Lze se vyhnout Active Directory DC?

TKL

Re:Lze se vyhnout Active Directory DC?
« Odpověď #15 kdy: 12. 02. 2016, 14:49:39 »
AD je jeden z mála opravdu bezproblémových MS produktů. Jeho nasazení v síti, kterou popisujete, má zcela jednoznačné opodstatnění a ve výsledku vám ušetří spoustu práce. V zásadě můžete mít opravdu jen jeden DC + jeden BDC (jistota je jistota) a fileserver mít na linuxu (Samba + Kerberos) s ověřováním vůči AD (funguje bezproblémově).
Nicméně musím říct, že když píšu o AD jako bezproblémovém produktu, mám tím na mysli kromě ověřování a pohodlného nasazování politik na mysli také sdílení souborů, protože takové možnosti, jako windowsí filesharing, vám Samba nedá (nebo jen velmi nepohodlně a po velkém přemlouvání). Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Také Windows nemiluji a v zásadě rozumím tomu, jak uvažujete, ale v případě AD jde o výjimku, která potvrzuje pravidlo. Navíc - pokud AD nasadíte - budete připraven na situaci, kdy se objeví požadavek na přístup uživatelů z jiné domény, a pak budete rád, že jste se správně rozhodl, protože nastavení vztahů důvěry mezi AD je taky celkem pěkná věc.


Hever

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #16 kdy: 18. 02. 2016, 12:24:04 »
Na některé mé otázky si už umím odpovědět, na některé ještě ne.

klidne pripojis 10x stejnej share pod ruznejma uctama
Toto se obávám, že opravdu nepůjde, viz: http://superuser.com/a/95875 (rád se nechám přesvědčit o opaku)

DNS na routeru obstarat nejde, protože potřebujeme záznamy SRV, routery umějí jen něco jako A záznamy. Takže potřebujeme nějaký DNS server. Nabízí se otázka - mají tyto SRV záznamy být viditelné z internetu nebo jen z lokální sítě?

DHCP - tady bych se asi stále klonil k tomu, aby ho rozděloval "hloupý" router. Je nějaký důvod to integrovat do AD?

TKL

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #17 kdy: 18. 02. 2016, 14:20:24 »
Na některé mé otázky si už umím odpovědět, na některé ještě ne.

klidne pripojis 10x stejnej share pod ruznejma uctama
Toto se obávám, že opravdu nepůjde, viz: http://superuser.com/a/95875 (rád se nechám přesvědčit o opaku)

DNS na routeru obstarat nejde, protože potřebujeme záznamy SRV, routery umějí jen něco jako A záznamy. Takže potřebujeme nějaký DNS server. Nabízí se otázka - mají tyto SRV záznamy být viditelné z internetu nebo jen z lokální sítě?

DHCP - tady bych se asi stále klonil k tomu, aby ho rozděloval "hloupý" router. Je nějaký důvod to integrovat do AD?

DNS: SRV záznamy vám stačí dostupné z LAN.
DHCP: je důvod to integrovat do AD, a to jednoduchý: bude vám záznamy o IP adresách připojených strojů aktualizovat v DNS AD, což je velmi praktické.

Shrnuto a podtrženo: není důvod jednotlivé základní služby rozhazovat mimo DC, protože si tím jen přidáte práci a nic tím nezískáte.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #18 kdy: 18. 02. 2016, 14:22:21 »
Citace
stanice na gigovy siti, ale data se prenasej rychlosti modemu ... Kolik myslis ze sftp da?
Díky za relevantní podnět. Je pravda, že SSH šifrování mívá nemalou režii. Zkusím se na to zaměřit.

