Lze se vyhnout Active Directory DC?

Lol Phirae

Re:Lze se vyhnout Active Directory DC?
« Odpověď #45 kdy: 22. 07. 2016, 10:43:15 »
To slýchávám často, pak na to dávám otázku - v jakých konkrétních scénářích mi může být GPO užitečné? Obvykle jsem se dozvěděl, že k nastavení nějakých bizardních pseudobezpečnostních nastavení (když nepříčetný management firmy požaduje podivné věci) nebo k eliminaci různých následků spojených s nasazením AD. Potom může být užitečný k přejmenování počítače a nastavení písmenka jednotky k file serveru. Nic, bez čeho bych se neobešel, vše se dá nastavit při uvedení stroje do provozu. Při změně uživatele (zaměstnanec končí, počítač dostává jiný) stroj stejně prochází rukama správce, takže ta nutnost dělat to vzdáleně myslím není. Ale zajímá mě to, k čemu užitečnému se dá GPO využít?

Já tedy nevím, ale mě věci jako
- instalace tiskáren a aktualizace ovladačů pro tiskárny
- nastavení firewallu
- instalace/aktualizace softwaru ze sítě
- přesunutí uživatelských složek (dokumenty, obrázky...) na síť kvůli zálohování
- mapování síťových disků
- nastavení prohlížeče (IE, Chrome)
- instalace doplňků do prohlížeče (Chrome)
- asi miliony dalších nastavení podle potřeby

přijdou jako užitečné a určitě kvůli tomu nehodlám obíhat jednotlivé počítače jako magor.

Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

Nějak nevím, k čemu jsou ty screenshoty. GPO se dá zálohovat a kde je které konkrétní nastavení té GPO je vidět v GPMC.


Hever

Re:Lze se vyhnout Active Directory DC?
« Odpověď #46 kdy: 22. 07. 2016, 10:57:35 »
...hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny.
Nesdílím tvůj názor. Co je na tom se na file server autentizovat zvlášť. Je to určitá služba. Ostatně se to tady už rozebíralo. Mimochodem, kromě MS sdílení nenajdeš snad místa, kde by ses nemohl přihlásit a odhlásit. U MS to zadrátovali do přihlášení do systému, odhlásit se není možné.

Jinak jak jsem psal - uživatele bych tímto zbytečně neotravoval, jejich autentizaci by si pamatoval (onen pochybný) windows credential, takže z jejich pohledu žádná změna.

Co tyka CAL-ov, neonanuj nad tym, proste to vycisli a spytaj sa nadriadeneho, ci je to OK s jeho rozpoctom a ci to ma vobec zmysel riesit.
O CALech se tu zmiňují spíše ostatní než já. U CALů vidím víc problém v tom, že té licenční politice snad nejde nikdy zcela dostát, než v tom to zaplatit. Lituju těch lidí, co tráví své životy řešením nevyřešitelných licenčních MS předpisů. Já to být nechci a široko daleko neznám nikoho, kdo by se tomu chtěl věnovat. Ano, jde to vyřešit "nějak" a pak si s rukama přes oči nalhávat, že je to ok. Děkuji, nechci.

Vadilo by mi, kdybych neznal IP adresy počítačů v síti a nemohl na ně vzdáleně přistupovat. Jak bys řešil vzdálenou podporu, centrální zálohování? I v naší minisíti se správce občas potřebuje přihlásit na stroj uživatele (samozřejmě linuxový).
Správce a občas? Správce se mrkne do DHCP Leases na přidělenou IP adresu a ví všechno co potřebuje vědět.

M.

Re:Lze se vyhnout Active Directory DC?
« Odpověď #47 kdy: 22. 07. 2016, 11:02:18 »
BTW: Zrovna dynamicky DNS z widloAD dhcp je neco, co nefunguje rozhodne ani trochu spolehlive. Nekdy se to aktualizuje, jindy ne, podle toho jak se to zrovna vyspi. Co hur, aby to fugovalo aspon nejak, je treba jeste stelovat klienty (widle). Samo nikoli z DHCP, ale z GPO ...

