě byl silný argument. To bych si ale nesměl o windows myslet, že je to už v základu jeden velký bloatware. (Můžu to tady vyslovit, žejo? Jsme na "linuxovém webu"? Do fóra dlaždičů bych to nenapsal, ale tady můžu, ne?) Chápu, že nechat uživateli systém napospas je giganticky průserové, já prostě ale moc nevěřím tomu, že windows spravované (řekněme nikoliv ultra špičkovým adminem) na tom budou o tolik líp.

Dále si sám pro sebe odpovím, že přihlašování do operačního systému je třeba - uživatel by měl možnost si uzamknout celý systém a odskočit si do kuchyňky oloupat pomeranč, protože "odhlašovat se" z přihlášených systémů je blbost. A když uzamknout, tak tam musí být heslo (takže jak jsem psal, že spousta OS běžných uživatelů je nezaheslovaných, tak to je špatně - ikdyž u privilegovaných uživatelů to neplatí a ti bežní vidí všichni to stejné, přece jen by někdo mohl provádět nějakou akci pod loginem někoho jiného a to je špatně).

Ještě si nechám uležet to, jestli to heslo musí být z centrální databáze. Samozřejmě, zní to rozumně. Ale nestačil by ekvivalent pinu, tedy že si uživatel na tom svém počítači přednastavený účet zahesluje? (Nedokážu zatím posoudit kolik moc věcí je tam navíc oproti "centrální správě uživatelů", kterou stejně budeme vytvářet pro samba share file server a dvě firemní aplikace)
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: TKL 12. 02. 2016, 14:49:39
AD je jeden z mála opravdu bezproblémových MS produktů. Jeho nasazení v síti, kterou popisujete, má zcela jednoznačné opodstatnění a ve výsledku vám ušetří spoustu práce. V zásadě můžete mít opravdu jen jeden DC + jeden BDC (jistota je jistota) a fileserver mít na linuxu (Samba + Kerberos) s ověřováním vůči AD (funguje bezproblémově).
Nicméně musím říct, že když píšu o AD jako bezproblémovém produktu, mám tím na mysli kromě ověřování a pohodlného nasazování politik na mysli také sdílení souborů, protože takové možnosti, jako windowsí filesharing, vám Samba nedá (nebo jen velmi nepohodlně a po velkém přemlouvání). Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Také Windows nemiluji a v zásadě rozumím tomu, jak uvažujete, ale v případě AD jde o výjimku, která potvrzuje pravidlo. Navíc - pokud AD nasadíte - budete připraven na situaci, kdy se objeví požadavek na přístup uživatelů z jiné domény, a pak budete rád, že jste se správně rozhodl, protože nastavení vztahů důvěry mezi AD je taky celkem pěkná věc.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Hever 18. 02. 2016, 12:24:04
Na některé mé otázky si už umím odpovědět, na některé ještě ne.

klidne pripojis 10x stejnej share pod ruznejma uctama
Toto se obávám, že opravdu nepůjde, viz: http://superuser.com/a/95875 (rád se nechám přesvědčit o opaku)

DNS na routeru obstarat nejde, protože potřebujeme záznamy SRV, routery umějí jen něco jako A záznamy. Takže potřebujeme nějaký DNS server. Nabízí se otázka - mají tyto SRV záznamy být viditelné z internetu nebo jen z lokální sítě?

DHCP - tady bych se asi stále klonil k tomu, aby ho rozděloval "hloupý" router. Je nějaký důvod to integrovat do AD?
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: TKL 18. 02. 2016, 14:20:24
Na některé mé otázky si už umím odpovědět, na některé ještě ne.

klidne pripojis 10x stejnej share pod ruznejma uctama
Toto se obávám, že opravdu nepůjde, viz: http://superuser.com/a/95875 (rád se nechám přesvědčit o opaku)

DNS na routeru obstarat nejde, protože potřebujeme záznamy SRV, routery umějí jen něco jako A záznamy. Takže potřebujeme nějaký DNS server. Nabízí se otázka - mají tyto SRV záznamy být viditelné z internetu nebo jen z lokální sítě?

DHCP - tady bych se asi stále klonil k tomu, aby ho rozděloval "hloupý" router. Je nějaký důvod to integrovat do AD?

DNS: SRV záznamy vám stačí dostupné z LAN.
DHCP: je důvod to integrovat do AD, a to jednoduchý: bude vám záznamy o IP adresách připojených strojů aktualizovat v DNS AD, což je velmi praktické.

Shrnuto a podtrženo: není důvod jednotlivé základní služby rozhazovat mimo DC, protože si tím jen přidáte práci a nic tím nezískáte.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: JardaP . 18. 02. 2016, 14:22:21
Citace
stanice na gigovy siti, ale data se prenasej rychlosti modemu ... Kolik myslis ze sftp da?
Díky za relevantní podnět. Je pravda, že SSH šifrování mívá nemalou režii. Zkusím se na to zaměřit.

BTW, tady dost zalezi na tom, jestli mate u prenosu zapnutou kompresi. Ja kdysi prenos po SFTP pouzival pro prenos dat oproti routeru, ktery routoval par pocitacu s nekolika % zateze CPU kdyz jen routoval. Byl to stary krap, nejake Pentium na 100MHz s 32 MB pameti. Pri spusteni prenosu po SFTP bez zkomprese zatez vylezla, ale byla unosna, mozna tak 10% navic. Ale jak se zapla komprese, tak sel router do kolen a zatez byla konstantni 100%. Dost mozna to i zpusobovalo zpomaleni v prehazovani paketu mezi interfacy.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Ondro 19. 02. 2016, 21:58:03
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Tak takemu manazerovi by som povedal nieco. Taketo drobenie prav k nicomu dobremu nevedie, len k zbytocnej praci a problemom. A je podla mna ukazkou niecoho "zleho" v firme.
Vlastne mi to pripada ako poziadavka z minuleho storocia(zaciatku tohto), ked sa pracovne ulohy riesili pomocou "excelu" a subory vladli svetu.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: TKL 19. 02. 2016, 22:07:44
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Tak takemu manazerovi by som povedal nieco. Taketo drobenie prav k nicomu dobremu nevedie, len k zbytocnej praci a problemom. A je podla mna ukazkou niecoho "zleho" v firme.
Vlastne mi to pripada ako poziadavka z minuleho storocia(zaciatku tohto), ked sa pracovne ulohy riesili pomocou "excelu" a subory vladli svetu.

Cha, soubory (a obzvláště ty excelovské) stále "světu" vládnou! Ne, že bych z toho měl radost.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: vana-hb 21. 02. 2016, 08:43:22
DHCP - tady bych se asi stále klonil k tomu, aby ho rozděloval "hloupý" router. Je nějaký důvod to integrovat do AD?
Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.

Spíš bych tu tvojí otázku postyvil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: vana-hb 21. 02. 2016, 08:46:26
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Tak takemu manazerovi by som povedal nieco. Taketo drobenie prav k nicomu dobremu nevedie, len k zbytocnej praci a problemom. A je podla mna ukazkou niecoho "zleho" v firme.
Vlastne mi to pripada ako poziadavka z minuleho storocia(zaciatku tohto), ked sa pracovne ulohy riesili pomocou "excelu" a subory vladli svetu.
Přidělovat různá oprávnění k darům je naprosto běžná věc nad kterou se ani nepozastavuji. Dělá se to u souborových systémů, ale dělá se to i v is. Co je na tom zvláštního že nechci aby poddaný viděl data ředitele a že třeba  elá kancelář může zapisovat a jen nováček bez důvěry jen číst?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: j 21. 02. 2016, 09:43:36
...
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: TKL 21. 02. 2016, 11:23:08
...
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.

Ale zjistíte. Řiká se tomu audit oprávnění. Jen se nesmí používat záporná oprávnění, ta se auditují těžko.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 21. 02. 2016, 11:39:49
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.

Tak zalezi na tom, jak blbe to kdo udela. Na Widlich se v tom da udelat neuveritelny bordel, ve kterem se uz nikdo nevyzna a to tak, ze se zacnou pridelovat ruzna prava jednotlivym uzivatelum. No a kdyz mate treba 50 serveru a 1000 uzivatelu...... Radsi moc nerozpatlavat, uz jsem to videl v praxi.

Nicmene si take muzu vytvorit skupiny s ruznymi pravy, ktere pouziju pro pridelovani prav k pristupu k ruznym sdilenim. Tedy napriklad mam server srv1, na nem sdileni share1. Potrebuji dat nekterym lidem pristup rw a jinym jen ro. Udelam skupiny srv1-share1-ro a srv1-share1-rw. Tem pridelim prislusna prava pristupu k share1 a nahazim do nich lidi. Pak se muzu vzdy podivat, kdo je v jake skupine nebo jaka slupina obsahuje jake lidi.

Podobne srv1 share2.... srv2 share1, srv2 share2..... Pricemz samozrejme pouziji jmena, ve kterych se vyznam, tedy jmena realnych serveru a sdileni, napriklad karkulka-sklad-ro.

Zasada je nepridelovat prava jednotlivym uzivatelum, ale vzdy jen skupinam a to radsi ani tehdy, kdyz mam jen jeden server, protoze je to cesta do pekel. Vysledkem je pak treba to, ze sekretarka ma pristup ke kodu vyvijene aplikace a to dokonce rw a ucetni maji pristup k sefove pornu.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: TKL 21. 02. 2016, 13:34:04
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.

Tak zalezi na tom, jak blbe to kdo udela. Na Widlich se v tom da udelat neuveritelny bordel, ve kterem se uz nikdo nevyzna a to tak, ze se zacnou pridelovat ruzna prava jednotlivym uzivatelum. No a kdyz mate treba 50 serveru a 1000 uzivatelu...... Radsi moc nerozpatlavat, uz jsem to videl v praxi.

