Форум: "Прочее";
Текущий архив: 2008.12.14;
Скачать: [xml.tar.bz2];
Вниз
Расскажите мне про Windows-домен Найти похожие ветки
← →
KSergey © (2008-10-08 15:44) [0]Какие бенифиты дает Windows-домен, если в него с клиентских машин не логинятся? Компьютер этот используется просто для доступа к расшаренным папкам, на клиентских компьютерах для удобства созданы пользователи с такими же логин/пароль как созданные пользователи в домене.
Я так понимаю, что моща домена имеется только если с клиентских компьютреров логиниться в домен: можно и login-сценарии использовать и политики наруливать, приложения устанавливать профили и т.д. Или я чего-то недосматриваю?
И еще: чем Domain Users отличаются от локальных? Они не могут логиться непосредственно на консоль домен-контроллера?
← →
clickmaker © (2008-10-08 15:53) [1]> чем Domain Users отличаются от локальных?
в смысле? Первые заведены в active directory, на контроллере домена
вторые могут быть у каждого свои
← →
Труп Васи Доброго © (2008-10-08 15:57) [2]> если в него с клиентских машин не логинятся?
А на кой, с позволения сказать йух, он там вообще поднят, домен этот???
> можно и login-сценарии использовать и политики наруливать,
> приложения устанавливать профили и т.д.
Ну да, для этого он и нужен - организовывать и контролировать ПРАВИЛЬНУЮ работу компов и юзеров.
← →
Рамиль © (2008-10-08 16:08) [3]
> Какие бенифиты дает Windows-домен, если в него с клиентских
> машин не логинятся?
Компьютеры то в домене? Если и они в рабочей группе, то пользы никакой.
> И еще: чем Domain Users отличаются от локальных? Они не
> могут логиться непосредственно на консоль домен-контроллера?
>
В огороде - бузина, а в Киеве - дядька.
← →
Jeer © (2008-10-08 16:17) [4]
> KSergey © (08.10.08 15:44)
Не пора ли обратиться к талмудам, чтобы "тапочки" не смешить ?
← →
KSergey © (2008-10-08 16:32) [5]Я все понял, спасибо. Про распределенность доменной инфраструктуры я тожа подзабыл... мелко мыслю.
Теперь понял, что домен не нужен, и хорошо :)
← →
KSergey © (2008-10-08 16:34) [6]> Jeer © (08.10.08 16:17) [4]
> Не пора ли обратиться к талмудам, чтобы "тапочки" не смешить ?
Талмуды читаны, но в их читателе беда: написано что и как есть, а зафик оно надо - это надо самому придумывать или у практикующего гуру "подсматривать" как это все можно применить...
← →
Jeer © (2008-10-08 16:55) [7]
> написано что и как есть, а зафик оно надо
Что я делал не так, когда стал MCSA, затем MCSE в.. далеком уж прошлом тысьлетии ?
← →
KSergey © (2008-10-08 17:10) [8]> Jeer © (08.10.08 16:55) [7]
> Что я делал не так, когда стал MCSA, затем MCSE в.. далеком уж прошлом тысьлетии ?
Наверное пиписьками недомерялся.
← →
Jeer © (2008-10-08 17:16) [9]
> недомерялся.
Воможно :)
Но как показывает практика, вопросы "спаси и сохрани меня от RAID"s", "А на хрена мне домен", etc.. - задаю не я.
← →
Поросенок Винни-Пух © (2008-10-08 17:23) [10]встречается и такая конфигурация.
бывает удобно.
например большой коллектив и отдел ит тоже большой.
все айтишники по долгу службы администраторы домена. им это надо каждому для своих задач.
но каждый айтишник не хочет чтобы другой айтишник имел админские права на его машине.
домен ставят, всех загоняют в него, кроме самих себя.
и создают себе одноименные локальным учетки в домене.
← →
БарЛог © (2008-10-08 17:46) [11]> но каждый айтишник не хочет чтобы другой айтишник имел админские права на его машине.
Убиваешь "домейн админс" из локальных "администраторов" компьютера и вуаля :)
← →
KSergey © (2008-10-08 18:01) [12]> Jeer © (08.10.08 17:16) [9]
> Но как показывает практика, вопросы "спаси и сохрани меня
> от RAID"s", "А на хрена мне домен", etc.. - задаю не я.
Заметь: по теме отвечаешь тоже не ты.
← →
Jeer © (2008-10-08 18:13) [13]
> KSergey © (08.10.08 18:01) [12]
Заметь, учеба сисадминов производится не на форуме.
← →
Anatoly Podgoretsky © (2008-10-08 18:49) [14]> KSergey (08.10.2008 16:32:05) [5]
Домен никогда не мешает, а вот без него сложно.
← →
Anatoly Podgoretsky © (2008-10-08 18:51) [15]> Jeer (08.10.2008 17:16:09) [9]
В этих случаях уже работодатель задает вопрос, а нафига нам сервер и системный администратор.
