|
| 1.2, Abu (?), 02:56, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 =Гибкие ACL= в новости - это про:
=On-line, zero downtime, LDAP-based update of schema, configuration, management and in-tree Access Control Information (ACIs)= ?
Или все-таки про =что-то=, что связано с групповыми политиками и прочим, действительно необходимым в подобного рода сервисе?
| | |
| 1.3, Аноним (-), 07:05, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Групповые политики нужны исключительно для убогих Windows клиентов. Не путайте LDAP каталог и обставленное костылями поделие под названием Active Directory.
| | |
| |
| 2.4, winterheart (?), 09:10, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Групповые политики нужны исключительно для убогих Windows клиентов. Не путайте LDAP каталог
>и обставленное костылями поделие под названием Active Directory.
Собственно, это реплика по какому поводу была? Вы, собственно не путаете GP с самим LDAP-сревером? Это немного разные вещи. Каково ни было ваше отношение к AD, но это LDAP, своеобразно сделанный, но каталог.
| | |
| 2.5, HFSC (??), 12:08, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Групповые политики нужны исключительно для убогих Windows клиентов. Не путайте LDAP каталог
>и обставленное костылями поделие под названием Active Directory.
иногла лучше молчать чем писать ахинею
| | |
| |
| 3.6, Кирилл (??), 14:07, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
Почему же ахинею, конечно, скорее всего написавший мало представляет что такое GP в промышленном окружении, но общую идею он сформулировал верно. Это вообще то полный бред покупать систему, а потом планомерно и централизовано её херить, сама идеалогия, лежащая в основе метода, ущербна, на мой взгляд. Просто теперь вполне можно строить корпоративную систему без деления её на доверенный периметр и прочий мир. Потому что никакого доверенного периметра не бывает, а поддерживать его слишком накладно и неэффективно.
GPO это просто приделывание маленьких колёсиков с огромному чемода с хламом под названием Windows, кто поглупее радуются, что теперь хлам возить легче, а кто поумнее уже давно задаются вопросом "а нафига нам собственно сам хлам нужен".
| | |
| |
| 4.9, HFSC (??), 15:04, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>в промышленном окружении, но общую идею он сформулировал верно. Это вообще
>то полный бред покупать систему, а потом планомерно и централизовано её
>херить, сама идеалогия, лежащая в основе метода, ущербна, на мой взгляд.
>Просто теперь вполне можно строить корпоративную систему без деления её на
>доверенный периметр и прочий мир. Потому что никакого доверенного периметра не
>бывает, а поддерживать его слишком накладно и неэффективно.
>GPO это просто приделывание маленьких колёсиков с огромному чемода с хламом под
>названием Windows, кто поглупее радуются, что теперь хлам возить легче, а
>кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
>хлам нужен".
просто смешно читать такое
"кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
хлам нужен" - и ставят еще больший хлам в виде Fedora Directory Server, в котором только сейчас,судя по новости,появились multi master replication и шифрование данных.
| | |
| |
| 5.10, Кирилл (??), 15:13, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>просто смешно читать такое
>"кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
>хлам нужен" - и ставят еще больший хлам в виде Fedora Directory
>Server, в котором только сейчас,судя по новости,появились multi master replication и
>шифрование данных.
Смешливый какой. Просто в *никс можно обойтись без тотального управления всем на пользовательских компьютерах, а использовать менее громоздкую и более элегантную и не такую затратную архитектуру. Более того, я уверен, что и Смешливый, хоть и пытается что-то тут выдать, а в AD не разбирается ничуть и правильно делает -- такого маркетологами наворочено.
| | |
| |
| 6.11, XRay (??), 15:35, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >[оверквотинг удален]
>>"кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
>>хлам нужен" - и ставят еще больший хлам в виде Fedora Directory
>>Server, в котором только сейчас,судя по новости,появились multi master replication и
>>шифрование данных.