Je to úplně jedno. Pokud se zachovává systém propsaných práv shora dolů v celé struktuře share, není rozdíl v tom, jestli to dělám skupinami nebo konkrétními uživateli. Ano, pokud to není čistě na skupiny, mám pak více práce s tím, když má dojít k nějaké změně (např. někdo odejde a musím jeho přístupy přidělit jinému uživateli). Ale dá se to snadno řešit auditem, jak jsem napsal. Každopádně v situaci, kdy potřebuji zjistit, jaká práva jsou na adresáři nebo konkrétním souboru, nevidím rozdíl v tom, jestli tam uvidím jména skupin nebo jména uživatelů nebo jména skupin + jména uživatelů.

Samozřejmě může někdo udělat tu věc - a to už bude prasárna - že některý vnořený adresář nebo soubor vyjme ze systému zděděných práv a udělá to jinak ručně. Pak může nastat problém, který je pak třeba detektivní metodou řešit.
Existují situace, kdy to takto udělat potřeba opravdu je, ale jsou výjimečné.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 21. 02. 2016, 14:39:18
Je to úplně jedno. Pokud se zachovává systém propsaných práv shora dolů v celé struktuře share, není rozdíl v tom, jestli to dělám skupinami nebo konkrétními uživateli. Ano, pokud to není čistě na skupiny, mám pak více práce s tím, když má dojít k nějaké změně (např. někdo odejde a musím jeho přístupy přidělit jinému uživateli). Ale dá se to snadno řešit auditem, jak jsem napsal.

Aha, tak to vzdycky, kdyz uzivatel Vopicka odejde do duchodu, tak kvuli Voprsalkove, co ho ma nahradit, budes delat audit namisto toho, aby ses kouknul, v jakych skupinach byl Vopicka a zaradil tam Voprsalkovou? Nejen, ze je to pekna otrava, ale i ztrata casu.

Citace
Každopádně v situaci, kdy potřebuji zjistit, jaká práva jsou na adresáři nebo konkrétním souboru, nevidím rozdíl v tom, jestli tam uvidím jména skupin nebo jména uživatelů nebo jména skupin + jména uživatelů.

Ja ake ne. Ale vidim rozdil v tom, kdyz budu potrebovat zjistit, kam vsude muze lezt Vopicka. To budu muset prohlednout vsechna sdileni, treba kvuli tomu, ze Vopicka zmenil pracovni zarazeni v ramci firmy a je mu potreba pridelit nova prava, coz neni problem, ale take mu nejaka prava odebrat, coz problem je. To kdyz mas treba tech 50 serveru, v prumeru rekneme deset sdileni kazdy, tak musis prohlednout 500 sdileni. A vzhledem k tomu, ze jsi si tam naprasil prava pro jednotlive uzivatele kam se dalo, tak to znamena prohlednout treba i tisice zaznamu, pricemz ve Widlich snad porad neni ani grep.

[/quote]
Samozřejmě může někdo udělat tu věc - a to už bude prasárna - že některý vnořený adresář nebo soubor vyjme ze systému zděděných práv a udělá to jinak ručně. Pak může nastat problém, který je pak třeba detektivní metodou řešit.
Existují situace, kdy to takto udělat potřeba opravdu je, ale jsou výjimečné.
[/quote]

A uz jsi videl sdileni, ve kterem byl adresar, ktery byl znovu sdilen pod jinym jmenem?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: BobTheBuilder 21. 02. 2016, 15:02:38
JardaP a TKL mají naprosto pravdu - práva musí být přidělena funkčně, kdo jako funkci zastává pak znamená jen zařazení nebo vyjmutí ze skupiny. Řekl bych, že limitem je tak asi 10 uživatelů sítě. V okamžiku, kdy jich je 20, začínají problémy a když jich je 2000, tak práva přidělená jednotlivým uživatelům jsou zcela neschůdná.
A není to otázka Windows, je to otázka jakéhokoliv FS s ACL. Když ACL nemáte (klasická unixová práva), tak máte problém, protože reálně potřebujete mít lidi, kteří můžou dělat změny, kteří můžou jen číst a kteří nemůžou nic. To pomineme situaci, kdy někdo s omezenými právy má vidět jen ty položky, které může otevřít alespoň pro čtení a to, co nemůže, vůbec nevidí.
Tohle měl pěkně udělané Novell Netware: stačilo někde přidělit právo k souboru a tím se automaticky umožnilo projít celou adresářovou strukturu až k tomuto objektu. Po odstranění práva zmizela práva i k té cestě.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Hever 22. 02. 2016, 22:58:39
DNS: SRV záznamy vám stačí dostupné z LAN.
DHCP: je důvod to integrovat do AD, a to jednoduchý: bude vám záznamy o IP adresách připojených strojů aktualizovat v DNS AD, což je velmi praktické.

DNS - a vadí něčemu když budou viditelné i z internetu? (obecně, co se bezpečnosti týká)

Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.

Spíš bych tu tvojí otázku postyvil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?

DHCP - dobrá, to mě napadlo, ale nevěřil jsem, že důležité servery na které se přistupuje v síti mívají IP adresu přidělovanou DHCP serverem. Automaticky všemu podstatnému dávám statickou IP. Takže víc výhod se tam neskrývá, ano?

A proč raději použít router? Připomínám, že ta síť nad kterou přemýšlím není nijak životně závislá na nějakém DC nebo AD. Nejdůležitější data jsou v databázi přístupné skrz webovou aplikaci, taktéž k emailu se přistupuje přes web prohlížeč. Tedy Active directory nepovažuju tolik za centrální kruciální bod celého systému (ikdyž marketing microsoftu to vidí jinak). No a jestli je teda pro mě důležité, ale se lidé ve firmě především v kritické chvíli dostali na web, tak potřebují především DHCP. A pokud chci mít i záložní DHCP server, je mnohem levnější mít ve skříni (nebo v síti) zařízení za 1200Kč, které jsem si za čtvrt hoďky předkonfiguroval než násobně dražší server s násobně náročnějším konfigurováním.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Pelima 22. 02. 2016, 23:26:38
No, to bych možná pochopil - třeba kvůli MS licenční politice. Pokud máte víc uživatelů, než počítačů (školy, velké firmy apod.) a CALy licencujete Per Device, tak musíte mít licenci pro každé zařízení, které jakýmkoliv způsobem používá prostředky serveru a tím jakýmkoliv je míněno třeba i ten DHCP server. Vzato do důsledku, podle MS výkladu správného licencování si musíte koupit (měl by jste) CAL pro všechny návštěvy, které použijí DHCP na serveru. Případně tam nepustíte nikoho dalšího, ale v tom případě se stáváte aktéry zajímavých rozhovorů, třeba s kontrolou ze školní inspekce (hygieny, PPP, auditora, zřizovatele...) že jim opravdu neřeknete heslo ke školní wifi, aby se mohli připojit k internetu a vyplnit kontrolní formulář s hlášenímí.
No a samozřejmně musíte počítat s CALy pro všechny síťové tiskárny, IP kamery, čtečky karet ve školní jídelně, bezdrátová AP, projektory atd. Změnu přiřazení CAL/zařízení můžete dělat max. 1x za 90dní.
Pokud toho máte v síti víc (a to nepočítám mobily a tablety učitelů, případně i žáků), asi se vyplatí se mít DHCP jinde než na serveru. Z hlediska síťařů a správců sítí to sice je naprosto blbě, ale z finančního hlediska ta úspora nemusí být zanedbatelná.


Spíš bych tu tvojí otázku postavil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 22. 02. 2016, 23:58:58
AD je jeden z mála opravdu bezproblémových MS produktů.
No nevim, ja si bezproblemovy produkt predstavuju trochu jinak... Bezproblemova mi prijde NT domena + LDAP. Vsechno hezky citelne a snadno upravovatelne. LDAP v AD je tragikomicka kupa neprehledneho bordelu. S komickymi omezenimi jako napriklad, ze "nejdou" z "bezpecnostnich" duvodu exportovat hesla. Oboji v uvozovkach, protoze staci vedet, jak na to, a jde to. Krkolomne. Cili hacker problem nema, problem ma legitimni spravce. A to se jmenuje "bezpecnost".

Pokud dojde janevim treba k nejakemu problemu se synchronizaci, neni to smrtelnik schopny dat rucne dohromady. Narozdil od te NT domeny s LDAPem, kde co uzivatel, to jasny zaznam s jasnymi polozkami, ktery pri nejhorsim jde napsat i ruco v ldapvi... V AD bez sance. Admin zustane napospas kryptickym hlaskam a na KB najde tak leda, ze mozna by to mohlo byt timhle, tak to muze zkusit a kdyby to nepomohlo, at zkusi neco uplne jineho...

Sorry, ale tohle neni bezproblemovy produkt. Bezproblemovy system je takovy, kde vim, co kde je, proc to tam je a jak to ma spravne vypadat.

