Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2016 - Альтернатива контроллеру домена Windows AD

Ответить
Настройки темы
2016 - Альтернатива контроллеру домена Windows AD

Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте

У нас маленькая компания, всего 8 компьютеров, сервера нет, все работают в рамках одной рабочей группы (Домашняя сеть Windows 7)
все компьютеры подключаются к роутеру МГТС по Wi-Fi.
В чем проблема? Нужно разграничить доступ, а рабочая группа не предоставляет такой возможности.

- Нужно чтобы база данных бухгалтера хранилась на ее компьютере и бэкапилась в на сервер (которого сейчас нет)
- Чтобы данные на компьютере операциониста лежали не на ее компьютере, а на сервере и доступ к ним имел ограниченный круг пользователей
- Планируемая База 1С чтобы лежала на сервере, чтобы любой пользователь мог залогиниться в нее через тонкий клиент 1С, но тобы никто эту базу не мог удалить/скопировать стандартными средствами Windows

Вариант я вижу только пока один -
1) купить сервер начального уровня, установить на нем Windows Server 2016
2) поднять на нем контроллер домена, AD, подключить все остальные компьюетеры по LAN к нему.

Но для нашей маленькой компании это слишком круто и неразумно, мне кажется. Поднимать контроллер домена, миграция учеток пользователей... (а у бухгалтера куча специфических программ, банк-клиент и тд, стопудов что-нить навернется в процессе переноса). Может быть есть более мягкие варианты (стронний софт, например)?

Интересно ваше мнение.

Заранее спасибо!

Отправлено: 09:10, 01-05-2018

 

Пользователь


Сообщения: 125
Благодарности: 21

Профиль | Отправить PM | Цитировать


Цитата zai:
Ты его устанавливал? Сразу видно, что нет! Там как минимум 90% от функционала. »
ну хорошо, хорошо. пусть будет 90 % от функционала контроллера домена 2003. легче стало?
Сразу видно - ты ни разу 2016 не устанавливал )) а если и устанавливал, то использовал его на 10 %

Отправлено: 15:06, 07-05-2018 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 156
Благодарности: 13

Профиль | Отправить PM | Цитировать


Цитата antiexpert1@twitter:
ты ни разу 2016 не устанавливал )) а если и устанавливал, то использовал его на 10 % »
Домен, это учетные записи и групповая политика, чем же они отличаются в samba ad и win 2016 ad, так может объясните всем более подробнее, о каком функционале идет речь?
Это сообщение посчитали полезным следующие участники:

Отправлено: 18:55, 07-05-2018 | #22


Пользователь


Сообщения: 125
Благодарности: 21

Профиль | Отправить PM | Цитировать


mnbv, на на счёт LAPS ? Bitlocker Recovery? и т.д. и т.п. А так конечно, домен это учётки и групповая политика )))

Отправлено: 20:38, 07-05-2018 | #23


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Чтобы прекратить споры про то, какой функционал AD есть в SAMBA, то вот статья на хабре про основные ограничения.
LAPS, равно как и Bitlocker, вполне могут жить и без AD.
Поэтому SAMBA подходит для простой центральной авторизации и аутентификации без излишеств с одним сервером в роли КД. Как только появляется необходимость завести второй КД или ещё что-то, что Вин AD умеет, то нужно делать выбор в сторону напильника или покупки Windows Server.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Последний раз редактировалось paranoya, 07-05-2018 в 21:37.