Tak ono je o tom, že Windows klinti aktualizují to DNS přímo. V základu to mají povoleno a je jedno, zda IP mají z DHCP nebo staticky. Zkouší v DNS změnit záznam přímo a pro ověření používají svůj doménový účet. A pokud zároveň je i DHCP server nastaven, že aktualizuje DNS záznamy, tak z toho někdy bývá celkem hokej.

Hever

Re:Lze se vyhnout Active Directory DC?
« Odpověď #48 kdy: 22. 07. 2016, 11:17:10 »
Já tedy nevím, ale mě věci jako
- instalace tiskáren a aktualizace ovladačů pro tiskárny
- nastavení firewallu
- instalace/aktualizace softwaru ze sítě
- přesunutí uživatelských složek (dokumenty, obrázky...) na síť kvůli zálohování
- mapování síťových disků
- nastavení prohlížeče (IE, Chrome)
- instalace doplňků do prohlížeče (Chrome)
- asi miliony dalších nastavení podle potřeby

přijdou jako užitečné a určitě kvůli tomu nehodlám obíhat jednotlivé počítače jako magor.
Instalace tiskáren - ano, to je užitečné, na to jsem zapomněl, díky za připomenutí. Ale to se řeší přes print server a nejsem si jistý, jestli je k tomu všemu AD nutné.

Ostatní zmíněné věci spadají do kategorie "nastaví se při zprovoznění", nebo "bizardní požadavky nepříčetného managementu". V případě šíleného managementu je pak AD samozřejmě dobrým pomocníkem v dláždění cesty do pekel, ale připomínám, že případ, kdy AD není nutné nasazovat tímto neduhem netrpí. Taky jak, jsem zmínil, počítače patři konkrétním zaměstnancům. A těm, světe div se, nedělá problém si například nainstalovat nový doplňek do prohlížeče.

Obíhat počítače je samozřejmě nesmysl. Jde ale o to, jaký si člověk na se ušije bič.

Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

Nějak nevím, k čemu jsou ty screenshoty. GPO se dá zálohovat a kde je které konkrétní nastavení té GPO je vidět v GPMC.
Měl jsem tím spíš namysli, že na skriptech obecně nevidím nic špatného. Když něco nastavuji, tak buď skriptem, nebo vyklikáváním sledujích jeden screenshot po druhém kam mám kliknout - takto vypadá běžný návod od Microsoftu, screenshoty. S tím jsem se setkal i u group policy - chci něco nastavit a Microsoft mi nabízí 20 screenshotů jak se někam dokliklat, a jak to tam pak vyklikat. Pro lepší systém člověk v takových situacích obvykle najde jednořádkový příkaz/skript.

MP

Re:Lze se vyhnout Active Directory DC?
« Odpověď #49 kdy: 22. 07. 2016, 12:03:31 »
...hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny.
Nesdílím tvůj názor. Co je na tom se na file server autentizovat zvlášť. Je to určitá služba. Ostatně se to tady už rozebíralo. Mimochodem, kromě MS sdílení nenajdeš snad místa, kde by ses nemohl přihlásit a odhlásit. U MS to zadrátovali do přihlášení do systému, odhlásit se není možné.

Jasne, na co sjednotit prihlaseni do jednotlivych sluzeb pres LDAP, kdyz pak budeme oddelovat jednotlivy sluzby oddelenym autentifikacnim seznamem. I email je sluzba, databaze je sluzba...


Re:Lze se vyhnout Active Directory DC?
« Odpověď #50 kdy: 22. 07. 2016, 12:09:56 »
Prave ze GPO je to, co je hlavni vyhoda DC a neexistence obdobneho na platforme Linuxu
Neexistence čeho přesně? Pro Linux mám k dispozici asi tak sedm různých velkých nástrojů pro configuration management, které umí věci, o kterých se AD GPO ani nezdá. Jestli bych v něčem chtěl vidět problém, tak v různosti distribucí, ale tak to se řeší tím, že mám v rámci organizace pokud možno jenom jednu, maximálně dvě (stanice, servery).