BTW, tady dost zalezi na tom, jestli mate u prenosu zapnutou kompresi. Ja kdysi prenos po SFTP pouzival pro prenos dat oproti routeru, ktery routoval par pocitacu s nekolika % zateze CPU kdyz jen routoval. Byl to stary krap, nejake Pentium na 100MHz s 32 MB pameti. Pri spusteni prenosu po SFTP bez zkomprese zatez vylezla, ale byla unosna, mozna tak 10% navic. Ale jak se zapla komprese, tak sel router do kolen a zatez byla konstantni 100%. Dost mozna to i zpusobovalo zpomaleni v prehazovani paketu mezi interfacy.

Ondro

Re:Lze se vyhnout Active Directory DC?
« Odpověď #19 kdy: 19. 02. 2016, 21:58:03 »
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Tak takemu manazerovi by som povedal nieco. Taketo drobenie prav k nicomu dobremu nevedie, len k zbytocnej praci a problemom. A je podla mna ukazkou niecoho "zleho" v firme.
Vlastne mi to pripada ako poziadavka z minuleho storocia(zaciatku tohto), ked sa pracovne ulohy riesili pomocou "excelu" a subory vladli svetu.


TKL

Re:Lze se vyhnout Active Directory DC?
« Odpověď #20 kdy: 19. 02. 2016, 22:07:44 »
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Tak takemu manazerovi by som povedal nieco. Taketo drobenie prav k nicomu dobremu nevedie, len k zbytocnej praci a problemom. A je podla mna ukazkou niecoho "zleho" v firme.
Vlastne mi to pripada ako poziadavka z minuleho storocia(zaciatku tohto), ked sa pracovne ulohy riesili pomocou "excelu" a subory vladli svetu.

Cha, soubory (a obzvláště ty excelovské) stále "světu" vládnou! Ne, že bych z toho měl radost.

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #21 kdy: 21. 02. 2016, 08:43:22 »
DHCP - tady bych se asi stále klonil k tomu, aby ho rozděloval "hloupý" router. Je nějaký důvod to integrovat do AD?
Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.

Spíš bych tu tvojí otázku postyvil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?

Re:Lze se vyhnout Active Directory DC?
« Odpověď #22 kdy: 21. 02. 2016, 08:46:26 »
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.

Tak takemu manazerovi by som povedal nieco. Taketo drobenie prav k nicomu dobremu nevedie, len k zbytocnej praci a problemom. A je podla mna ukazkou niecoho "zleho" v firme.
Vlastne mi to pripada ako poziadavka z minuleho storocia(zaciatku tohto), ked sa pracovne ulohy riesili pomocou "excelu" a subory vladli svetu.
Přidělovat různá oprávnění k darům je naprosto běžná věc nad kterou se ani nepozastavuji. Dělá se to u souborových systémů, ale dělá se to i v is. Co je na tom zvláštního že nechci aby poddaný viděl data ředitele a že třeba  elá kancelář může zapisovat a jen nováček bez důvěry jen číst?

j

Re:Lze se vyhnout Active Directory DC?
« Odpověď #23 kdy: 21. 02. 2016, 09:43:36 »
...
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.

TKL

Re:Lze se vyhnout Active Directory DC?
« Odpověď #24 kdy: 21. 02. 2016, 11:23:08 »
...
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.

Ale zjistíte. Řiká se tomu audit oprávnění. Jen se nesmí používat záporná oprávnění, ta se auditují těžko.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Lze se vyhnout Active Directory DC?
« Odpověď #25 kdy: 21. 02. 2016, 11:39:49 »
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.

Tak zalezi na tom, jak blbe to kdo udela. Na Widlich se v tom da udelat neuveritelny bordel, ve kterem se uz nikdo nevyzna a to tak, ze se zacnou pridelovat ruzna prava jednotlivym uzivatelum. No a kdyz mate treba 50 serveru a 1000 uzivatelu...... Radsi moc nerozpatlavat, uz jsem to videl v praxi.