Uz jenom to, ze upgrade s preskocenim verzi windows serveru neni (AFAIK) podporovany a musi se z duvodu nejakych obskurnich zmen jeste obskurnejsich LDAP schemat jit verzi po verzi, o necem svedci... (netvrdim, ze to nejde nejak poresit, zas tolik do toho nevidim, prodavam, jak jsem koupil)

protože takové možnosti, jako windowsí filesharing, vám Samba nedá (nebo jen velmi nepohodlně a po velkém přemlouvání).
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.
Samba podporuje ACL, takze to funguje uplne stejne jako na Windows. Rozchazi se to sloziteji, protoze je tam vic moznosti, jak windowsi prava mapovat na underlying (jak se to rekne cesky?) unixovy filesystem. Takze to proste je potreba nastavit, narozdil od Windows, kde co je na disku, to je na share a jina moznost neni, cili se nic nastavovat nemusi.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 23. 02. 2016, 00:02:49
Abych trochu objasnil co mě vede takto uvažovat. O uživatelských stanicích (především o těch s windows) uvažuju dost jako jen o hloupých terminálech
Ona to v principu neni uplne spatna uvaha, ale 1. uvazujes o zcestnem zpusobu realizace 2. Microsofti svet na takove pouziti neni staveny a ohybat Windows k necemu, s cim se nepocitalo, to uz je lepsi se zastrelit, otravit a jeste za koule povesit do pruvanu a to vsechno zaraz a verejne :) Pokud jde o Windows, nejlepsi je pokud mozno co nejmin vybocovat z oficialne podporovanych a obecne pouzivanych zpusobu reseni. I ta samba jako PDC je trochu risk a ten tvuj namysleny zpusob reseni je uplne mimo misu (bez urazky).
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Mirek Prýmek 23. 02. 2016, 00:05:03
Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.
Neni zodpovezena, protoze alternativou je mit staticke mapovani IP na jmeno. Coz je minimalne respektuhodne reseni (a mne osobne pocitove sympatictejsi minimalne proto, ze je tradicni :) ).
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: 3ko 23. 02. 2016, 08:57:24
pozri na zentyal.org. pre tvoju potrebu nic lepsie nenajdes a budes mat poriesenu celu domenu aj ad. a bez nakladov.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: vana-hb 24. 02. 2016, 17:26:32
Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.
Neni zodpovezena, protoze alternativou je mit staticke mapovani IP na jmeno. Coz je minimalne respektuhodne reseni (a mne osobne pocitove sympatictejsi minimalne proto, ze je tradicni :) ).
Tak u tvého "tradiční" jsou potřeba opravdu velké uvozovky protože rukama dělaji otroci a proč ručně hrabat v něčem co může fungovat samo?

A pak bych opakoval otázku "Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?" ... protože je to tradiční? No to asi ne a zajímal by mě tvůj názor protože tématu evidentně rozumíš.

Dík
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: Mirek Prýmek 24. 02. 2016, 17:35:56
Tak u tvého "tradiční" jsou potřeba opravdu velké uvozovky protože rukama dělaji otroci a proč ručně hrabat v něčem co může fungovat samo?
První poučka praktického IT zní, že nikdy nic nefunguje samo i když se to nakrásně píše v letáku ;)

A pak bych opakoval otázku "Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?" ... protože je to tradiční?
Zaznělo, že dynamicky přidělované adresy + dynamické změny dns jsou jasná volba. K tomu jsem řekl, že to zas tak jasné není. Netvrdím, že statické IP jsou lepší, ale umím si představit situaci, ve které dávají smysl.

Např. můžeš z nějakého důvodu chtít, aby určitá zařízení měla IP z určitého rozsahu. Čili ať je to AD nebo jakýkoli jiný DHCP+DNS server, tak jako tak tam musíš nastavit, že MAC ta a ta = IP ta a ta. Nic dynamického tam mít nechceš, čili ani nevyužiješ možnost dynamické změny DNS.

Jiný důvod může být třeba ten, že záznamy umíš nějakým nástrojem generovat a připojení na API jiného serveru už máš vyřešené, čili proč bys to měl předělávat pro Windows Server?

Nebo seš třeba paranoidní ohledně bezpečnosti a možnost změn záznamů stanicí se ti nepozdává z principu.

Atd. atd.

Čili nejsou to argumenty ostře proti AD, to ne. Konkrétně DNS+DHCP na něm funguje (zdá se mi) relativně slušně. Ale taky nic moc nepřináší.
Název: Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
Přispěvatel: vana-hb 24. 02. 2016, 17:39:18
Pokud toho máte v síti víc (a to nepočítám mobily a tablety učitelů, případně i žáků), asi se vyplatí se mít DHCP jinde než na serveru. Z hlediska síťařů a správců sítí to sice je naprosto blbě, ale z finančního hlediska ta úspora nemusí být zanedbatelná.


Spíš bych tu tvojí otázku postavil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?
Toto je velmi zajímavá teorie. Opravdu, licencování na zařízení je problematické a ne vždy se hodí. I když jsem auditů několik zažil a nikdy s tim problém nebyl. Ono jde možná o počet současně připojených zařízení k serveru a na dhcp serveru nafasování adresy zabere sekundu a zařízení je pryč odpojené.

ALE na druhou stranu nerozumím, proč do dhcp pleteš věci co nepotřebují a z principu je lepší když mají stále stejnou adresu. Ovšem, můžu udělat rezervaci v hdcp pro čtečky, ipkamery, tiskárny a podobné ... ALE proč hych to proboha dělal když jim prostě ip můžu nastavit a nazdar bazar???
Ty telefony a podobné ano, tam je to pravda, na druhou stranu pro tyto případy je lepší oddělit síť pro hosty.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: j 24. 02. 2016, 20:53:03
Protoze kdyz si to napises do DHCPka, tak mas zaroven centralni evidenci. Kdyz tomu das IPcko, tak pri prekroceni 10ks ztratis prehled a pri 100ks zacnes resit megapruser.

BTW: Zrovna dynamicky DNS z widloAD dhcp je neco, co nefunguje rozhodne ani trochu spolehlive. Nekdy se to aktualizuje, jindy ne, podle toho jak se to zrovna vyspi. Co hur, aby to fugovalo aspon nejak, je treba jeste stelovat klienty (widle). Samo nikoli z DHCP, ale z GPO ...

Takze (tradicne) minimalne vsechny servery maji IPcka fixni, a pokud chces, aby trebas IPcko odpovidalo evidencnimu cislu stroje a tys nemusel resit, kterej to je ...
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 21. 07. 2016, 23:48:44
Chtěl bych sem zareagovat ještě s odstupem času.

Na hlavní otázku bych tady pro budoucí generace si dovolil zanechat odpověď: I při větším množství počítačů ve firmě není nutné zavádět Active Directory.

Z názorů prakticky všech ostatních v této diskuzi to nevyplívá, ale tedy je potřeba poukázat na fakt, že ti, kteří zde odpovídají mají s AD vesmě velké zkušenosti, ale nikdy o jiné možnosti neuvažovali. Je to jako ptát se zedníků, jestli je lepší dům z cihel nebo dřevostavba.

Ti, kteří AD zavedou bývají buď ti, pro které to opravdu má smysl (školy, velké instituce, korporativistické společnosti, nebo ti co jsou zadrátovaní na Microsoftím OS, ať už obchodníchh/licenčních ohledů nebo hromadou jiného špatně navrženého SW), nebo ti, kteří zjistili, že potřebují něco jako LDAP a spolkli marketing Microsoftu.

Typicky školy využívají uživatelské stanice jako pouhý hloupý prvek v systému, desítky/stovky počítačů mají z pohledu administrátora naprosto totožný význam a vše je nejlepší řešit centrálně. Domovský adresář pak leží někde na serveru a na každém počítači uživateli najíždí stejné prostředí. Kolem toho je pak nutné vybudovat rozsáhlou administrativu, síťové vybavení, havarijní scénáře, zaměstnat několik správců, atp. V těchto případech je potřeba zvolit jaký OS se bude používat a v případě, že vyhraje Microsoft Windows (dnes skoro vždy), tak se nasazuje AD.

Potom je ale spousta případů, kde naopak AD vůbec nutné není. Dnešní menší firmy často nemají díky používání webových aplikací vytvořený vendor lock-in (závislost na dodavateli) k Microsoftu, uvědomují si široké možnosti i jiných zařízení, než je počítač s Windows (zmiňme především smartphony, tablety), takže se i na desktopu nebojí třeba PC od apple, nebo linuxu. Jejich zaměstnanci dále třeba nejsou přikovaní na jednom místě (tedy v rámci jedné LAN) a především i třeba při stovce zaměstnaců/počítačů je zde řada rozličných oddělení (desítky), která mají vždy svá specifické potřeby, takže se všechno stejně nakonec řeší jednotlivě. Věšině lidí se poskytne volnost si svůj počítač spravovat sami (instalovat programy...). Počítače nejsou anonymní, naopak každý zaměstnanec má ten svůj, který používá nejenom jako hloupý terminál, ale prostě jako počítač (třeba si tady stahuje nějaké soubory z internetu se kterými, zálohuje fotky z mobilu, a já nevím co). V této situaci může být AD (tedy LDAP + DC) nadbytečný, přinášející zbytečné komplikace.

Jak jsem psal, mnoho firem zjistí, že potřebují LDAP a tak nasazují AD. LDAP je prakticky nutné nasadit, pokud se používá větší množství nezávislých systémů a tak v každém systémů vzniká další a další seznam uživatelů, jejich hesel a oprávnění. To všechno se pak musí spravovat, dochází k redundancím a z toho plynoucím chybám a uživatelé mají spousty loginů a hesel. To umí LDAP sjednotit - jeden seznam, jedno heslo, jednou uvedená příslušnost do skupiny. Zaměstnanec přichází, odchází - pracujeme s jedním seznamem. Neznamená to ale potřebu vytvářet AD.

AD je LDAP + DC. LDAP je užitečné. DC ne vždy. Navíc DC přináší velké množství komplikací, které se snaží překrýt "výhodami", které přináší. Tyto "výhody" jsou ale vesměs jen řešení problémů, které vznikají když nasazujeme DC. Když DC nenasazujeme, tyto problémy nevzniknou. Řeč je hlavně o group policy. Dovoluji si říct, že se bez ní dá velmi dobře obejít - pak záleží jak moc bizardně máme navržené všechny možné SW a file servery ve firmě. Pokud jsme to navrhli dobře (jeden file server, SW nevyžadující akci správce počítače k aktualizaci), tak jednou počítač nastavíme a funguje.