Já tedy nevím, ale mě věci jako
- instalace tiskáren a aktualizace ovladačů pro tiskárny
- nastavení firewallu
- instalace/aktualizace softwaru ze sítě
- přesunutí uživatelských složek (dokumenty, obrázky...) na síť kvůli zálohování
- mapování síťových disků
- nastavení prohlížeče (IE, Chrome)
- instalace doplňků do prohlížeče (Chrome)
- asi miliony dalších nastavení podle potřeby

přijdou jako užitečné a určitě kvůli tomu nehodlám obíhat jednotlivé počítače jako magor.
Je potřeba to vzít od podlahy:

Co dělá GPO? Automatizovaně nastavuje registry. Jaké registry? Čert ví. V registrech se nikdo pořádně nevyzná a pořádně zdokumentované to není. Odkud bere informace, co má jak nastavit? Z jakési replikované databáze. Kdo a jak tu databázi replikuje? Jaké je její schéma? Co dělat, když se sync rozesere? To nechtějte vědět. Je to na podání výpovědi a zapálení baráku.

Takže pokud hledáme náhradu GPO, co hledáme? Nástroj, který umí nastavit registry na základě nějaké databáze.

A teď mi vykádej o tom, že nic takového neexistuje, nejde udělat, a pouštět se do toho je vyrábění zlata foukáním kouře do vody.

Mimochodem, když jsme u toho, znáš význam všech položek v AD LDAPu? Umíš je ručně spravit, kdyby došlo k nějakýmu problému. Já jo. Úplně v pohodě pomocí ldapvi.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Lze se vyhnout Active Directory DC?
« Odpověď #51 kdy: 22. 07. 2016, 12:16:33 »
Citace: Mirek Prýmek link=topic=12734.msg172344#msg172344 Takže pokud hledáme náhradu GPO, co hledáme? Nástroj, který umí nastavit registry na základě nějaké databáze.
[/quote

Dobry, ale kdybys prihodil nejake nazvy softu, ktery to umi, bylo by to jeste lepsi.

Hever

Re:Lze se vyhnout Active Directory DC?
« Odpověď #52 kdy: 22. 07. 2016, 12:24:17 »
Jasne, na co sjednotit prihlaseni do jednotlivych sluzeb pres LDAP, kdyz pak budeme oddelovat jednotlivy sluzby oddelenym autentifikacnim seznamem. I email je sluzba, databaze je sluzba...
Myslím jsme se nepochopili. Seznam s uživatelskými hesly by měl být jen jeden.  Mluvím o obezličce, že by šlo zařídit i to, aby se uživatel po přihlášení do svého profilu na počítači nemusel přihlašovat na CIFS (neboli SMB neboli sdílení windows neboli file server). Nebo jen jednou, prostě by si jeho uživatelský profil na jeho počítači heslo zapamatoval.

xxx

Re:Lze se vyhnout Active Directory DC?
« Odpověď #53 kdy: 22. 07. 2016, 12:28:56 »
...hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny.
Nesdílím tvůj názor. Co je na tom se na file server autentizovat zvlášť. Je to určitá služba. Ostatně se to tady už rozebíralo. Mimochodem, kromě MS sdílení nenajdeš snad místa, kde by ses nemohl přihlásit a odhlásit. U MS to zadrátovali do přihlášení do systému, odhlásit se není možné.

Jasne, na co sjednotit prihlaseni do jednotlivych sluzeb pres LDAP, kdyz pak budeme oddelovat jednotlivy sluzby oddelenym autentifikacnim seznamem. I email je sluzba, databaze je sluzba...
+1
Pridem do prace a chcem pracovat a nie riesit nezmysly. Pokial ide o beznu agendu, nebudem ako sulo kade tade zadavat hesla. Ked to budem robit 20x denne, nie len, ze ma to bude otravovat ale pravdepodobnost, ze to heslo proste niekto odkuka, rastie.

Co sa tyka licencnej politiky a CAL-ov, obdivujem ludi, ktory su schopni tyzdne luskat nejaky technicky problem, precitat si niekolko sto stranove knizky o nejakej technologii, pozriet 10 for typu stackoverflow ale zdvihnut telefon alebo napisat mail a skonzultovat licencnu politiku je brut problem. Aj keby to riesil 3 dni od rana do vecera, aky je to cas voci hocijakej inej blbosti, ktoru treba rozbehat?