>
>Смешливый какой. Просто в *никс можно обойтись без тотального управления всем на
>пользовательских компьютерах, а использовать менее громоздкую и более элегантную и не
>такую затратную архитектуру. Более того, я уверен, что и Смешливый, хоть
>и пытается что-то тут выдать, а в AD не разбирается ничуть
>и правильно делает -- такого маркетологами наворочено.
Если не сложно, можете описать эту самую мне "менее громоздкую и более элегантную и не
такую затратную" архитектуру...
| | |
| 6.12, HFSC (??), 15:53, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
На личности в бане переходить будете.
Можно обойтись конечно...по схеме юниксвея - "один сервер с краю - ничего не знаю". И затраты не такие больше и схема элегантная и админ при делах.
| | |
| |
| 7.13, Кирилл (??), 16:32, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
Да, хотя бы так. Получается в сотни раз (именно в сотни) менее затратно, чем закупать, внедрять и эксплуатировать мешок контроллеров доменов, зоопарк из групповых политик, шаблонов безопастности и прочей мишуры, ради того, чтоб сотня другая юзеров могли попользоваться вордом с экселем ну и какую-нибудь клиент-серверную рукоблудину запустить, написаную "на си плюс плюс" красноглазым студентом-недоучкой. А что-то большее Вин-системе всё равно не под силу (вернее под силу конечно, но цена получится как полёт на марс и вознаграждение консультантов и админов будет как раз как зарплата роты космонавтов).
| | |
| |
| |
| 9.17, none (??), 20:24, 09/01/2008 [^] [^^] [^^^] [ответить] | +/– | вот и хоца услышать - пардоньте - на койляд это сгондыбали и как это дело обслуж... текст свёрнут, показать | | |
| 9.20, Кирилл (??), 10:06, 10/01/2008 [^] [^^] [^^^] [ответить] | +/– | Вы, батенька, звездобол обыкновенный, не способный на большее, чем жонглировать ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 1.7, Abu (?), 14:48, 09/01/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Когда у тебя нет денег, есть два выхода объяснить ситуацию: не смог заработать или - нафиг мне деньги не нужны. Может быть windows клиенты и убогие. Не знаю. Но на GP у заказчиков есть спрос. И объяснением =убогости= представлений заказчика отсутствие GP в линуксе не перекрыть.
Согласен, что если корпоративная система построена так, что обходится без GP - это почетно. А как там система отдает файл девяти юзерам из разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще одну группу, в которую входят эти девять юзеров? А, может быть, этого и вовсе не нужно. Скорее всего я что-то пропустил.
Просто я думал, что через FDS можно как-то ACL-ами управлять. Нельзя? Ну и ладно.
| | |
| |
| 2.8, Кирилл (??), 14:52, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>перекрыть.
>
>Согласен, что если корпоративная система построена так, что обходится без GP -
>это почетно. А как там система отдает файл девяти юзерам из
>разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще
>одну группу, в которую входят эти девять юзеров? А, может быть,
>этого и вовсе не нужно. Скорее всего я что-то пропустил.
>
>Просто я думал, что через FDS можно как-то ACL-ами управлять. Нельзя? Ну
>и ладно.
Вы данном случае путаете GPO и Шаблоны безопастности. GP не работают с файловой системой и ACL никак управлять через GP не получиться.
| | |
| 2.14, Кирилл (??), 16:53, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А как там система отдает файл девяти юзерам из
>разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще
>одну группу, в которую входят эти девять юзеров? А, может быть,
>этого и вовсе не нужно. Скорее всего я что-то пропустил.
Abu, GPO не привязываются к группам, только к контейнеру Сайта, Домена или Организационному подразделению (можно извратиться, опять же, через ACL самого GPO). Так что описанная тобой ситуация не показательна.
| | |
| |
| 3.16, HFSC (??), 18:45, 09/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>А как там система отдает файл девяти юзерам из
>>разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще
>>одну группу, в которую входят эти девять юзеров? А, может быть,
>>этого и вовсе не нужно. Скорее всего я что-то пропустил.