Nicmene si take muzu vytvorit skupiny s ruznymi pravy, ktere pouziju pro pridelovani prav k pristupu k ruznym sdilenim. Tedy napriklad mam server srv1, na nem sdileni share1. Potrebuji dat nekterym lidem pristup rw a jinym jen ro. Udelam skupiny srv1-share1-ro a srv1-share1-rw. Tem pridelim prislusna prava pristupu k share1 a nahazim do nich lidi. Pak se muzu vzdy podivat, kdo je v jake skupine nebo jaka slupina obsahuje jake lidi.

Podobne srv1 share2.... srv2 share1, srv2 share2..... Pricemz samozrejme pouziji jmena, ve kterych se vyznam, tedy jmena realnych serveru a sdileni, napriklad karkulka-sklad-ro.

Zasada je nepridelovat prava jednotlivym uzivatelum, ale vzdy jen skupinam a to radsi ani tehdy, kdyz mam jen jeden server, protoze je to cesta do pekel. Vysledkem je pak treba to, ze sekretarka ma pristup ke kodu vyvijene aplikace a to dokonce rw a ucetni maji pristup k sefove pornu.

TKL

Re:Lze se vyhnout Active Directory DC?
« Odpověď #26 kdy: 21. 02. 2016, 13:34:04 »
Protoze jakmile zacnes pridelovat prave timhle zpusobem, tak uz vzivote nezjistis, kdo kam vlastne prava ma nebo nema. Specielne na widlich.

Tak zalezi na tom, jak blbe to kdo udela. Na Widlich se v tom da udelat neuveritelny bordel, ve kterem se uz nikdo nevyzna a to tak, ze se zacnou pridelovat ruzna prava jednotlivym uzivatelum. No a kdyz mate treba 50 serveru a 1000 uzivatelu...... Radsi moc nerozpatlavat, uz jsem to videl v praxi.

Je to úplně jedno. Pokud se zachovává systém propsaných práv shora dolů v celé struktuře share, není rozdíl v tom, jestli to dělám skupinami nebo konkrétními uživateli. Ano, pokud to není čistě na skupiny, mám pak více práce s tím, když má dojít k nějaké změně (např. někdo odejde a musím jeho přístupy přidělit jinému uživateli). Ale dá se to snadno řešit auditem, jak jsem napsal. Každopádně v situaci, kdy potřebuji zjistit, jaká práva jsou na adresáři nebo konkrétním souboru, nevidím rozdíl v tom, jestli tam uvidím jména skupin nebo jména uživatelů nebo jména skupin + jména uživatelů.

Samozřejmě může někdo udělat tu věc - a to už bude prasárna - že některý vnořený adresář nebo soubor vyjme ze systému zděděných práv a udělá to jinak ručně. Pak může nastat problém, který je pak třeba detektivní metodou řešit.
Existují situace, kdy to takto udělat potřeba opravdu je, ale jsou výjimečné.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Lze se vyhnout Active Directory DC?
« Odpověď #27 kdy: 21. 02. 2016, 14:39:18 »
Je to úplně jedno. Pokud se zachovává systém propsaných práv shora dolů v celé struktuře share, není rozdíl v tom, jestli to dělám skupinami nebo konkrétními uživateli. Ano, pokud to není čistě na skupiny, mám pak více práce s tím, když má dojít k nějaké změně (např. někdo odejde a musím jeho přístupy přidělit jinému uživateli). Ale dá se to snadno řešit auditem, jak jsem napsal.

Aha, tak to vzdycky, kdyz uzivatel Vopicka odejde do duchodu, tak kvuli Voprsalkove, co ho ma nahradit, budes delat audit namisto toho, aby ses kouknul, v jakych skupinach byl Vopicka a zaradil tam Voprsalkovou? Nejen, ze je to pekna otrava, ale i ztrata casu.

Citace
Každopádně v situaci, kdy potřebuji zjistit, jaká práva jsou na adresáři nebo konkrétním souboru, nevidím rozdíl v tom, jestli tam uvidím jména skupin nebo jména uživatelů nebo jména skupin + jména uživatelů.