Jak by tedy mohl vypadat klientský počítač bez DC? Není v doméně, máme zde lokální administrátorský účet (s heslem známým jen správcům), účet uživatele, který počítač používá (uživatel si účet zahesluje), na file server se dostane pod svým LDAP-účtem (na počítači s jedním uživatelem mu toto heslo můžeme uložit a přístup k datům, které vidí na file serveru si uživatel hlídá svým na svou zodpovědnost heslem do windows), do ostatního softu taktéž. To je vše.

Bez AD pak mají servery a tiskárny své pevné IP (což mi přijde dobrý nápad tak jako tak; definovány buď staticky nebo třeba na routeru, který obstarává DHCP), v místním DNSku (na routeru) jim případně můžeme (ručně) přiřadit jméno. Uživatelské stanice jsou uživatelské stanice, ne servery, takže nepotřebujeme řešit, že DNS nezná od DHCP jejich IP, atp. - prostě nikdo na uživatelské stanice nepřistupuje. U jiných zařízení, u kterých je vhodné mít buď pevnou IP nebo jejich pojmenování pak myslím davají smysl jiné VLANy a řešit to odděleně (kamery, čtečky, Voipy, odkapávače,...). Integrace DNS a DHCP v AD podle jen něco navíc pro bizardní setupy.

Na závěr dodám, že problém, který měla má firma před sebou se nakonec řeší pomocí AD (jedna windows doména; Samba4; bez DHCP). A to proto, že jsme dokázali sehnat člověka s velkými zkušenostmi s AD (správce na univerzitě), který nám s přislíbil s mnoha důležitými věcmi pomoct. Ale i tak, taková hromada předem nedefinovatelných problémů, co jsme museli a musíme řešit (především teď při procesu přecházení; a to jsou problémy, které ani zkušený AD harcovník nezná) a vidina všech těch problémů, které nepominou, ale budou s námi stále (a každé další dislokované pracoviště zase hromadu problémů přinese), z toho všeho si říkám, že jsem se nechal ukecat...
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: pt 22. 07. 2016, 00:44:09

U DHCP treba muze zalezet, pro koho bude vyuzivano:

 Q2 – If I have guests that come into my office an temporarily use a
 Windows DHCP server to grab an IP
 address to access the Internet, do they need CALs? I guess the takeaway is
 to never use a Windows DHCP server?
 
 A2 – Yes, they are using a Windows Server service and would need a CAL.

 https://blogs.technet.microsoft.com/volume-licensing/2014/03/10/licensing-how-to-when-do-i-need-a-client-access-license-cal/
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: MP 22. 07. 2016, 08:55:55
Chtěl bych sem zareagovat ještě s odstupem času.

Na hlavní otázku bych tady pro budoucí generace si dovolil zanechat odpověď: I při větším množství počítačů ve firmě není nutné zavádět Active Directory.


AD je LDAP + DC. LDAP je užitečné. DC ne vždy. Navíc DC přináší velké množství komplikací, které se snaží překrýt "výhodami", které přináší. Tyto "výhody" jsou ale vesměs jen řešení problémů, které vznikají když nasazujeme DC. Když DC nenasazujeme, tyto problémy nevzniknou. Řeč je hlavně o group policy. Dovoluji si říct, že se bez ní dá velmi dobře obejít - pak záleží jak moc bizardně máme navržené všechny možné SW a file servery ve firmě. Pokud jsme to navrhli dobře (jeden file server, SW nevyžadující akci správce počítače k aktualizaci), tak jednou počítač nastavíme a funguje.

Jak by tedy mohl vypadat klientský počítač bez DC? Není v doméně, máme zde lokální administrátorský účet (s heslem známým jen správcům), účet uživatele, který počítač používá (uživatel si účet zahesluje), na file server se dostane pod svým LDAP-účtem (na počítači s jedním uživatelem mu toto heslo můžeme uložit a přístup k datům, které vidí na file serveru si uživatel hlídá svým na svou zodpovědnost heslem do windows), do ostatního softu taktéž. To je vše.

Prave ze GPO je to, co je hlavni vyhoda DC a neexistence obdobneho na platforme Linuxu zpusoboval problem s nasazenim desktopovych Linuxu. Vy tady porovnavate situaci se statickym nastavenim, jenze doba, kdy neco takoveho bylo na X let, je minulosti. To jako na vse se budou pouzivat login scripty a modifikace registru pres skripty? A jak treba zajistite aktualizaci nastaveni ve chvili, kdy stanice neni pripojena k siti ve chvili prihlaseni? Budeme snad kvuli tomu nastavovat scheduler pro login skript? Atd. atd. atd...
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 09:57:10
Prave ze GPO je to, co je hlavni vyhoda DC
To slýchávám často, pak na to dávám otázku - v jakých konkrétních scénářích mi může být GPO užitečné? Obvykle jsem se dozvěděl, že k nastavení nějakých bizardních pseudobezpečnostních nastavení (když nepříčetný management firmy požaduje podivné věci) nebo k eliminaci různých následků spojených s nasazením AD. Potom může být užitečný k přejmenování počítače a nastavení písmenka jednotky k file serveru. Nic, bez čeho bych se neobešel, vše se dá nastavit při uvedení stroje do provozu. Při změně uživatele (zaměstnanec končí, počítač dostává jiný) stroj stejně prochází rukama správce, takže ta nutnost dělat to vzdáleně myslím není. Ale zajímá mě to, k čemu užitečnému se dá GPO využít?

Vy tady porovnavate situaci se statickym nastavenim, jenze doba, kdy neco takoveho bylo na X let, je minulosti.
Spravujete nějaké menší sítě nebo velké akademické? Jakou síť máte namysli, když píšete, že "statické" nastavení sítě už není dnešní..?

To jako na vse se budou pouzivat login scripty a modifikace registru pres skripty?
Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

A jak treba zajistite aktualizaci nastaveni ve chvili, kdy stanice neni pripojena k siti ve chvili prihlaseni?
A jak mi v tom pomůže AD, když počítače jsou prostě mimo síť?

Jinak aktualizace na klientovi by buď neměly být potřeba (používáme webové aplikace, nebo binární soubory jsou file serveru) nebo by se o to měl postarat samotný program (zkontroluje si dostupnou aktualizaci a případně ji spustí).
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: xxx 22. 07. 2016, 10:18:38
Drobna fakticka. IT je podpora pre dalsie organizacne zlozky. Darmo mas ty pocit, ze si ty nieco super nakonfiguroval, ked hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny. Vendor lockin? Aky pop.ci problem firmy tym vyriesis a ako MS AD ohrozuje nejaku biznis kontinuitu. Kludne si zvol ine riesenie, ktore ti sedi, ale toto je naozaj slaba uvaha. Co tyka CAL-ov, neonanuj nad tym, proste to vycisli a spytaj sa nadriadeneho, ci je to OK s jeho rozpoctom a ci to ma vobec zmysel riesit.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: dustin 22. 07. 2016, 10:35:18
Uživatelské stanice jsou uživatelské stanice, ne servery, takže nepotřebujeme řešit, že DNS nezná od DHCP jejich IP, atp. - prostě nikdo na uživatelské stanice nepřistupuje.

Vadilo by mi, kdybych neznal IP adresy počítačů v síti a nemohl na ně vzdáleně přistupovat. Jak bys řešil vzdálenou podporu, centrální zálohování? I v naší minisíti se správce občas potřebuje přihlásit na stroj uživatele (samozřejmě linuxový).
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Lol Phirae 22. 07. 2016, 10:43:15
To slýchávám často, pak na to dávám otázku - v jakých konkrétních scénářích mi může být GPO užitečné? Obvykle jsem se dozvěděl, že k nastavení nějakých bizardních pseudobezpečnostních nastavení (když nepříčetný management firmy požaduje podivné věci) nebo k eliminaci různých následků spojených s nasazením AD. Potom může být užitečný k přejmenování počítače a nastavení písmenka jednotky k file serveru. Nic, bez čeho bych se neobešel, vše se dá nastavit při uvedení stroje do provozu. Při změně uživatele (zaměstnanec končí, počítač dostává jiný) stroj stejně prochází rukama správce, takže ta nutnost dělat to vzdáleně myslím není. Ale zajímá mě to, k čemu užitečnému se dá GPO využít?

Já tedy nevím, ale mě věci jako
- instalace tiskáren a aktualizace ovladačů pro tiskárny
- nastavení firewallu
- instalace/aktualizace softwaru ze sítě
- přesunutí uživatelských složek (dokumenty, obrázky...) na síť kvůli zálohování
- mapování síťových disků
- nastavení prohlížeče (IE, Chrome)
- instalace doplňků do prohlížeče (Chrome)
- asi miliony dalších nastavení podle potřeby

přijdou jako užitečné a určitě kvůli tomu nehodlám obíhat jednotlivé počítače jako magor.

Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

Nějak nevím, k čemu jsou ty screenshoty. GPO se dá zálohovat a kde je které konkrétní nastavení té GPO je vidět v GPMC.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 10:57:35
...hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny.
Nesdílím tvůj názor. Co je na tom se na file server autentizovat zvlášť. Je to určitá služba. Ostatně se to tady už rozebíralo. Mimochodem, kromě MS sdílení nenajdeš snad místa, kde by ses nemohl přihlásit a odhlásit. U MS to zadrátovali do přihlášení do systému, odhlásit se není možné.

Jinak jak jsem psal - uživatele bych tímto zbytečně neotravoval, jejich autentizaci by si pamatoval (onen pochybný) windows credential, takže z jejich pohledu žádná změna.