>
>Abu, GPO не привязываются к группам, только к контейнеру Сайта, Домена или
>Организационному подразделению (можно извратиться, опять же, через ACL самого GPO). Так
>что описанная тобой ситуация не показательна.
это не изврат а официальное документированное решение - назначать через GPO Security для каких групп (и юзеров) будет применятся данный GPO
| | |
| |
| 4.19, Кирилл (??), 09:41, 10/01/2008 [^] [^^] [^^^] [ответить]
| +/– |
>это не изврат а официальное документированное решение - назначать через GPO Security
>для каких групп (и юзеров) будет применятся данный GPO
Это изврат, о чём не двусмысленно написано в гидах по внедрению, начиная с появления GP.
GPO не применяется на уровне групп (единственная возможность добиться применения к отдельным группам это использовать выделеные права ACL GPO-объекта, но это негибкое и нежелательное решение). Для GPO нет никаких групп, есть только сайт, домен и оп.
| | |
| |
| 5.21, Abu (?), 17:05, 10/01/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Кирилл (:
Я не силен в терминологии, да. Вот сходил на википедию и получил следующее:
подтверждение ваших слов:
=After a GPO has been created it can be linked to an Active Directory site, domain or OU (Organizational Unit). It is most common for GPOs to be linked to OUs.=
и замечание:
=User and computer objects may only exist once in the Active Directory but often fall into the scope of several GPOs. The user or computer object applies each applicable GPO. Conflicts between GPOs are resolved at a per attribute level.=
То есть, я правильно понимаю, что GPO так или иначе связана с AD? И все-таки =user and computer
often fall into the scope of several GPOs= ?
Почему бы тогда FDS или какому-нибудь LinuxDS тоже не быть связанным с некоей Linux GPO? Ваш аргумент:
=GPO от МС просто хранит набор параметров реестра, а что будет использоваться в этом качестве для *никс? И самый главный вопрос, зачем это нужно? =
То есть - GPO в линуксе без надобности?
Вот у меня есть реальная задача:
нужно в классе компьютерном логиниться студентам разных групп, с условием, чтобы было несколько разных загружаемых профилей в зависимости от группы. То есть группа юзеров =А= может заходить с профилем со всеми правами, группа =Б= - вообще без логина может заходить, группа =Д= - загружать не перемещаемый профиль с NFS, а некий гостевой и тп.
В винде это решается GPO. Как решить в линуксе? Объяснять, что GPO дерьмо я не стал, а решил задачу скриптами, бубном и NFS, nss_ldap, pam_ldap, openldap, почти наверняка - с подрывом общей безопасности системы (но тут уж все зависит от рук, то есть сама ОС ни при чем). Про содержание достаточно обученного админа для всего этого я вообще тут умолчу.
А есть что-то готовое и безопасное для такой задачи в линукс? Буду рад услышать и научиться.
И, что греха таить, постоянно это GPO на слуху. И тычут им. И что выбрать? Лекции проводить на тему - =GPO - дерьмо=? Городить городьбу, подобную мне? Ждать мастеров с их FDS?
| | |
| |
| 6.22, Кирилл (??), 05:48, 11/01/2008 [^] [^^] [^^^] [ответить] | +/– | Объекты груповой политики храняться в каталоге и используют службу каталогов для... большой текст свёрнут, показать | | |
| |
| 7.23, Abu (?), 12:23, 11/01/2008 [^] [^^] [^^^] [ответить] | +/– | Спасибо за хороший ответ Угу gt оверквотинг удален Калькировать, естественно... большой текст свёрнут, показать | | |
| |
| 8.24, none (??), 14:57, 11/01/2008 [^] [^^] [^^^] [ответить] | +/– | как-то туманны ваши пожелания если говорить о школе и т п то применять можно и ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
