Нужно ли покупать Windows Server для установки политик или включения входа в домен?

1983
user4641581

Если я хочу настроить несколько компьютеров с Windows 7 или 8, чтобы разрешить вход только с учетными записями домена, должен ли я раскошелиться на покупку Windows Server для этого? Или подойдет сервер LDAP, такой как Apache DS, или даже сервер LDAP, встроенный в мое QNAP NAS?

Если я также захочу применить политики на ПК, например запретить пользователям изменять настройки свойств IPv4, можно ли это применить локально на каждом ПК без использования Windows Server?

0

2 ответа на вопрос

1
Julian Knight

Вы можете настроить Linux для работы в качестве контроллера домена с помощью программного обеспечения SAMBA. Так что нет, вам не нужно покупать лицензии на Windows Server просто для входа в домен.

Однако обычного сервера LDAP недостаточно.

AFIK, вы даже можете применять групповые политики, используя бесплатное программное обеспечение, SAMBA v4, безусловно, поддерживает групповые политики, хотя я не уверен, следует ли вам на самом деле лицензировать клиентские лицензии. Такие инструменты, как Likewise Open и Centrify Express, я думаю, утверждали, что сделали это, хотя оба сайта, похоже, перешли или закрылись со времени моих последних ссылок. На самом деле я этого не делал, поэтому не уверен, насколько это просто. Аналогично Open теперь является частью BeyondTrust.

В SAMBA WIKI также есть некоторые базовые инструкции, хотя они выглядят немного устаревшими, и похоже, что вы можете делать большинство вещей только с SAMBA, если вы используете v4.

ОБНОВИТЬ:

Чтобы ответить на вопрос о том, почему одного LDAP недостаточно. Хотя Active Directory действительно частично основана на стандартах LDAP, у нее довольно много проприетарных дополнений, характерных для Windows. Вы должны иметь не-LDAP сервисы, которые будут реагировать на входы клиентов, работу с группами, лицензии, групповые политики и многое другое.

LDAP, с другой стороны, является стандартом и протоколом, вышедшим из X.500, который был разработан для предоставления корпоративного (действительно глобального) каталога пользователей и связанных ресурсов для систем электронной почты на основе X.400. X.500 был излишним для большинства вещей и требовал очень сложного клиента, который был слишком тяжелым для большинства ПК того времени. Так появился LDAP ( облегченный протокол доступа к каталогам). По сути, это по-прежнему всего лишь механизм поиска пользовательских и подобных данных из очень большого каталога элементов. Все, что он делает, это принимает стандартные запросы и возвращает результаты стандартным способом. Конечно, есть еще кое-что, но это суть.

Благодарю. Не знал, что SAMBA может сделать это, так как я всегда думал, что это для SMB / CIFS. Можете ли вы выделить, почему сервер LDAP не может выступать в качестве контроллера домена, поскольку я думал, что AD построен на протоколе LDAP? Кроме того, кажется, что SAMBA v4 имеет некоторые ограничения на http://www.infoworld.com/article/2613171/networking/samba-4-review--no-substitute-for-active-directory----yet.html? user4641581 9 лет назад 0
Смотрите мое обновление. Статья, которую вы цитируете, написана в 2013 году, поэтому я не уверен, как все продвигалось. Тем не менее, это намного дешевле, чем лицензии Windows Server и Windows CAL! Julian Knight 9 лет назад 0
Благодарю. Я посмотрю более подробно позже. Вы знаете из рук, если у Samba есть графический интерфейс? Кажется, я не могу найти скриншоты. Я чрезвычайно знаком с CLI, но у меня есть немало других систем для настройки, поэтому, если изучение всего через CLI займет вечность. user4641581 9 лет назад 0
Различные инструменты предлагают некоторый графический интерфейс для SAMBA, но я думаю, что они охватывают только основы. Большинство людей редактируют файлы конфигурации. Не знаю о групповых политиках, хотя я думаю, что в вики SAMBA упоминается возможность использования некоторых стандартных инструментов Windows. Julian Knight 9 лет назад 0
0
Kevin Dominik Korte

Контроллер домена Samba 4 должен обеспечивать все функции, которые вы описали. В частности, он поддерживает групповые политики и проверку подлинности, о которых вы упоминали, сразу после установки на одном сервере. Установка не слишком сложна, пока вы придерживаетесь документации.

Как уже упоминалось, стандартный сервер LDAP, однако, не сработает. Windows довольно требовательна к сочетанию LDAP, Kerberos и файловых служб на контроллере домена, и все они немного отличаются от того, что было стандартизировано.

Ограничения, о которых часто говорят люди, - это, в основном, больше сложностей с настройкой, чем реальных ограничений, и все они вступают в игру, только если вы ищете что-то большее, чем отдельный сервер. В этом случае в Samba 4 отсутствуют части репликации встроенной политики репликации, поэтому вам потребуется сценарий, чтобы обойти это. Другая проблема, которая затем вступает в игру, заключается в том, что аутентификация NTP и Kerberos - это отдельные сервисы, и их необходимо настроить в соответствии с вашим первым сервером. Я бы сказал, что после того, как у вас будут запущены первые два сервера, управлять им не составит большого труда, но начальная кривая для настройки многосерверной среды Samba 4 может быть довольно высокой.

Конечно, коммерческие дистрибутивы, такие как наша система UCS, могут упростить запуск и администрирование Samba 4, но под ним то же самое программное обеспечение, которое мы используем в 10000 пользовательских средах.

Благодарю. Только что нашел Zentyal. Сравниваю это с UCS. Одна вещь, которую я забыл упомянуть, это то, что я ищу замену Exchange для работы с почтой. user4641581 9 лет назад 0

Похожие вопросы