Co tyka CAL-ov, neonanuj nad tym, proste to vycisli a spytaj sa nadriadeneho, ci je to OK s jeho rozpoctom a ci to ma vobec zmysel riesit.
O CALech se tu zmiňují spíše ostatní než já. U CALů vidím víc problém v tom, že té licenční politice snad nejde nikdy zcela dostát, než v tom to zaplatit. Lituju těch lidí, co tráví své životy řešením nevyřešitelných licenčních MS předpisů. Já to být nechci a široko daleko neznám nikoho, kdo by se tomu chtěl věnovat. Ano, jde to vyřešit "nějak" a pak si s rukama přes oči nalhávat, že je to ok. Děkuji, nechci.

Vadilo by mi, kdybych neznal IP adresy počítačů v síti a nemohl na ně vzdáleně přistupovat. Jak bys řešil vzdálenou podporu, centrální zálohování? I v naší minisíti se správce občas potřebuje přihlásit na stroj uživatele (samozřejmě linuxový).
Správce a občas? Správce se mrkne do DHCP Leases na přidělenou IP adresu a ví všechno co potřebuje vědět.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: M. 22. 07. 2016, 11:02:18
BTW: Zrovna dynamicky DNS z widloAD dhcp je neco, co nefunguje rozhodne ani trochu spolehlive. Nekdy se to aktualizuje, jindy ne, podle toho jak se to zrovna vyspi. Co hur, aby to fugovalo aspon nejak, je treba jeste stelovat klienty (widle). Samo nikoli z DHCP, ale z GPO ...

Tak ono je o tom, že Windows klinti aktualizují to DNS přímo. V základu to mají povoleno a je jedno, zda IP mají z DHCP nebo staticky. Zkouší v DNS změnit záznam přímo a pro ověření používají svůj doménový účet. A pokud zároveň je i DHCP server nastaven, že aktualizuje DNS záznamy, tak z toho někdy bývá celkem hokej.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 11:17:10
Já tedy nevím, ale mě věci jako
- instalace tiskáren a aktualizace ovladačů pro tiskárny
- nastavení firewallu
- instalace/aktualizace softwaru ze sítě
- přesunutí uživatelských složek (dokumenty, obrázky...) na síť kvůli zálohování
- mapování síťových disků
- nastavení prohlížeče (IE, Chrome)
- instalace doplňků do prohlížeče (Chrome)
- asi miliony dalších nastavení podle potřeby

přijdou jako užitečné a určitě kvůli tomu nehodlám obíhat jednotlivé počítače jako magor.
Instalace tiskáren - ano, to je užitečné, na to jsem zapomněl, díky za připomenutí. Ale to se řeší přes print server a nejsem si jistý, jestli je k tomu všemu AD nutné.

Ostatní zmíněné věci spadají do kategorie "nastaví se při zprovoznění", nebo "bizardní požadavky nepříčetného managementu". V případě šíleného managementu je pak AD samozřejmě dobrým pomocníkem v dláždění cesty do pekel, ale připomínám, že případ, kdy AD není nutné nasazovat tímto neduhem netrpí. Taky jak, jsem zmínil, počítače patři konkrétním zaměstnancům. A těm, světe div se, nedělá problém si například nainstalovat nový doplňek do prohlížeče.

Obíhat počítače je samozřejmě nesmysl. Jde ale o to, jaký si člověk na se ušije bič.

Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

Nějak nevím, k čemu jsou ty screenshoty. GPO se dá zálohovat a kde je které konkrétní nastavení té GPO je vidět v GPMC.
Měl jsem tím spíš namysli, že na skriptech obecně nevidím nic špatného. Když něco nastavuji, tak buď skriptem, nebo vyklikáváním sledujích jeden screenshot po druhém kam mám kliknout - takto vypadá běžný návod od Microsoftu, screenshoty. S tím jsem se setkal i u group policy - chci něco nastavit a Microsoft mi nabízí 20 screenshotů jak se někam dokliklat, a jak to tam pak vyklikat. Pro lepší systém člověk v takových situacích obvykle najde jednořádkový příkaz/skript.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: MP 22. 07. 2016, 12:03:31
...hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny.
Nesdílím tvůj názor. Co je na tom se na file server autentizovat zvlášť. Je to určitá služba. Ostatně se to tady už rozebíralo. Mimochodem, kromě MS sdílení nenajdeš snad místa, kde by ses nemohl přihlásit a odhlásit. U MS to zadrátovali do přihlášení do systému, odhlásit se není možné.

Jasne, na co sjednotit prihlaseni do jednotlivych sluzeb pres LDAP, kdyz pak budeme oddelovat jednotlivy sluzby oddelenym autentifikacnim seznamem. I email je sluzba, databaze je sluzba...
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 22. 07. 2016, 12:09:56
Prave ze GPO je to, co je hlavni vyhoda DC a neexistence obdobneho na platforme Linuxu
Neexistence čeho přesně? Pro Linux mám k dispozici asi tak sedm různých velkých nástrojů pro configuration management, které umí věci, o kterých se AD GPO ani nezdá. Jestli bych v něčem chtěl vidět problém, tak v různosti distribucí, ale tak to se řeší tím, že mám v rámci organizace pokud možno jenom jednu, maximálně dvě (stanice, servery).

Já tedy nevím, ale mě věci jako
- instalace tiskáren a aktualizace ovladačů pro tiskárny
- nastavení firewallu
- instalace/aktualizace softwaru ze sítě
- přesunutí uživatelských složek (dokumenty, obrázky...) na síť kvůli zálohování
- mapování síťových disků
- nastavení prohlížeče (IE, Chrome)
- instalace doplňků do prohlížeče (Chrome)
- asi miliony dalších nastavení podle potřeby

přijdou jako užitečné a určitě kvůli tomu nehodlám obíhat jednotlivé počítače jako magor.
Je potřeba to vzít od podlahy:

Co dělá GPO? Automatizovaně nastavuje registry. Jaké registry? Čert ví. V registrech se nikdo pořádně nevyzná a pořádně zdokumentované to není. Odkud bere informace, co má jak nastavit? Z jakési replikované databáze. Kdo a jak tu databázi replikuje? Jaké je její schéma? Co dělat, když se sync rozesere? To nechtějte vědět. Je to na podání výpovědi a zapálení baráku.

Takže pokud hledáme náhradu GPO, co hledáme? Nástroj, který umí nastavit registry na základě nějaké databáze.

A teď mi vykádej o tom, že nic takového neexistuje, nejde udělat, a pouštět se do toho je vyrábění zlata foukáním kouře do vody.

Mimochodem, když jsme u toho, znáš význam všech položek v AD LDAPu? Umíš je ručně spravit, kdyby došlo k nějakýmu problému. Já jo. Úplně v pohodě pomocí ldapvi.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 22. 07. 2016, 12:16:33
Citace: Mirek Prýmek link=topic=12734.msg172344#msg172344 Takže pokud hledáme náhradu GPO, co hledáme? Nástroj, který umí nastavit registry na základě nějaké databáze.
[/quote

Dobry, ale kdybys prihodil nejake nazvy softu, ktery to umi, bylo by to jeste lepsi.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 12:24:17
Jasne, na co sjednotit prihlaseni do jednotlivych sluzeb pres LDAP, kdyz pak budeme oddelovat jednotlivy sluzby oddelenym autentifikacnim seznamem. I email je sluzba, databaze je sluzba...
Myslím jsme se nepochopili. Seznam s uživatelskými hesly by měl být jen jeden.  Mluvím o obezličce, že by šlo zařídit i to, aby se uživatel po přihlášení do svého profilu na počítači nemusel přihlašovat na CIFS (neboli SMB neboli sdílení windows neboli file server). Nebo jen jednou, prostě by si jeho uživatelský profil na jeho počítači heslo zapamatoval.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: xxx 22. 07. 2016, 12:28:56
...hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny.
Nesdílím tvůj názor. Co je na tom se na file server autentizovat zvlášť. Je to určitá služba. Ostatně se to tady už rozebíralo. Mimochodem, kromě MS sdílení nenajdeš snad místa, kde by ses nemohl přihlásit a odhlásit. U MS to zadrátovali do přihlášení do systému, odhlásit se není možné.

Jasne, na co sjednotit prihlaseni do jednotlivych sluzeb pres LDAP, kdyz pak budeme oddelovat jednotlivy sluzby oddelenym autentifikacnim seznamem. I email je sluzba, databaze je sluzba...
+1
Pridem do prace a chcem pracovat a nie riesit nezmysly. Pokial ide o beznu agendu, nebudem ako sulo kade tade zadavat hesla. Ked to budem robit 20x denne, nie len, ze ma to bude otravovat ale pravdepodobnost, ze to heslo proste niekto odkuka, rastie.

Co sa tyka licencnej politiky a CAL-ov, obdivujem ludi, ktory su schopni tyzdne luskat nejaky technicky problem, precitat si niekolko sto stranove knizky o nejakej technologii, pozriet 10 for typu stackoverflow ale zdvihnut telefon alebo napisat mail a skonzultovat licencnu politiku je brut problem. Aj keby to riesil 3 dni od rana do vecera, aky je to cas voci hocijakej inej blbosti, ktoru treba rozbehat?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 22. 07. 2016, 12:29:09
Dobry, ale kdybys prihodil nejake nazvy softu, ktery to umi, bylo by to jeste lepsi.
reg, PowerShell, WPKG, ansible, salt, puppet, .... (následuje dlouhý seznam nástrojů pro cfg management)

Chceš si hodnoty, které se mají nastavit, načíst z nějakého http API? Není problém. Chceš to nastavovat podle JSONu zveřejněném na githubu? Není problém.

