Ты его устанавливал? Сразу видно, что нет! Там как минимум 90% от функционала. »
ну хорошо, хорошо. пусть будет 90 % от функционала контроллера домена 2003. легче стало?
Сразу видно - ты ни разу 2016 не устанавливал )) а если и устанавливал, то использовал его на 10 % :biggrin:

ты ни разу 2016 не устанавливал )) а если и устанавливал, то использовал его на 10 % »
Домен, это учетные записи и групповая политика, чем же они отличаются в samba ad и win 2016 ad, так может объясните всем более подробнее, о каком функционале идет речь?

mnbv, на на счёт LAPS ? Bitlocker Recovery? и т.д. и т.п. А так конечно, домен это учётки и групповая политика )))

Чтобы прекратить споры про то, какой функционал AD есть в SAMBA, то вот статья на хабре (https://habr.com/post/272777/) про основные ограничения.
LAPS, равно как и Bitlocker, вполне могут жить и без AD.
Поэтому SAMBA подходит для простой центральной авторизации и аутентификации без излишеств с одним сервером в роли КД. Как только появляется необходимость завести второй КД или ещё что-то, что Вин AD умеет, то нужно делать выбор в сторону напильника или покупки Windows Server.

LAPS, равно как и Bitlocker, вполне могут жить и без AD. »
ну ок. тогда ведите вручную всю документацию по паролям и ключам.
Поэтому SAMBA подходит для простой центральной авторизации и аутентификации без излишеств с одним сервером в роли КД. Как только появляется необходимость завести второй КД или ещё что-то, что Вин AD умеет, то нужно делать выбор в сторону напильника или покупки Windows Server. »
вот про это я и говорил:
Хотя, вам для разграничения прав должно хватить. »

ну ок. тогда ведите вручную всю документацию по паролям и ключам »
Зачем? Вот серьёзно, когда этого LAPS не существовало, у меня было 200 компов, 5 серверов и 4К юзеров. И не было проблем с паролями локального админа. У меня существовало всего два админа на рабочих станциях - переименованный встроенный админ и доменный пользователь, являющийся админом на рабочих станциях. Включённый встроенный админ был нужен для того, чтобы войти на компьютер, когда нет сети. Доменный юзер-админ использовался во всех остальных случаях - установка софта и... всё. Большая часть всей работы была сделана так, чтобы прикладывать минимальные усилия для администрирования. И пароли этих админов не менялись годами, ибо нет смысла, хотя юзеры - это студенты, в том числе учащиеся на факультете Информатики, то есть с повышенным знанием ИТ.
Bitlocker не часть AD, он использует AD. Это всё равно что сказать, Exchange - часть AD. Но это не часть AD, вот поддомены, репликация SYSVOL, сайты, вторые и третьи КД - это AD. Даже групповые политики можно считать не частью AD, так как они могут и без домена эксплуатироваться.
Да, на Самбу это всё не прикрутить и при выборе Самбы нужно четко знать все её косяки и иметь понятие, что и как будет сделано в фирме.

Вот серьёзно, когда этого LAPS не существовало »
по этому я и написал:
пусть будет 90 % от функционала контроллера домена 2003 »
И пароли этих админов не менялись годами, ибо нет смысла, хотя юзеры - это студенты, в том числе учащиеся на факультете Информатики, то есть с повышенным знанием ИТ. »
вот как раз хотел это и написать. времена меняются, угрозы и безопастность тоже.
Bitlocker не часть AD, он использует AD. »
согласен. Как LAPS. Только если Exchange нужен не всем, то Bitlocker нужен всем, кто хоть как-то заботися о безопасности.
И я привёл только два примера, наиболее актуальные в настоящее время. остальные Вы правильно привели по ссылке.