Re:Lze se vyhnout Active Directory DC?
« Odpověď #54 kdy: 22. 07. 2016, 12:29:09 »
Dobry, ale kdybys prihodil nejake nazvy softu, ktery to umi, bylo by to jeste lepsi.
reg, PowerShell, WPKG, ansible, salt, puppet, .... (následuje dlouhý seznam nástrojů pro cfg management)

Chceš si hodnoty, které se mají nastavit, načíst z nějakého http API? Není problém. Chceš to nastavovat podle JSONu zveřejněném na githubu? Není problém.

Ale jinak je GPO nenahraditelný. Zvlášť pokud dlouho dumáte nad tím, jak si přivodit syndrom karpálního tunelu.

Re:Lze se vyhnout Active Directory DC?
« Odpověď #55 kdy: 22. 07. 2016, 12:34:21 »
Myslím jsme se nepochopili. Seznam s uživatelskými hesly by měl být jen jeden.  Mluvím o obezličce, že by šlo zařídit i to, aby se uživatel po přihlášení do svého profilu na počítači nemusel přihlašovat na CIFS (neboli SMB neboli sdílení windows neboli file server). Nebo jen jednou, prostě by si jeho uživatelský profil na jeho počítači heslo zapamatoval.
Proč složitě popisovat něco, co má název? Říká se tomu single sign on a jde to udělat bambilionem různých způsobů. AD není žádná magická hůlka, AD je (zprasený) kerberos. Pokud chceš stejnou funkcionalitu bez AD nad normálním LDAPem, je to instalace jednoho balíku (kerberos) a nastavení jednoho konfiguračního souboru. Nedělejte z AD zlatý tele.

(P.S. že může být složitý donutit různý windowsovský služby autentizovat proti něčemu jinýmu, než windowsímu prasokerberu, je jiná pohádka na jiné zimní večery, milé děti :) )

M.

Re:Lze se vyhnout Active Directory DC?
« Odpověď #56 kdy: 22. 07. 2016, 12:42:23 »
Myslím jsme se nepochopili. Seznam s uživatelskými hesly by měl být jen jeden.  Mluvím o obezličce, že by šlo zařídit i to, aby se uživatel po přihlášení do svého profilu na počítači nemusel přihlašovat na CIFS (neboli SMB neboli sdílení windows neboli file server). Nebo jen jednou, prostě by si jeho uživatelský profil na jeho počítači heslo zapamatoval.

Co Kerberos? Windows se umí, krom připojení do AD domény, také připojit do čisté Kerberos domény. A získané Kerberos tickety pak umí používat dále o věřovat se s nima třeba i proti CIFS serveru.
V tomto případě je jen třeba každý počítač nastavit, že když se k němu přihlásím s Kerberos UPN x@FIRMA.CZ, že to má pochopit jako přihlášení lokálního uživatele y (jde mapovat víc UPN na jeden lokální účet).
Pak místo AD můžu mít lidi sjendoceno přihlšování v Kerberos serveru, proti kterému ověřuji všechno další, co mám po firmě. A na Kerberos server na což mám tunu možností (holý kerberos server v několika variantách, FreeIPA, ale třeba i Samba4...).
V tomto režimu mám jen řešeno to centrální jméno/heslo. Vše ostatní si musím pořešit nějak jinak.
Nepoužívám v praxi, nakonec jsme šli cestou, že komply lidí jsou v AD dělané Sambou 4 (několik replikujících serverů, včetně read only replik v DMZ). Tím pádem na woknech klasický AD login a na vše dál už Kerberos ticket odvozený od toho AD loginu.
Win stanice se dálkově spravují pomocí Novell ZenWorks, jako další varianta k GPO (ale to je také na pár věcí použito)...

Re:Lze se vyhnout Active Directory DC?
« Odpověď #57 kdy: 22. 07. 2016, 13:09:10 »
:)
« Poslední změna: 22. 07. 2016, 13:12:12 od snuff1987 »

dustin

Re:Lze se vyhnout Active Directory DC?
« Odpověď #58 kdy: 22. 07. 2016, 13:46:01 »
Správce a občas? Správce se mrkne do DHCP Leases na přidělenou IP adresu a ví všechno co potřebuje vědět.

Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.

Hever

Re:Lze se vyhnout Active Directory DC?
« Odpověď #59 kdy: 22. 07. 2016, 13:59:37 »
Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.
Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

Proč se zbytečně opírat o DNS+DHCP, když to není nutné, proč zbytečně vnášet na návrhu další možnosti potenciálního selhání?