Ale jinak je GPO nenahraditelný. Zvlášť pokud dlouho dumáte nad tím, jak si přivodit syndrom karpálního tunelu.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 22. 07. 2016, 12:34:21
Myslím jsme se nepochopili. Seznam s uživatelskými hesly by měl být jen jeden.  Mluvím o obezličce, že by šlo zařídit i to, aby se uživatel po přihlášení do svého profilu na počítači nemusel přihlašovat na CIFS (neboli SMB neboli sdílení windows neboli file server). Nebo jen jednou, prostě by si jeho uživatelský profil na jeho počítači heslo zapamatoval.
Proč složitě popisovat něco, co má název? Říká se tomu single sign on a jde to udělat bambilionem různých způsobů. AD není žádná magická hůlka, AD je (zprasený) kerberos. Pokud chceš stejnou funkcionalitu bez AD nad normálním LDAPem, je to instalace jednoho balíku (kerberos) a nastavení jednoho konfiguračního souboru. Nedělejte z AD zlatý tele.

(P.S. že může být složitý donutit různý windowsovský služby autentizovat proti něčemu jinýmu, než windowsímu prasokerberu, je jiná pohádka na jiné zimní večery, milé děti :) )
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: M. 22. 07. 2016, 12:42:23
Myslím jsme se nepochopili. Seznam s uživatelskými hesly by měl být jen jeden.  Mluvím o obezličce, že by šlo zařídit i to, aby se uživatel po přihlášení do svého profilu na počítači nemusel přihlašovat na CIFS (neboli SMB neboli sdílení windows neboli file server). Nebo jen jednou, prostě by si jeho uživatelský profil na jeho počítači heslo zapamatoval.

Co Kerberos? Windows se umí, krom připojení do AD domény, také připojit do čisté Kerberos domény. A získané Kerberos tickety pak umí používat dále o věřovat se s nima třeba i proti CIFS serveru.
V tomto případě je jen třeba každý počítač nastavit, že když se k němu přihlásím s Kerberos UPN x@FIRMA.CZ, že to má pochopit jako přihlášení lokálního uživatele y (jde mapovat víc UPN na jeden lokální účet).
Pak místo AD můžu mít lidi sjendoceno přihlšování v Kerberos serveru, proti kterému ověřuji všechno další, co mám po firmě. A na Kerberos server na což mám tunu možností (holý kerberos server v několika variantách, FreeIPA, ale třeba i Samba4...).
V tomto režimu mám jen řešeno to centrální jméno/heslo. Vše ostatní si musím pořešit nějak jinak.
Nepoužívám v praxi, nakonec jsme šli cestou, že komply lidí jsou v AD dělané Sambou 4 (několik replikujících serverů, včetně read only replik v DMZ). Tím pádem na woknech klasický AD login a na vše dál už Kerberos ticket odvozený od toho AD loginu.
Win stanice se dálkově spravují pomocí Novell ZenWorks, jako další varianta k GPO (ale to je také na pár věcí použito)...
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: snuff1987 22. 07. 2016, 13:09:10
:)
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: dustin 22. 07. 2016, 13:46:01
Správce a občas? Správce se mrkne do DHCP Leases na přidělenou IP adresu a ví všechno co potřebuje vědět.

Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 13:59:37
Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.
Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

Proč se zbytečně opírat o DNS+DHCP, když to není nutné, proč zbytečně vnášet na návrhu další možnosti potenciálního selhání?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 22. 07. 2016, 14:19:56
Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?
A to by mě velice zajímalo, jak bys chtěl tohle implementovat dobře (tj. tak, aby to vůbec k něčemu bylo). Implementovat to podle IP/mac adresy je totiž ptákovina.

Jediný, o čem vím, že by to mohlo řešit rozumně, je: pravidla podle fyzického umístění nebo ipsec/Radius/x509. K tomu prvnímu potřebuješ jenom síťové prvky, které umí vlany, a to druhé velká část správců předem zavrhne, protože se jim do toho celého cirkusu vůbec nebue chtít pouštět.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: MP 22. 07. 2016, 14:40:40
Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.
Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

A ted schvalne, kdyz to zkombinuji s tou obezlickou (ulozeni user/pass v profilu) pro pristup na netshare. Dojde k nejtypictejsi situaci - reset hesla. Jakym zpusobem provedete aktualizaci zmeneneho hesla?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: MP 22. 07. 2016, 14:45:16
Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?
A to by mě velice zajímalo, jak bys chtěl tohle implementovat dobře (tj. tak, aby to vůbec k něčemu bylo). Implementovat to podle IP/mac adresy je totiž ptákovina.

Jediný, o čem vím, že by to mohlo řešit rozumně, je: pravidla podle fyzického umístění nebo ipsec/Radius/x509. K tomu prvnímu potřebuješ jenom síťové prvky, které umí vlany, a to druhé velká část správců předem zavrhne, protože se jim do toho celého cirkusu vůbec nebue chtít pouštět.

Tak, je tu i moznost neceho takoveho - Cisco ma IDFW, jinymi slovy "Configure Identity-based (AD user/group based) Access Rules on the ASA."
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 14:54:07
Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.
Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

A ted schvalne, kdyz to zkombinuji s tou obezlickou (ulozeni user/pass v profilu) pro pristup na netshare. Dojde k nejtypictejsi situaci - reset hesla. Jakym zpusobem provedete aktualizaci zmeneneho hesla?
Asi teď nerozumím, proč by se mělo heslo vyresetovat. Jestli odpovídám na dotaz nebo ne nevím, ale uživatel své LDAP-heslo zná (případně zná vyresetované heslo), tak si ho tam zadá (a nechá ho případně uložit do kredence).

Jinak backup bych řešil úplně jinak. Běžný zaměstnanec nechť píše všechno do systémů, na svojem počítači ať má jen nějaká svá dočasná data (své zálohy a cokoliv), to zálohovat nebudu. A vedoucí pracovníci by u sebe měli nějakou aplikaci, která by po nějakém kanále zálohy/synchronizace prováděla (teď by to byl asi Synology cloud station, protože na file server používám právě synology).
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 14:59:10
Co Kerberos? Windows se umí, krom připojení do AD domény, také připojit do čisté Kerberos domény. A získané Kerberos tickety pak umí používat dále o věřovat se s nima třeba i proti CIFS serveru.
V tomto případě je jen třeba každý počítač nastavit, že když se k němu přihlásím s Kerberos UPN x@FIRMA.CZ, že to má pochopit jako přihlášení lokálního uživatele y (jde mapovat víc UPN na jeden lokální účet).
Pak místo AD můžu mít lidi sjendoceno přihlšování v Kerberos serveru, proti kterému ověřuji všechno další, co mám po firmě. A na Kerberos server na což mám tunu možností (holý kerberos server v několika variantách, FreeIPA, ale třeba i Samba4...).
V tomto režimu mám jen řešeno to centrální jméno/heslo. Vše ostatní si musím pořešit nějak jinak.
Nepoužívám v praxi, nakonec jsme šli cestou, že komply lidí jsou v AD dělané Sambou 4 (několik replikujících serverů, včetně read only replik v DMZ). Tím pádem na woknech klasický AD login a na vše dál už Kerberos ticket odvozený od toho AD loginu.
Win stanice se dálkově spravují pomocí Novell ZenWorks, jako další varianta k GPO (ale to je také na pár věcí použito)...

Díky za podnětnou odpověď, škoda že nepřišla už před nekolika měsíci. O kerberos-only windows autentifikaci jsem neměl ponětí.

V popisovaném řešení by pak na všech sytémech byly uživatelské jména ve tvaru uživatel@nejakadomena.cz?

Rád bych vystrčil DC ven do internetu, ale dočítám se, že to není úplně dobrý nápad (MS asi tuší, jak jsou ty jejich řešení děravé, tak to nedoporučuje). Zkusím pohledat něco k těm read-only DCčkúm v DMZ.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: dustin 22. 07. 2016, 15:42:42
A to by mě velice zajímalo, jak bys chtěl tohle implementovat dobře (tj. tak, aby to vůbec k něčemu bylo). Implementovat to podle IP/mac adresy je totiž ptákovina.

Záleží, co je cílem. V našem případě nejde o to zakázat přístup lidem, ale omezit odchozí porty např. na win strojích. Samozřejmě že to znalý člověk umí obejít, ale to zde není žádným cílem.

Jde mi o to, že vazba DNS - DHCP je pro nás užitečná.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: dustin 22. 07. 2016, 15:51:18
Jinak backup bych řešil úplně jinak. Běžný zaměstnanec nechť píše všechno do systémů, na svojem počítači ať má jen nějaká svá dočasná data (své zálohy a cokoliv), to zálohovat nebudu. A vedoucí pracovníci by u sebe měli nějakou aplikaci, která by po nějakém kanále zálohy/synchronizace prováděla (teď by to byl asi Synology cloud station, protože na file server používám právě synology).

Bys řešil nebo opravdu řešíš? Kolik strojů vlastně prakticky spravuješ?

Centrální backup je pro menší počet strojů velice užitečný, roky používáme backuppc. V noci si backuppc stroje přes WOL zapne, zazálohuje, vypne. Pokud je někdo přihlášený, máme tam jednoduché řešení na zámky, aby backuppc uživateli stroj nevyplo pod rukama (pro těch pár win stanic jsme tohle neřešili).

V noci probíhá spoustu dalších úkonů, na vývojářské stanice se synchronizují databáze a datové soubory z předchozího dne, aby jel vývoj na aktuálních datech. Vše přes WOL + IP. Ale jo, třeba pro call centrum by to asi nebylo potřeba.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 16:23:46
Bys řešil nebo opravdu řešíš?
Používá se víc programů, tento vypadá nejlépe, takže bude nasazený všude, kde bude potřeba.

