|
Групповая политика - есть ли аналог?
Есть ли аналог групповых политик Windows 2000/2003 в доменной среде основанной на *nix - операционных системах? Или ещё какие инструменты управления сетевой инфраструктурой предприятия?
|
Сам не пробовал http://www.nitrobit.com/grouppolicy.html
|
Вешь интересная, но я наверно не совсем чётко сформулировал вопрос, попробую ещё раз:
"В доменной среде, основанной на *nix - серверах и клиентах, есть ли возможность централизованного управления настройками рабочих станций, подобная групповым политикам Windows-серверов? Если есть - просьба тем, кто сталкивался описать возможности и недостатки (если конечно не трудно)." |
Вот аналоги AD в Linux
http://en.wikipedia.org/wiki/Novell_eDirectory http://en.wikipedia.org/wiki/Fedora_Directory_Server http://en.wikipedia.org/wiki/Sun_Jav...rectory_Server Сам ничего из этого не пробовал, поэтому сказать "хорошо-плохо" не могу. |
[mzd]
Спасибо за ссылки. Вот бы ещё мнение тех, кто с этим сталкивался вживую, услышать. |
Судя по темам, поднятым на Linuxforum, самая внятная замена для AD - Novell eDirectory.
|
У меня тож Возник вопрос....
Групповая Политика Вещь на предприятии очень важная, почему разработчики Linux, FreeBSD и др. Unix не акцентируют на это внимание? просто я не вижу реальной замены и альтернативы Windows и Novell NetWare, а очень хотелось бы... |
Цитата:
|
Цитата:
Я, например, не понял что вам требуется :) |
ruslandh
Могу предположить, что того же как и всем - централизованного управления сетевой инфраструктурой предприятия. Вот например - перевести всё предприятие на *nix - а рабочие станции настраивать все сам бегать каждый раз ручками будешь? Мало того, что неохота, так и зараты времени будут - ни нового чего узнать, ни поэксперементировать нормально. |
xoxmodav
В каком смычле настраивать ? Удалённый доступ что-ли? Или готовые настройки для каждой машины ? Или настройки routing ? А какая разница между настройкой сети и настройкой других параметров компьютера ? - Их при установке в любом случае настраивать надо. .Я не понимаю что входит в понятие Цитата:
|
К примеру, возьмём те же групповые политики Windows Server:
- централизованное управление широким спектром настроек всех рабочих станций и серверов домена; - централизованное управление ограничениями или разрешениями прав учётных записей пользователей на рабочих станциях; - централизованное управление ПО на рабочих станциях. Цитата:
Дело наверно ещё и в том, что при работе на более-менее крупном предприятии системному администратору не надо: Цитата:
P.S. Извиняюсь, немного неверно высказался - следовало сказать "информационной инфраструктурой предприятия". |
ruslandh
Я так понял, что политики доступа к ресурсам ПК, например, авторизация пользователей на локальном компьютере... Т.е. *nix аналог AD от MS. |
Тода надо настроить ldap авторизацию на рабочих станциях (c ldap сервера).
+ Настроить самбу (swat рулит) с ldap авторизацией от сервера. Цитата:
Цитата:
Ну и прежде чем настраивать - расписать на бумаге - что и как надо настроить. PS "политику" можно настроить один раз, а частности решит ldap PS не представляю - как процессом установки ОС можно управлять удаленно :) |
ruslandh
Большинство всяких "Directory" как раз являются надстройками над ldap. |
xoxmodav
Имхо, аналогов GPO для "linux домена" нет (если есть поправьте). Это конечно сильно ограничивает возможность перехода на linux предприятий. Честно говоря я не знаю как решают данный вопрос предприятия полностью перешедшие на linux (имеются ввиду не сервера и рабочие станции). |
|
Вот это-то и сходу останавливает изначально в корне все попытки внедрения *nix'ов. Поэтому я и задал сей вопрос.
P.S. Хотя кто-то предлагал закупить Linux XP - типа она с групповыми политиками серверных Windows работает нормально. Так и не купили. Блин, пока писал rusland ссылку кинул. Правда опять же - кругом используются серверные операционные системы Microsoft. |
|
xoxmodav
Цитата:
Надеюсь я понятно выразился :) ruslandh OpenLDAP это хорошо, но только одна часть AD от мелкомягких. |
|
Статьи интересные, хотя как не линуксоиду - не всё было понятно во время прочтения.
Цитата:
Цитата:
А в живую кто-нибудь сталкивался с реализацией данного вопроса на предприятии? |
xoxmodav
Цитата:
все токо могут рассуждать, а сделать будет трудновато... что и препятствует развитие Unix на предприятиии... Цитата:
у нас на предприятии более 350 компов в сетки и более 300 удалённо... и всё В AD WindowSa.... так что Unix проигрывает в этой сфере... |
В свое время хотелось что то подобное реализовать, да и что таить до сих пор хочется.
