Lze se vyhnout Active Directory DC?

karlik

Re:Lze se vyhnout Active Directory DC?
« Odpověď #75 kdy: 23. 07. 2016, 10:16:46 »
A jak mám dát do AD PC v síti, které jsou ve verzi Windows home nebo Windows premium?
Co použít pro autorizaci pro Sambu a Apache místo AD?


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Lze se vyhnout Active Directory DC?
« Odpověď #76 kdy: 23. 07. 2016, 10:30:16 »
Proč reinstalovat?  Pokud je User a jen pracuje, tak maximálně při další návštěvě jen odstraním lokální kopii profilu, na PC jsou všechny proramy a je zbytečné to pokaždé přeinstalovávat. Mám PC, kde je původní Windows od dodávky (instaluji si sám přes Windows Nasazení systému) a jelikož tam je jen můj SW, není důvod.

Tak prijde na to, kde dotycny pracoval. Pokud pracoval ve skladu zeleniny, asi to bude mene kriticke, nez treba nekde ve vyvoji novych technologii. Takovy odsedsi zamestnanec vam muze v PC nechat kukacci vejce, protoze odesel nasran. Nebylo by to poprve a naposledy. A nepotrebuje na to admina, zejmena, pokud muze bootovat z USB nebo CD.

MP

Re:Lze se vyhnout Active Directory DC?
« Odpověď #77 kdy: 23. 07. 2016, 10:37:02 »
Potažmo, zaměstnanec odejde a nechá si zaheslovaný PC a pokud by nebyl v doméně (a zablokoval mi Admin heslo lokal admina), tak budu tancovat (na místě) s CD a odemykat jeho PC ...

A co ma zamestnanec co mit lokalniho admina? Krome toho, kdyz zamestnanec odejde, tak se na disk nasype cerstvy system a s nejakym zaheslovanym adminem se nikdo nesere. Mimo jine proto, ze ten zamestnanec mel toho lokalniho admina.
Bohuzel tohle je problem na dev stanicich:-( a u vedeni...

D-J.Bobo

Re:Lze se vyhnout Active Directory DC?
« Odpověď #78 kdy: 23. 07. 2016, 10:46:53 »
A jak mám dát do AD PC v síti, které jsou ve verzi Windows home nebo Windows premium?
Co použít pro autorizaci pro Sambu a Apache místo AD?
Nic, Home verze je od slova Domov a nepatří do firmy. Toto jsem taky řešil a postupně jsme během cca 2 let vyměnili většinu PC za nové s Pro verzí a ty poslední Home jsou ve skladu.

Prostě, Home verze do firem nepatří a ta ušetřená tisícovka je sakra drahá.

To je jako byjsi se mě ptal, jak mám do Fabie naložit 7t písku? Když mám přepravní společnost.

Re:Lze se vyhnout Active Directory DC?
« Odpověď #79 kdy: 23. 07. 2016, 11:01:24 »
Navíc uživatel má být obecně User/Domain User, ne Admin. Tedy žádná instalace. Když mi v jedné firmě řekli, že nutně potřebují Chrome, přes GPO jsem nastavil instalaci na PC a oprávnění do Chorme, ráno zapli PC, spuštění trvalo o chvilku déle a Chrome byl na PC. Paráda. A jelikože někteří měli dovolenou, tak se to nainstalovalo později.

Nebo typicky-měním PC. Přes AD/GPO se doinstalují všechny potřebné programy (včetně toho Chrome) a natáhne se celý profil ze serveru. Uživatel prostě přijde, zapne, naloguje ... a pracuje.
A já to dělám úplně přesně stejně - stejný postup, stejný výsledek - akorát pomocí WPKG. Čili instalaci zabezpečí jeden skript a jeden soubor s nastavením. Čitelný, v XML formátu. I tak mi to nestačilo, tak si ho generuju z YAMLu. Kdyby cokoliv nefungovalo, umím si to krásně debugovat, protože přesně vím, co se tam děje. Když se tobě rozesere synchronizace sysvol, tak neuděláš nic, protože (pravděpodobně) vůbec netušíš, jak to doopravdy na lowlevel úrovni funguje (a není to tvoje chyba, protože kdo by se v tom guláši hrabal?!).