Centrální backup je pro menší počet strojů velice užitečný, roky používáme backuppc. V noci si backuppc stroje přes WOL zapne, zazálohuje, vypne.
Takže notebook mimo firmu nezazálohuješ.

Užitečných je mnoho věcí, tato si ale s sebou tahá zbytečnou přítěž v podobě závislosti na DNS+DHCP. A má svá omezení (LAN).
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: dustin 22. 07. 2016, 17:06:21
Takže notebook mimo firmu nezazálohuješ.

Jakmile se objeví na vnitřní síti, backuppc jej zazálohuje (pamatuje si, že u něj má "rest", pořád si osáhává síť a zkouší pingovat stroje, které zná). Nebo lze přes vpnku, technicky tomu nic nebrání, má svou IP adresu, i tu si backuppc testuje, pokud ji má nakonfigurovanou.

Citace
Užitečných je mnoho věcí, tato si ale s sebou tahá zbytečnou přítěž v podobě závislosti na DNS+DHCP. A má svá omezení (LAN).
Vidím to jinak, ale hlavní je, že ti to funguje. Já měnit nebudu :-)
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 22. 07. 2016, 17:34:11
Takže notebook mimo firmu nezazálohuješ.

Tak jiste, zalohovani po uplinku ADSL, kdyz pripojim stroj doma na wifi, je urcite dobry napad. Sice to teda na dve hodiny zabije pripojku, ale to nevadi.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Hever 22. 07. 2016, 21:05:20
Takže notebook mimo firmu nezazálohuješ.

Tak jiste, zalohovani po uplinku ADSL, kdyz pripojim stroj doma na wifi, je urcite dobry napad. Sice to teda na dve hodiny zabije pripojku, ale to nevadi.

Jednak tedy půjde v reálu (až na vyjímky) vždy o velmi malé množství dat. A jinak myslím, že raději ať je vytížená linka, než aby nebyly zálohy.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 22. 07. 2016, 21:23:47
Jednak tedy půjde v reálu (až na vyjímky) vždy o velmi malé množství dat. A jinak myslím, že raději ať je vytížená linka, než aby nebyly zálohy.

Nic ve zlem, ale nez pres ADSL, tak si radsi udelam lokalni zalohu. Zejmena treba nekde na cestach s nejakou udesnou hotelovou pripojkou.

Ono se sice muze jednat o male mnozstvi odlisnych dat, ale pokud je to gigabajtovy soubor, tak take zalezi na tom, cim by se zalohovalo. Treba rsyncem je to za chvili, ale pokud by se to delo nejakou MS srackou, tak bych to tak dobre nevidel.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: D.J.Bobo 23. 07. 2016, 01:50:56
No, tak nějak chápu tazaele, ale proč chce jít proti proudu? Ono by se opravdu mohlo stát,že se prostě ty nářky uživatelů budou spíš nést směrem k vedení a jednoho krásného dne by mohl být pozván na kobereček a dozvědět se, že je nahrazen jiným adminem, který nejde proti proudu a jehož práce bude pro uživatele přínosem.

Osobně, jelikož má firma téměřvšechny stanice Windows (kromě 2x Apple, kde ale běží Parallels a v něm Windows), AD byla jasná volba. Uživatel se prostě přihlásído domény a jeho PC je "důvěryhodný" pro všechny dalšív doméně. Víš, právě ta důvěryhodnost je promě hlavní deviza.

Navíc, pokud zaměstnanec přijde, založím účet a má přístup všude (FileShare jak na WIn, tak na Linuxové servery, mailserver, ownCloud pro zálohy, firemní CRM, dokonce přes Win Radius napojený na AD i k Wifi). Zaměstnanec odejde, zablokuju účet a nemá přístup nikam -  na nic jsem nezapomněl.
Potažmo, zaměstnanec odejde a nechá si zaheslovaný PC a pokud by nebyl v doméně (a zablokoval mi Admin heslo lokal admina), tak budu tancovat (na místě) s CD a odemykat jeho PC ...

Navíc uživatel má být obecně User/Domain User, ne Admin. Tedy žádná instalace. Když mi v jedné firmě řekli, že nutně potřebují Chrome, přes GPO jsem nastavil instalaci na PC a oprávnění do Chorme, ráno zapli PC, spuštění trvalo o chvilku déle a Chrome byl na PC. Paráda. A jelikože někteří měli dovolenou, tak se to nainstalovalo později.

Nebo typicky-měním PC. Přes AD/GPO se doinstalují všechny potřebné programy (včetně toho Chrome) a natáhne se celý profil ze serveru. Uživatel prostě přijde, zapne, naloguje ... a pracuje.

A o tom to je. Ne lítat po firmě s vyplazeným jazykem a dávat dohromady pomocí scriptů mašiny, ale dívat se, jak to šlape samo.

Víš, pozušenotech je nejlepší zkombinovat svět Windows a svět Linuxu tak, aby to špalalo a ty jsi se mohl v klidu dívat na Youtube a tu a tam "předstírat" moc práce ... pamatuj na to, že když Admin fakt maká, pak je něco špatně, protože firma nejede a netvoří hodnoty.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 23. 07. 2016, 02:46:24
Potažmo, zaměstnanec odejde a nechá si zaheslovaný PC a pokud by nebyl v doméně (a zablokoval mi Admin heslo lokal admina), tak budu tancovat (na místě) s CD a odemykat jeho PC ...

A co ma zamestnanec co mit lokalniho admina? Krome toho, kdyz zamestnanec odejde, tak se na disk nasype cerstvy system a s nejakym zaheslovanym adminem se nikdo nesere. Mimo jine proto, ze ten zamestnanec mel toho lokalniho admina.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: D.J.Bobo 23. 07. 2016, 07:05:08

A co ma zamestnanec co mit lokalniho admina? Krome toho, kdyz zamestnanec odejde, tak se na disk nasype cerstvy system a s nejakym zaheslovanym adminem se nikdo nesere. Mimo jine proto, ze ten zamestnanec mel toho lokalniho admina.
[/quote]

Souhlasím, jen pisatel psal, že "si doinstalují" a to bez admina neudělají. Ano, uživatel má být USER (to jsem psal). A pokudněco potřebuje, tak mu to tam dám.

Proč reinstalovat?  Pokud je User a jen pracuje, tak maximálně při další návštěvě jen odstraním lokální kopii profilu, na PC jsou všechny proramy a je zbytečné to pokaždé přeinstalovávat. Mám PC, kde je původní Windows od dodávky (instaluji si sám přes Windows Nasazení systému) a jelikož tam je jen můj SW, není důvod.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: karlik 23. 07. 2016, 10:16:46
A jak mám dát do AD PC v síti, které jsou ve verzi Windows home nebo Windows premium?
Co použít pro autorizaci pro Sambu a Apache místo AD?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 23. 07. 2016, 10:30:16
Proč reinstalovat?  Pokud je User a jen pracuje, tak maximálně při další návštěvě jen odstraním lokální kopii profilu, na PC jsou všechny proramy a je zbytečné to pokaždé přeinstalovávat. Mám PC, kde je původní Windows od dodávky (instaluji si sám přes Windows Nasazení systému) a jelikož tam je jen můj SW, není důvod.

Tak prijde na to, kde dotycny pracoval. Pokud pracoval ve skladu zeleniny, asi to bude mene kriticke, nez treba nekde ve vyvoji novych technologii. Takovy odsedsi zamestnanec vam muze v PC nechat kukacci vejce, protoze odesel nasran. Nebylo by to poprve a naposledy. A nepotrebuje na to admina, zejmena, pokud muze bootovat z USB nebo CD.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: MP 23. 07. 2016, 10:37:02
Potažmo, zaměstnanec odejde a nechá si zaheslovaný PC a pokud by nebyl v doméně (a zablokoval mi Admin heslo lokal admina), tak budu tancovat (na místě) s CD a odemykat jeho PC ...

A co ma zamestnanec co mit lokalniho admina? Krome toho, kdyz zamestnanec odejde, tak se na disk nasype cerstvy system a s nejakym zaheslovanym adminem se nikdo nesere. Mimo jine proto, ze ten zamestnanec mel toho lokalniho admina.
Bohuzel tohle je problem na dev stanicich:-( a u vedeni...
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: D-J.Bobo 23. 07. 2016, 10:46:53
A jak mám dát do AD PC v síti, které jsou ve verzi Windows home nebo Windows premium?
Co použít pro autorizaci pro Sambu a Apache místo AD?
Nic, Home verze je od slova Domov a nepatří do firmy. Toto jsem taky řešil a postupně jsme během cca 2 let vyměnili většinu PC za nové s Pro verzí a ty poslední Home jsou ve skladu.

Prostě, Home verze do firem nepatří a ta ušetřená tisícovka je sakra drahá.

To je jako byjsi se mě ptal, jak mám do Fabie naložit 7t písku? Když mám přepravní společnost.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 23. 07. 2016, 11:01:24
Navíc uživatel má být obecně User/Domain User, ne Admin. Tedy žádná instalace. Když mi v jedné firmě řekli, že nutně potřebují Chrome, přes GPO jsem nastavil instalaci na PC a oprávnění do Chorme, ráno zapli PC, spuštění trvalo o chvilku déle a Chrome byl na PC. Paráda. A jelikože někteří měli dovolenou, tak se to nainstalovalo později.