Отправлено: 21:26, 07-05-2018 | #24


Пользователь


Сообщения: 125
Благодарности: 21

Профиль | Отправить PM | Цитировать


Цитата paranoya:
LAPS, равно как и Bitlocker, вполне могут жить и без AD. »
ну ок. тогда ведите вручную всю документацию по паролям и ключам.
Цитата paranoya:
Поэтому SAMBA подходит для простой центральной авторизации и аутентификации без излишеств с одним сервером в роли КД. Как только появляется необходимость завести второй КД или ещё что-то, что Вин AD умеет, то нужно делать выбор в сторону напильника или покупки Windows Server. »
вот про это я и говорил:
Цитата antiexpert1@twitter:
Хотя, вам для разграничения прав должно хватить. »

Отправлено: 09:37, 08-05-2018 | #25


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата antiexpert1@twitter:
ну ок. тогда ведите вручную всю документацию по паролям и ключам »
Зачем? Вот серьёзно, когда этого LAPS не существовало, у меня было 200 компов, 5 серверов и 4К юзеров. И не было проблем с паролями локального админа. У меня существовало всего два админа на рабочих станциях - переименованный встроенный админ и доменный пользователь, являющийся админом на рабочих станциях. Включённый встроенный админ был нужен для того, чтобы войти на компьютер, когда нет сети. Доменный юзер-админ использовался во всех остальных случаях - установка софта и... всё. Большая часть всей работы была сделана так, чтобы прикладывать минимальные усилия для администрирования. И пароли этих админов не менялись годами, ибо нет смысла, хотя юзеры - это студенты, в том числе учащиеся на факультете Информатики, то есть с повышенным знанием ИТ.
Bitlocker не часть AD, он использует AD. Это всё равно что сказать, Exchange - часть AD. Но это не часть AD, вот поддомены, репликация SYSVOL, сайты, вторые и третьи КД - это AD. Даже групповые политики можно считать не частью AD, так как они могут и без домена эксплуатироваться.
Да, на Самбу это всё не прикрутить и при выборе Самбы нужно четко знать все её косяки и иметь понятие, что и как будет сделано в фирме.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 10:25, 08-05-2018 | #26


Пользователь


Сообщения: 125
Благодарности: 21

Профиль | Отправить PM | Цитировать


Цитата paranoya:
Вот серьёзно, когда этого LAPS не существовало »
по этому я и написал:
Цитата antiexpert1@twitter:
пусть будет 90 % от функционала контроллера домена 2003 »
Цитата paranoya:
И пароли этих админов не менялись годами, ибо нет смысла, хотя юзеры - это студенты, в том числе учащиеся на факультете Информатики, то есть с повышенным знанием ИТ. »
вот как раз хотел это и написать. времена меняются, угрозы и безопастность тоже.
Цитата paranoya:
Bitlocker не часть AD, он использует AD. »
согласен. Как LAPS. Только если Exchange нужен не всем, то Bitlocker нужен всем, кто хоть как-то заботися о безопасности.
И я привёл только два примера, наиболее актуальные в настоящее время. остальные Вы правильно привели по ссылке.

Отправлено: 10:37, 08-05-2018 | #27


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата Busla:
в вашем случае доступ на уровне сети максимально широкий, и всем заведуют только права на уровне ФС, которые существуют сами по себе
в моём случае на уровне сети права максимально избирательны, а на уровене ФС элементарно проверить/исправить конфликт прав »
А кто сказал, что в моём случае доступ к шаре будет максимально широким? Доступ к сетевому ресурсу будет ограничиваться только разрешёнными пользователями.
Возьмём простой пример: Фирма в которой есть бухгалтерия, отдел продаж и руководство.
Пусть всё будет лежать на одном диске/разделе (рейд не рейд, не имеет значения). Структура каталогов в твоём и моём вариантах может слега отличаться. Ты можешь папку каждого отдела и БД положить в корень раздела. У меня в корне раздела будет два каталога: Документы и БД.