https://www.reddit.com/r/sysadmin/comments/46ncrk/ad_sysvol_version_mismatch_but_not_really_question/

Užij si to. Dokud to funguje.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Lze se vyhnout Active Directory DC?
« Odpověď #80 kdy: 23. 07. 2016, 11:11:14 »
A já to dělám úplně přesně stejně - stejný postup, stejný výsledek - akorát pomocí WPKG. Čili instalaci zabezpečí jeden skript a jeden soubor s nastavením. Čitelný, v XML formátu. I tak mi to nestačilo, tak si ho generuju z YAMLu. Kdyby cokoliv nefungovalo, umím si to krásně debugovat, protože přesně vím, co se tam děje.

Nechces napsat clanek nebo obsahlejsi blog?

Re:Lze se vyhnout Active Directory DC?
« Odpověď #81 kdy: 23. 07. 2016, 11:14:29 »
Nechces napsat clanek nebo obsahlejsi blog?
Není moc o čem. WPKG je naprosto jednoduchá záležitost. Právě narozdíl od GPO.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Lze se vyhnout Active Directory DC?
« Odpověď #82 kdy: 23. 07. 2016, 11:27:52 »
Nechces napsat clanek nebo obsahlejsi blog?
Není moc o čem. WPKG je naprosto jednoduchá záležitost. Právě narozdíl od GPO.

Howto se vzdycky hodi. Treba o tve priprave XML souboru v YAML.

ET

Re:Lze se vyhnout Active Directory DC?
« Odpověď #83 kdy: 23. 07. 2016, 12:48:12 »
Nechces napsat clanek nebo obsahlejsi blog?
Není moc o čem. WPKG je naprosto jednoduchá záležitost. Právě narozdíl od GPO.

mno co si tak vzpominam, tak par politik (uz si nepamatuju presne ktere, ale treba pro IE) bys tim WPKG asi nedal - na druhou stranu je to tak okrajova zalezitost a microsoft ma politiky pro IE taky rozbity(na serveru 2008 nejde nastavit v GPO proxy server pro novejsi IE), ze by nemelo cenu odchazet od WPKG ;)

@Hever
pokud ti jde jen o sdileni dat, IMHO AD nepotrebujes - nainstaluj sambu a ucty muzes mit lokalne (nebo, ma-li firma vic pracovist, tak centralne v openldapu - kdysi jsem to tak nekde mel a bylo to ok) - kdyz si pak zapnes extended acl na serveru, muzes (z windows stanice) nastavovat windows opravneni uplne stejne, jako kdyby to byl windows file server a v beznych situacich nepoznas rozdil (nejsem si jist, zda lze pouzit AD s jinym, nez windowsim DNS - AD potrebuje DNS prave pro SRV zaznamy)

jak uz tu zaznelo, AD je celkem pouzitelny pro (centralni) spravu politik GPO pro PC (doporucuju na windows spustit gpedit.msc a mrknout na moznosti nastaveni)
naposled jsem napr. pomoci GPO a SRP [omezeni spousteni souboru] zabanoval (alespon docasne nektere) ransomwary na PC - v tvem prostredi by to znamenalo obehnout vsech 50PC a nastavit rucne (nehlede na to, ze pokud maj uzivatele admin. prava na PC a nastavujes SRP whitelist, nastaveni nebude stejne pro vsechna PC a bude s tim vic prace)

na politiky by se dal pouzit ten WPKG, ale musel bys dohledat prislusny klice v registrech k volbam, ktere chces zapnout/vypnout a napsat skript [vivat syswow64] - zalezi kolik moznosti v GPO bys potreboval zmenit, pro nekolik malo voleb asik OK - Mirek Prymek by se mohl rozepsat :)

podle diskuze to vypada, ze mate ve firmne jen slusne a zkusene uzivatele (utopie), nebo na spravu PC prdite


















ET

Re:Lze se vyhnout Active Directory DC?
« Odpověď #84 kdy: 23. 07. 2016, 13:01:18 »
na politiky by se dal pouzit ten WPKG, ale musel bys dohledat prislusny klice v registrech k volbam, ktere chces zapnout/vypnout a napsat skript [vivat syswow64] - zalezi kolik moznosti v GPO bys potreboval zmenit, pro nekolik malo voleb asik OK - Mirek Prymek by se mohl rozepsat :)

jeste me napadlo ty volby v registrech vykrast z adm(x) souboru, takze by to nemusel byt velky problem (prohnat ty adm(x) soubory nejakym .ini/.xml parserem)