Nebo typicky-měním PC. Přes AD/GPO se doinstalují všechny potřebné programy (včetně toho Chrome) a natáhne se celý profil ze serveru. Uživatel prostě přijde, zapne, naloguje ... a pracuje.
A já to dělám úplně přesně stejně - stejný postup, stejný výsledek - akorát pomocí WPKG. Čili instalaci zabezpečí jeden skript a jeden soubor s nastavením. Čitelný, v XML formátu. I tak mi to nestačilo, tak si ho generuju z YAMLu. Kdyby cokoliv nefungovalo, umím si to krásně debugovat, protože přesně vím, co se tam děje. Když se tobě rozesere synchronizace sysvol, tak neuděláš nic, protože (pravděpodobně) vůbec netušíš, jak to doopravdy na lowlevel úrovni funguje (a není to tvoje chyba, protože kdo by se v tom guláši hrabal?!).

https://www.reddit.com/r/sysadmin/comments/46ncrk/ad_sysvol_version_mismatch_but_not_really_question/

Užij si to. Dokud to funguje.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 23. 07. 2016, 11:11:14
A já to dělám úplně přesně stejně - stejný postup, stejný výsledek - akorát pomocí WPKG. Čili instalaci zabezpečí jeden skript a jeden soubor s nastavením. Čitelný, v XML formátu. I tak mi to nestačilo, tak si ho generuju z YAMLu. Kdyby cokoliv nefungovalo, umím si to krásně debugovat, protože přesně vím, co se tam děje.

Nechces napsat clanek nebo obsahlejsi blog?
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 23. 07. 2016, 11:14:29
Nechces napsat clanek nebo obsahlejsi blog?
Není moc o čem. WPKG je naprosto jednoduchá záležitost. Právě narozdíl od GPO.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 23. 07. 2016, 11:27:52
Nechces napsat clanek nebo obsahlejsi blog?
Není moc o čem. WPKG je naprosto jednoduchá záležitost. Právě narozdíl od GPO.

Howto se vzdycky hodi. Treba o tve priprave XML souboru v YAML.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: ET 23. 07. 2016, 12:48:12
Nechces napsat clanek nebo obsahlejsi blog?
Není moc o čem. WPKG je naprosto jednoduchá záležitost. Právě narozdíl od GPO.

mno co si tak vzpominam, tak par politik (uz si nepamatuju presne ktere, ale treba pro IE) bys tim WPKG asi nedal - na druhou stranu je to tak okrajova zalezitost a microsoft ma politiky pro IE taky rozbity(na serveru 2008 nejde nastavit v GPO proxy server pro novejsi IE), ze by nemelo cenu odchazet od WPKG ;)

@Hever
pokud ti jde jen o sdileni dat, IMHO AD nepotrebujes - nainstaluj sambu a ucty muzes mit lokalne (nebo, ma-li firma vic pracovist, tak centralne v openldapu - kdysi jsem to tak nekde mel a bylo to ok) - kdyz si pak zapnes extended acl na serveru, muzes (z windows stanice) nastavovat windows opravneni uplne stejne, jako kdyby to byl windows file server a v beznych situacich nepoznas rozdil (nejsem si jist, zda lze pouzit AD s jinym, nez windowsim DNS - AD potrebuje DNS prave pro SRV zaznamy)

jak uz tu zaznelo, AD je celkem pouzitelny pro (centralni) spravu politik GPO pro PC (doporucuju na windows spustit gpedit.msc a mrknout na moznosti nastaveni)
naposled jsem napr. pomoci GPO a SRP [omezeni spousteni souboru] zabanoval (alespon docasne nektere) ransomwary na PC - v tvem prostredi by to znamenalo obehnout vsech 50PC a nastavit rucne (nehlede na to, ze pokud maj uzivatele admin. prava na PC a nastavujes SRP whitelist, nastaveni nebude stejne pro vsechna PC a bude s tim vic prace)

na politiky by se dal pouzit ten WPKG, ale musel bys dohledat prislusny klice v registrech k volbam, ktere chces zapnout/vypnout a napsat skript [vivat syswow64] - zalezi kolik moznosti v GPO bys potreboval zmenit, pro nekolik malo voleb asik OK - Mirek Prymek by se mohl rozepsat :)

podle diskuze to vypada, ze mate ve firmne jen slusne a zkusene uzivatele (utopie), nebo na spravu PC prdite

















Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: ET 23. 07. 2016, 13:01:18
na politiky by se dal pouzit ten WPKG, ale musel bys dohledat prislusny klice v registrech k volbam, ktere chces zapnout/vypnout a napsat skript [vivat syswow64] - zalezi kolik moznosti v GPO bys potreboval zmenit, pro nekolik malo voleb asik OK - Mirek Prymek by se mohl rozepsat :)

jeste me napadlo ty volby v registrech vykrast z adm(x) souboru, takze by to nemusel byt velky problem (prohnat ty adm(x) soubory nejakym .ini/.xml parserem)
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 23. 07. 2016, 13:02:01
mno co si tak vzpominam, tak par politik (uz si nepamatuju presne ktere, ale treba pro IE) bys tim WPKG asi nedal - na druhou stranu je to tak okrajova zalezitost a microsoft ma politiky pro IE taky rozbity(na serveru 2008 nejde nastavit v GPO proxy server pro novejsi IE), ze by nemelo cenu odchazet od WPKG ;)
IE je tragicky špatný prohlížeč a pokud je sebemenší šance se mu vyhnout, je dobře to udělat. Microsoft už to taky pochopil a zařízl ho.

Čili politiky si naprosto v pohodě uděláš pro Firefox nebo Chrome, protože ty mají nastavení docela dobře zdokumentované.

na politiky by se dal pouzit ten WPKG, ale musel bys dohledat prislusny klice v registrech k volbam, ktere chces zapnout/vypnout a napsat skript [vivat syswow64] - zalezi kolik moznosti v GPO bys potreboval zmenit, pro nekolik malo voleb asik OK - Mirek Prymek by se mohl rozepsat :)
To je pravda. Nastavení Windows je takový shit, že ho MS musí schovat za klikátka GPO, která dělají nikdonevíco. A pokud chceš nikdonevíčeho dosáhnout jinak, tak je to opruz. Čili pokud chceš nastavovat něco, co nevíš, kde se nastavuje, tak je GPO podstatně pohodlnější. Jiná cesta je nenastavovat věci, které nevíš co dělají ;)
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: ET 23. 07. 2016, 13:09:06
mno co si tak vzpominam, tak par politik (uz si nepamatuju presne ktere, ale treba pro IE) bys tim WPKG asi nedal - na druhou stranu je to tak okrajova zalezitost a microsoft ma politiky pro IE taky rozbity(na serveru 2008 nejde nastavit v GPO proxy server pro novejsi IE), ze by nemelo cenu odchazet od WPKG ;)
IE je tragicky špatný prohlížeč a pokud je sebemenší šance se mu vyhnout, je dobře to udělat.

Souhlas, bohuzel praxe ukazala, ze to neni vzdy mozne :(

Microsoft už to taky pochopil a zařízl ho.
rly? Ja mel za to, ze ho radeji prejmenovali na edge bo jak tomu rikaj..
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Lol Phirae 23. 07. 2016, 13:17:02
Microsoft už to taky pochopil a zařízl ho.
rly? Ja mel za to, ze ho radeji prejmenovali na edge bo jak tomu rikaj..
[/quote]

Jojo, a hrozně překvapivě jsou tam ty samé díry a aplikují se ty samé záplaty jako na IE. Recyklace toho samého děravého kódu furt dokola, desítky let. IE, Office, Windows...
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: ET 23. 07. 2016, 13:41:15
Jojo, a hrozně překvapivě jsou tam ty samé díry a aplikují se ty samé záplaty jako na IE.

+ vznikla nova (opet) nekompatibilni verze IE - ted tu chybi propagandista LO, aby nam vysvetlil, jak je to krasne slunickove
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mirek Prýmek 23. 07. 2016, 13:44:13
Souhlas, bohuzel praxe ukazala, ze to neni vzdy mozne :(
Nebylo to možné tam, kde chytrolíni postavili web na ActiveX a podobných MS srágorách. Jelikož Edge ActiveX nepodporuje a webové technologie jdou mílovými kroky dopředu, množství těchto situací se bude rychle limitně blížit k nule. IE je relikt minulosti a vyjadřuji upřímnou soustrast všem, kdo ho ještě musí provozovat.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: JardaP . 23. 07. 2016, 14:02:49
Hm, jen aby Magorsoft na cetne zadosti spokojenych uzivately nevymyslel nejake ActiveY.
Název: Re:Lze se vyhnout Active Directory DC?
Přispěvatel: Mino 24. 07. 2016, 15:14:45
Active Directory byla uvedena s Windows 2000 server jako reakce na vyspělejší konkurenci Novell která o cca 10let dříve na OS NetWare 4.x uvedla technologii NDS (Netware Directory services) později přejmenovanou na eDirectory. Ten je velmi škálovatelný a multiplatformní (Win i linux v roli serveru i klienta), prodává se buďto sám nebo mj. jako součást OpenEnterprise serveru vč. nástrojů pro správu. setkal jsem se s jedním velmi velkým nasazením AD pro desítky tisíc serverů s milionem uživatelů kde správa a používání AD drhlo opravdu hodně ale nechtěl bych takový kolos převracet - někdy je opravdu dobré se zamyslet nad alternativami než se do toho člověk pustí. Kromě poskládání vlastního řešení ze SAMBA & openLDAP atd. existují i hotové linuxové servery kde součástí stromu může být i AD ze stávajících Win serverů a není pak třeba kupovat na všechno CAL licence ani nemusíš vyhazovat co už máš - pokud si to nechceš skládat zkus si stáhnout a vyzkoušet ten Open Enterprise server http://www.novell.com/products/openenterpriseserver/ (http://www.novell.com/products/openenterpriseserver/)