Что же из себя представляет групповая политика. Это 1) Набор скриптов 2) два файла с расширением .ini для изменения параметров в реестре. Была проба завести отдельную групповую политику не находясь в АД (локальная чуть чуть урезана, но тем не менее спокой подгружаются не достающие скрипты). С набором скриптов все понятно, стартуют разворачиваются сами, все ставят (только под админом, соответвенно затрагивает только его настройки) под обычным "урезанным" пользователем так и не удалось ничего сделать. Но без набора скриптов можно спокойно обойтись, доп параметры редко кто ставит. Прошу прощения за ранее, по сносил все что связано с АД.... потому пишу на память... В общем при разборе часть политик у меня на пользовательских машинах заводились на ура. Проблема была тока в том что бы автоматизировать изменения, тогда я не был знаком с самбой на том уровне что сейчас, потому не знал что можно загнать в автозагрузку пользовательской машины батничек :-(. В общем способ есть, я вас заверяю. Нужна тока АД без юзверей откуда будет копироватся все эти файлы с заданными уже параметрами. И все это загонять в батник. Все сказанное выше было все "познано" опытным путём. по пробуйте сами. Если что пишите в личку, скажу как делать, просто надо что бы меня направляли, на память много чего не сделаеш. Или у кого есть несколько машинок на которых можно по тренироватся, давайте как нить соберемся возьмем пивка, да по копашимся :-) Один в поле не воин :-) Если удастся эмулировать групповые политики, то абсолютно (для меня по крайней мере) отпадет надобность в АД.... Эхх утереть бы буржуям майрософтовским нос... |
INTELLIGENTIK
Т.е. предлагаешь создать logon.bat, который и будет менять значения реестра, т.е. эмулировать применение group policy? |
однажды в далекой-далекой галлактике.. нашла свое старое письмо из листка рассылки самбы - http://lists.samba.org/archive/samba...er/002880.html (даже с подписью от консольной почты :)) Но там шла речь об управлениями win-рабочими станциями и вообще это скорей как исторический курьез. (не прошло и 10 лет, как не только сервер, но и класс наконец-то решились переводить под Linux (да и то, если факультетское начальство не вмешается) |
must die
что то вроде этого. эмулировать logon.bat сможет только значения описанные в файле GptTmpl.ini вроде так он назывался. Отдельно значения аудитов как это сделать было описано в мсдн вроде. Нужно сесть за работающий домен и вспомнить. Про файлы в папке Adm, с разрешением ADM отлельный разговор, они есть те самые доп функции. Ребят сори точно не помню, но вспомнить могу. Ведь если посмотреть в корень, что такое групповая политика : это изменение параметров. А где у нас параметры: 1) Реестр 2) различные инишки 3) что то ещё. Конечно полностью эмулировать нереально, но по пробовать можно. Я просто не программист. Думаю человек более менее ваяющий на jawa и С сможет разобратся что к чему. В качестве реестра и параметров Аудитов я баловался, и все реализуемо. |
INTELLIGENTIK
Может я чего-то не допонимаю (в *nix'ах пока не разбирался), в *nix - системах тоже есть реестр, аналогичный виндовому, и к ним можно прикручивать ADM-файлы??? |
xoxmodav
Нет, там все настройки лежат в обычных текстовых файлах. |
Цитата:
|
Обсуждение Active Directory Server на основе Linux в рассылке community@lists.altlinux.org
http://lists.altlinux.org/pipermail/...ry/189340.html |
xoxmodav
Реестр правят файлы *ini, как я понимаю, а *adm скрипты писаные на черт знает чем правят остальное. Думаю не должна быть система сложной. ruslandh Спасибо за информацию На днях сяду с другом программером, может чего и накопаем... Но openldap по любому должен присутсвовать, ведь AD это одна из реализаций Ldap... Думаю связка openldap (на сусе 10.2) + samba3 + эти конфиги по пробовать завести... Через недельку отпишусь. |
INTELLIGENTIK
Очень ждем :) |
Цитата:
А как вы собираетесь решить проблему с правами? Скрипт запущенный от имени пользователя, мало что может поменять. |
Проблема с правами решаема, это чуть позже.
В принципе вот, я был прав правится все только ключи реестра, за помощь спасибо другу. Буду готовить статью и необходимы фак как все ставить и править. Код:
POLICY !!GPOnlyPolicy => KEYNAME "Software\Policies"Самая большая сложность состоит в том бы отследить какие ключи с какими параметрами стартуют, и как они меняются при изменении в mmc... Мало того можно гораздо круче майкрософтовской выкрутить. Работа это совсем не сложная но больно кропотливая. |
Ну что же, я остановил свои бредовые идеи, так как уже все сделано :-)
Собственно вот товарищи наслаждайтесь :-) Качаем SP6 для NT с сайта M$ Код:
Getting SPE from Windows NT SP6aТам правда все на английском, сам для себя сяду переводить :-) Конечно там не все, что сейчас может 2003, но с 2003 можно тоже по крутить :-). PS Информацию помог найти друг, спасибо ему большое за это :-) |
|
Да да так и есть. Сейчас мучаю по разному. Хочу полностью засунуть от 2003 группы. Пока плохо получается. Все же все равно из шаблонов много чего надо вытаскивать и заводить отдельно. Пока думаем :-)
|
Я вобщем делаю так
Настриваю локально профиль виндоза для определеных груп типа бухи, манагеры, и др. потом просто тупо кладу ето все на сервак и пишу скриптик при логине на самбу подгружать профиль на основании группы к каторой относица пользователь вот в пиринципе и все. работит я не трогаю ))) |
| Время: 18:59. |
Время: 18:59.
© OSzone.net 2001-