Ja ake ne. Ale vidim rozdil v tom, kdyz budu potrebovat zjistit, kam vsude muze lezt Vopicka. To budu muset prohlednout vsechna sdileni, treba kvuli tomu, ze Vopicka zmenil pracovni zarazeni v ramci firmy a je mu potreba pridelit nova prava, coz neni problem, ale take mu nejaka prava odebrat, coz problem je. To kdyz mas treba tech 50 serveru, v prumeru rekneme deset sdileni kazdy, tak musis prohlednout 500 sdileni. A vzhledem k tomu, ze jsi si tam naprasil prava pro jednotlive uzivatele kam se dalo, tak to znamena prohlednout treba i tisice zaznamu, pricemz ve Widlich snad porad neni ani grep.

[/quote]
Samozřejmě může někdo udělat tu věc - a to už bude prasárna - že některý vnořený adresář nebo soubor vyjme ze systému zděděných práv a udělá to jinak ručně. Pak může nastat problém, který je pak třeba detektivní metodou řešit.
Existují situace, kdy to takto udělat potřeba opravdu je, ale jsou výjimečné.
[/quote]

A uz jsi videl sdileni, ve kterem byl adresar, ktery byl znovu sdilen pod jinym jmenem?

Re:Lze se vyhnout Active Directory DC?
« Odpověď #28 kdy: 21. 02. 2016, 15:02:38 »
JardaP a TKL mají naprosto pravdu - práva musí být přidělena funkčně, kdo jako funkci zastává pak znamená jen zařazení nebo vyjmutí ze skupiny. Řekl bych, že limitem je tak asi 10 uživatelů sítě. V okamžiku, kdy jich je 20, začínají problémy a když jich je 2000, tak práva přidělená jednotlivým uživatelům jsou zcela neschůdná.
A není to otázka Windows, je to otázka jakéhokoliv FS s ACL. Když ACL nemáte (klasická unixová práva), tak máte problém, protože reálně potřebujete mít lidi, kteří můžou dělat změny, kteří můžou jen číst a kteří nemůžou nic. To pomineme situaci, kdy někdo s omezenými právy má vidět jen ty položky, které může otevřít alespoň pro čtení a to, co nemůže, vůbec nevidí.
Tohle měl pěkně udělané Novell Netware: stačilo někde přidělit právo k souboru a tím se automaticky umožnilo projít celou adresářovou strukturu až k tomuto objektu. Po odstranění práva zmizela práva i k té cestě.

Hever

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #29 kdy: 22. 02. 2016, 22:58:39 »
DNS: SRV záznamy vám stačí dostupné z LAN.
DHCP: je důvod to integrovat do AD, a to jednoduchý: bude vám záznamy o IP adresách připojených strojů aktualizovat v DNS AD, což je velmi praktické.

DNS - a vadí něčemu když budou viditelné i z internetu? (obecně, co se bezpečnosti týká)

Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.

Spíš bych tu tvojí otázku postyvil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?

DHCP - dobrá, to mě napadlo, ale nevěřil jsem, že důležité servery na které se přistupuje v síti mívají IP adresu přidělovanou DHCP serverem. Automaticky všemu podstatnému dávám statickou IP. Takže víc výhod se tam neskrývá, ano?

A proč raději použít router? Připomínám, že ta síť nad kterou přemýšlím není nijak životně závislá na nějakém DC nebo AD. Nejdůležitější data jsou v databázi přístupné skrz webovou aplikaci, taktéž k emailu se přistupuje přes web prohlížeč. Tedy Active directory nepovažuju tolik za centrální kruciální bod celého systému (ikdyž marketing microsoftu to vidí jinak). No a jestli je teda pro mě důležité, ale se lidé ve firmě především v kritické chvíli dostali na web, tak potřebují především DHCP. A pokud chci mít i záložní DHCP server, je mnohem levnější mít ve skříni (nebo v síti) zařízení za 1200Kč, které jsem si za čtvrt hoďky předkonfiguroval než násobně dražší server s násobně náročnějším konfigurováním.