Нужно ли приобретать Windows Server для установки политик или включения входа в домен?

0

Если я хочу настроить несколько компьютеров под управлением Windows 7 или 8, чтобы разрешить вход только с учетными записями домена, должен ли я раскошелиться на покупку Windows Server для этого? Или подойдет сервер LDAP, такой как Apache DS, или даже сервер LDAP, встроенный в мое QNAP NAS?

Если я также захочу применить политики на ПК, например запретить пользователям изменять настройки свойств IPv4, можно ли это применить локально на каждом ПК без использования Windows Server?

user4641581
источник

Ответы:

1

Вы можете настроить Linux для работы в качестве контроллера домена с помощью программного обеспечения SAMBA. Так что нет, вам не нужно покупать лицензии на Windows Server просто для входа в домен.

Однако обычного сервера LDAP недостаточно.

AFIK, вы даже можете применять групповые политики, используя бесплатное программное обеспечение, SAMBA v4, безусловно, поддерживает групповые политики, хотя я не уверен, следует ли вам на самом деле лицензировать клиентские лицензии. Такие инструменты, как Likewise Open и Centrify Express, я думаю, утверждали, что сделали это, хотя оба сайта, похоже, перешли или закрылись со времени моих последних ссылок. На самом деле я этого не делал, поэтому не уверен, насколько это легко. Аналогично открытый теперь является частью BeyondTrust.

САМБА ВИКИ имеет некоторые основные инструкции, хотя они выглядят немного устаревшими Похоже, вы можете делать большинство вещей только с SAMBA, если вы используете v4.

ОБНОВИТЬ:

Чтобы ответить на вопрос о том, почему одного LDAP недостаточно. Хотя Active Directory действительно частично основана на стандартах LDAP, у нее довольно много проприетарных дополнений, характерных для Windows. Вы должны иметь не-LDAP сервисы, которые будут реагировать на входы клиентов, работу с группами, лицензии, групповые политики и многое другое.

LDAP, с другой стороны, является стандартом и протоколом, вышедшим из X.500 и предназначенным для предоставления корпоративного (действительно глобального) каталога пользователей и связанных ресурсов для систем электронной почты на основе X.400. X.500 был излишним для большинства вещей и требовал очень сложного клиента, который был слишком тяжелым для большинства ПК того времени. Так что LDAP ( облегченный Протокол доступа к каталогам) рождения. По сути, это по-прежнему всего лишь механизм поиска пользовательских и похожих данных из очень большого каталога элементов. Все, что он делает, это принимает стандартные запросы и возвращает результаты стандартным способом. Конечно, есть еще кое-что, но это суть.

Julian Knight
источник
Благодарю. Не знал, что SAMBA может сделать это, так как я всегда думал, что это для SMB / CIFS. Можете ли вы выделить, почему сервер LDAP не может выступать в качестве контроллера домена, поскольку я думал, что AD построен на протоколе LDAP? Кроме того, кажется, что SAMBA v4 имеет некоторые ограничения на infoworld.com/article/2613171/networking/... ?
user4641581
Смотрите мое обновление. Статья, которую вы цитируете, написана в 2013 году, поэтому я не уверен, как все продвигалось. Тем не менее, это намного дешевле, чем лицензии Windows Server и Windows CAL!
Julian Knight
Благодарю. Я посмотрю более подробно позже. Вы знаете из рук, если у Samba есть графический интерфейс? Кажется, я не могу найти скриншоты. Я очень хорошо знаком с CLI, но у меня есть немало других систем для настройки, поэтому изучение всего через CLI будет длиться вечно.
user4641581
Различные инструменты предлагают некоторый графический интерфейс для SAMBA, но я думаю, что они охватывают только основы. Большинство людей редактируют файлы конфигурации. Не знаю о групповых политиках, хотя я думаю, что в вики SAMBA упоминается возможность использования некоторых стандартных инструментов Windows.
Julian Knight
0

Контроллер домена Samba 4 должен обеспечивать все описанные вами функции. В частности, он поддерживает групповые политики и проверку подлинности, о которых вы упоминали сразу после установки на один сервер. Установка не слишком сложна, пока вы придерживаетесь документации.

Как уже упоминалось, стандартный сервер LDAP, однако, не сработает. Windows довольно требовательна к сочетанию LDAP, Kerberos и файловых служб на контроллере домена, и все они немного отличаются от того, что было стандартизировано.

Ограничения, о которых часто говорят люди, - это, в основном, больше сложностей при настройке, чем реальные ограничения, и все они вступают в игру, только если вы рассматриваете что-то большее, чем отдельный сервер. В этом случае в Samba 4 отсутствуют части репликации встроенной политики репликации, поэтому для решения этой проблемы вам потребуется скрипт. Другая проблема, которая затем вступает в игру, заключается в том, что аутентификация NTP и Kerberos - это отдельные сервисы, которые необходимо настроить в соответствии с вашим первым сервером. Я бы сказал, что после того, как у вас будут запущены первые два сервера, управлять им не составит большого труда, но начальная кривая для настройки многосерверной среды Samba 4 может быть довольно высокой.

Конечно, коммерческие дистрибутивы, такие как наша система UCS, могут упростить запуск и администрирование Samba 4, но под ним то же самое программное обеспечение, которое мы используем в 10000 пользовательских средах.

Kevin Dominik Korte
источник
Благодарю. Только что нашел Zentyal. Сравниваю это с UCS. Одна вещь, которую я забыл упомянуть, это то, что я ищу замену Exchange для работы с почтой.
user4641581