Re:Lze se vyhnout Active Directory DC?
« Odpověď #85 kdy: 23. 07. 2016, 13:02:01 »
mno co si tak vzpominam, tak par politik (uz si nepamatuju presne ktere, ale treba pro IE) bys tim WPKG asi nedal - na druhou stranu je to tak okrajova zalezitost a microsoft ma politiky pro IE taky rozbity(na serveru 2008 nejde nastavit v GPO proxy server pro novejsi IE), ze by nemelo cenu odchazet od WPKG ;)
IE je tragicky špatný prohlížeč a pokud je sebemenší šance se mu vyhnout, je dobře to udělat. Microsoft už to taky pochopil a zařízl ho.

Čili politiky si naprosto v pohodě uděláš pro Firefox nebo Chrome, protože ty mají nastavení docela dobře zdokumentované.

na politiky by se dal pouzit ten WPKG, ale musel bys dohledat prislusny klice v registrech k volbam, ktere chces zapnout/vypnout a napsat skript [vivat syswow64] - zalezi kolik moznosti v GPO bys potreboval zmenit, pro nekolik malo voleb asik OK - Mirek Prymek by se mohl rozepsat :)
To je pravda. Nastavení Windows je takový shit, že ho MS musí schovat za klikátka GPO, která dělají nikdonevíco. A pokud chceš nikdonevíčeho dosáhnout jinak, tak je to opruz. Čili pokud chceš nastavovat něco, co nevíš, kde se nastavuje, tak je GPO podstatně pohodlnější. Jiná cesta je nenastavovat věci, které nevíš co dělají ;)

ET

Re:Lze se vyhnout Active Directory DC?
« Odpověď #86 kdy: 23. 07. 2016, 13:09:06 »
mno co si tak vzpominam, tak par politik (uz si nepamatuju presne ktere, ale treba pro IE) bys tim WPKG asi nedal - na druhou stranu je to tak okrajova zalezitost a microsoft ma politiky pro IE taky rozbity(na serveru 2008 nejde nastavit v GPO proxy server pro novejsi IE), ze by nemelo cenu odchazet od WPKG ;)
IE je tragicky špatný prohlížeč a pokud je sebemenší šance se mu vyhnout, je dobře to udělat.

Souhlas, bohuzel praxe ukazala, ze to neni vzdy mozne :(

Microsoft už to taky pochopil a zařízl ho.
rly? Ja mel za to, ze ho radeji prejmenovali na edge bo jak tomu rikaj..

Lol Phirae

Re:Lze se vyhnout Active Directory DC?
« Odpověď #87 kdy: 23. 07. 2016, 13:17:02 »
Microsoft už to taky pochopil a zařízl ho.
rly? Ja mel za to, ze ho radeji prejmenovali na edge bo jak tomu rikaj..
[/quote]

Jojo, a hrozně překvapivě jsou tam ty samé díry a aplikují se ty samé záplaty jako na IE. Recyklace toho samého děravého kódu furt dokola, desítky let. IE, Office, Windows...

ET

Re:Lze se vyhnout Active Directory DC?
« Odpověď #88 kdy: 23. 07. 2016, 13:41:15 »
Jojo, a hrozně překvapivě jsou tam ty samé díry a aplikují se ty samé záplaty jako na IE.

+ vznikla nova (opet) nekompatibilni verze IE - ted tu chybi propagandista LO, aby nam vysvetlil, jak je to krasne slunickove

Re:Lze se vyhnout Active Directory DC?
« Odpověď #89 kdy: 23. 07. 2016, 13:44:13 »
Souhlas, bohuzel praxe ukazala, ze to neni vzdy mozne :(
Nebylo to možné tam, kde chytrolíni postavili web na ActiveX a podobných MS srágorách. Jelikož Edge ActiveX nepodporuje a webové technologie jdou mílovými kroky dopředu, množství těchto situací se bude rychle limitně blížit k nule. IE je relikt minulosti a vyjadřuji upřímnou soustrast všem, kdo ho ještě musí provozovat.