В твоём варианте будет так: три сетевых ресурса, по одному на каждый отдел для документов и один для БД 1С. В моём случае это будет два сетевых ресурса: документы и БД. Двумя управлять проще.
Идём дальше - буквы для сетевых ресурсов. Буква хороша тем, что у пользователя есть быстрый доступ к информации. Ярлык на рабочем столе подразумевает, что сначала надо зайти в папку через ярлык и там открыть документы. Буква позволяет сначала запустить нужную программу и в ней открыть документ, многим людям так удобнее работать. Ярлык же может не сработать - не все программы такие умные как MS Office.
Идём дальше, у тебя по одному ярлыку на рабочем столе у каждого пользователя для доступа к документам своего отдела. У меня одна примапленная буква, пусть будет Z:, в которой видны папки каждого отдела, но пользователи могут входить только в папку своего отдела.
На фирме появляется некий проект и к этому проекту на запись должны иметь доступ один руководитель и один человек из бухгалтерии и несколько продажников. Твой вариант, если я правильно понимаю, предлагает создать ещё один сетевой ресурс со своей папкой, дать к нему доступ руководителю, бухгалтеру и сотрудникам отдела продаж. В твоём варианте движения админа: создать папку, дать права ФС, создать сетевой ресурс, дать права на него, вывести ярлык каждому нужному пользователю. В моём варианте: создать папку в корневой папке "Документы", дать права. Два движения против пяти.
Вот и думай какой вариант менее затратный по администрированию и поддержке и все эти симлинки не нужны.

-------
Он был расстроенным трупом и потратил две минуты впустую.

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:01, 08-05-2018 | #28


Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать


Цитата paranoya:
А кто сказал, что в моём случае доступ к шаре будет максимально широким? Доступ к сетевому ресурсу будет ограничиваться только разрешёнными пользователями. »
...а поскольку у тебя всего один-два сетевых ресурса, то по факту "разрешённые пользователи" практически синоним "Все"

Цитата paranoya:
Пусть всё будет лежать на одном диске/разделе »
не будет
я как раз описывал ситуацию, когда данные захочется поделить на горячие и холодные: что-то положить на SSD, что-то на медленные большие диски

Цитата paranoya:
Буква хороша тем, что у пользователя есть быстрый доступ к информации. Ярлык на рабочем столе подразумевает, что сначала надо зайти в папку через ярлык и там открыть документы. Буква позволяет сначала запустить нужную программу и в ней открыть документ, многим людям так удобнее работать. Ярлык же может не сработать - не все программы такие умные как MS Office. »
это не программы умные - это системный API
люди работают так, как вы их заставляете - неудобно и неэфктивно
есть же системные папки, библиотеки, а вы до сих под Z: монтируете

Цитата paranoya:
Двумя управлять проще. »
проще ничего не делать,а только диск смонтировать по гайду десятилетней давности - это, да

Дело не в количестве движений - качественно проделанная работа всегда потребует больше движений, чем "работает и ладно".

Отправлено: 15:55, 08-05-2018 | #29


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата Busla:
а поскольку у тебя всего один-два сетевых ресурса, то по факту "разрешённые пользователи" практически синоним "Все" »
Никаких синонимов, только разрешённые пользователи.
Цитата Busla:
сть же системные папки, библиотеки, а вы до сих под Z: монтируете »
Есть библиотеки, вот только у них есть проблема сетевые ресурсы в них не добавишь. Мало того, дома у себя я их использую, но ни разу не видел людей, которые у себя их настраивают.
Про "системные папки" слышу впервые, где можно об этом почитать?

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 16:59, 08-05-2018 | #30



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2016 - Альтернатива контроллеру домена Windows AD

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - 0x0000232B или Не удалось подключиться к контроллеру домена AD T1cOoN Windows Server 2008/2008 R2 6 24-08-2016 13:02
Проблема с подключением к контроллеру домена PC_Maniac Microsoft Windows NT/2000/2003 11 11-02-2015 01:59
подключение к контроллеру домена 2003 вин tvoi_hozyain Microsoft Windows NT/2000/2003 7 17-02-2008 15:26
FreeBSD - Подключение FreeBSD к Контроллеру домена под windows dzhserv Общий по FreeBSD 1 11-10-2007 19:29
Нет доступа к контроллеру домена undeadcs Microsoft Windows NT/2000/2003 7 10-09-2007 08:31




 
Переход