в вашем случае доступ на уровне сети максимально широкий, и всем заведуют только права на уровне ФС, которые существуют сами по себе
в моём случае на уровне сети права максимально избирательны, а на уровене ФС элементарно проверить/исправить конфликт прав »
А кто сказал, что в моём случае доступ к шаре будет максимально широким? Доступ к сетевому ресурсу будет ограничиваться только разрешёнными пользователями.
Возьмём простой пример: Фирма в которой есть бухгалтерия, отдел продаж и руководство.
Пусть всё будет лежать на одном диске/разделе (рейд не рейд, не имеет значения). Структура каталогов в твоём и моём вариантах может слега отличаться. Ты можешь папку каждого отдела и БД положить в корень раздела. У меня в корне раздела будет два каталога: Документы и БД.

В твоём варианте будет так: три сетевых ресурса, по одному на каждый отдел для документов и один для БД 1С. В моём случае это будет два сетевых ресурса: документы и БД. Двумя управлять проще.
Идём дальше - буквы для сетевых ресурсов. Буква хороша тем, что у пользователя есть быстрый доступ к информации. Ярлык на рабочем столе подразумевает, что сначала надо зайти в папку через ярлык и там открыть документы. Буква позволяет сначала запустить нужную программу и в ней открыть документ, многим людям так удобнее работать. Ярлык же может не сработать - не все программы такие умные как MS Office. :)
Идём дальше, у тебя по одному ярлыку на рабочем столе у каждого пользователя для доступа к документам своего отдела. У меня одна примапленная буква, пусть будет Z:, в которой видны папки каждого отдела, но пользователи могут входить только в папку своего отдела.
На фирме появляется некий проект и к этому проекту на запись должны иметь доступ один руководитель и один человек из бухгалтерии и несколько продажников. Твой вариант, если я правильно понимаю, предлагает создать ещё один сетевой ресурс со своей папкой, дать к нему доступ руководителю, бухгалтеру и сотрудникам отдела продаж. В твоём варианте движения админа: создать папку, дать права ФС, создать сетевой ресурс, дать права на него, вывести ярлык каждому нужному пользователю. В моём варианте: создать папку в корневой папке "Документы", дать права. Два движения против пяти.
Вот и думай какой вариант менее затратный по администрированию и поддержке и все эти симлинки не нужны.

А кто сказал, что в моём случае доступ к шаре будет максимально широким? Доступ к сетевому ресурсу будет ограничиваться только разрешёнными пользователями. »
...а поскольку у тебя всего один-два сетевых ресурса, то по факту "разрешённые пользователи" практически синоним "Все"

Пусть всё будет лежать на одном диске/разделе »
не будет
я как раз описывал ситуацию, когда данные захочется поделить на горячие и холодные: что-то положить на SSD, что-то на медленные большие диски

Буква хороша тем, что у пользователя есть быстрый доступ к информации. Ярлык на рабочем столе подразумевает, что сначала надо зайти в папку через ярлык и там открыть документы. Буква позволяет сначала запустить нужную программу и в ней открыть документ, многим людям так удобнее работать. Ярлык же может не сработать - не все программы такие умные как MS Office. »
это не программы умные - это системный API
люди работают так, как вы их заставляете - неудобно и неэфктивно
есть же системные папки, библиотеки, а вы до сих под Z: монтируете

Двумя управлять проще. »
проще ничего не делать,а только диск смонтировать по гайду десятилетней давности - это, да

Дело не в количестве движений - качественно проделанная работа всегда потребует больше движений, чем "работает и ладно".

а поскольку у тебя всего один-два сетевых ресурса, то по факту "разрешённые пользователи" практически синоним "Все" »
Никаких синонимов, только разрешённые пользователи.
сть же системные папки, библиотеки, а вы до сих под Z: монтируете »
Есть библиотеки, вот только у них есть проблема сетевые ресурсы в них не добавишь. Мало того, дома у себя я их использую, но ни разу не видел людей, которые у себя их настраивают.
Про "системные папки" слышу впервые, где можно об этом почитать?

paranoya, Busla, коллеги, мне кажется, вы отклоняетесь от темы :blush2:

Есть библиотеки, вот только у них есть проблема сетевые ресурсы в них не добавишь. »
добавляются, но не индексируются

Про "системные папки" слышу впервые »
я про SpecialFolder - "Мои документы", "Общие документы" и т.п.

antiexpert1@twitter, оки - закругляемся