← →
Anatoly Podgoretsky © (2008-10-08 18:51) [16]> Поросенок Винни-Пух (08.10.2008 17:23:10) [10]
Дурные у тебя какие то айтишники, просто параноики недобитые.
← →
Anatoly Podgoretsky © (2008-10-08 18:52) [17]> KSergey (08.10.2008 18:01:12) [12]
Пока некому отвечать.
← →
Игорь Шевченко © (2008-10-08 19:06) [18]
> Какие бенифиты дает Windows-домен
Беню и фиту. Здравствуй, слово, младое, незнакомое :)
← →
БарЛог © (2008-10-08 20:08) [19]Anatoly Podgoretsky © (08.10.08 18:51) [16]
> Дурные у тебя какие то айтишники, просто параноики недобитые.
А вот не скажИте. Так много где.
← →
Empleado © (2008-10-08 23:23) [20]
> > Поросенок Винни-Пух (08.10.2008 17:23:10) [10]
> Дурные у тебя какие то айтишники,
+1
>просто параноики недобитые
+2 :)
← →
KSergey © (2008-10-09 06:30) [21]> Anatoly Podgoretsky © (08.10.08 18:49) [14]
> Домен никогда не мешает, а вот без него сложно.
Так в этом и вопрос! Что сложного без него в моей задаче простого обеспечения доступа к расшаренным папкам и управления доступа к ним?
Кроме существенного увеличения времени старта сервера никак не могу увидеть принципиального упрощения жизни с ним (опять же я о своей ситуации).
← →
wal © (2008-10-09 10:42) [22]
> Что сложного без него в моей задаче простого обеспечения
> доступа к расшаренным папкам и управления доступа к ним?
>
Ну, например, добавление новой учетки.
← →
Slider007 © (2008-10-09 11:07) [23]Тебе необходимо управлять доступом к сетевым папкам сервера. Для этого ты насоздавал кучу дублирующихся записей на клиентских машинах и на сервере, что в корне не правильно.
При наличии домена и введенных в домен компьютеров пользователей нет абсолютно никакой необходимости создавать какие-либо учетные записи (ну кроме локального администратора коречно). Все учетные записи создаются в домене, через оснастку Active Directory Users and Computers. Через нее же осуществляется полностью управление учетными записями. Тебе остается на файловом сервере создать шару и нарулить на нее права для нужных пользователей или групп, в которые входят эти пользователи. При этом на клиентских машинах не нужно делать ровным счетом НИ-ЧЕ-ГО.
Естественно ты можешь возразить, что это всё можно осуществить и без домена, но это верно только в том случае если компьютеров в сети очень мало. С увеличением числа компьютеров, ты просто запаришься потом бегать по между ними, чтоб сделать малейшие изменения.
Ну и помимо управления пользователями домен ещё кучу всего "вкусного" позволяет делать, даже на маленьких сетях.
← →
Anatoly Podgoretsky © (2008-10-09 11:36) [24]> KSergey (09.10.2008 6:30:21) [21]
Так домены не для тебя придумали, вот ты и не видишь.
← →
Anatoly Podgoretsky © (2008-10-09 11:38) [25]> Slider007 (09.10.2008 11:07:23) [23]
У меня домен, рабочих станций две, одна включается раз в месяц, что бы получить обновления с WSUS
← →
Jeer © (2008-10-09 11:50) [26]
> У меня домен, рабочих станций две,
У нас WS до 2 тыс + доменный лес - представляю KSerge-я за этой бездоменной работкой.
← →
KSergey © (2008-10-09 13:31) [27]Ситауция-то вот какая (как известно, подробности вопросов авторы сразу не рассказыают).
Если б контингент пользователей домена был бухи/менеджеры и т.д., т.е. те, у кого задача чтобы комп работал - то тут я как раз знаю как делать и просто таки необходимость домена вижу очень хорошо. Как и "политику поведения пользователей". Т.к. для этого софт виндовый и заточен.
Беда в том, что имею "творческих" пользователей.
Типа винду от нефик делать переставить (видите ли новейший дистриб закуплен с особо урезанной вистой) или просто "что-то как-то не рабооает, накопилось что-то, наверное, переставил" (да да, узнаю сильно постфактум, когда уже ничего опять не работает и доступа в сеть нет).
Вот ввиду такой ситуации как раз и закрались у меня сомнения в необходимости домена: типа зачем лишним грузить сервер бестолку.
← →
Skyle © (2008-10-09 13:33) [28]
> KSergey © (09.10.08 13:31) [27]
Ну так тут казалось бы вообще самый кайф. Завёл их однажды, права раздал, а там пусть хоть запереставляются (или вообще офтопик поставят).
Правда есть момент с включением машины в домен, возможно придётся каждый раз ходить и включать. Либо раздать им всем права на включение, но тут я уже не спец.
← →
alexeis © (2008-10-09 14:23) [29]юзеры с правами локального админа - зло,
тем более с правом переставить винду)
← →
БарЛог © (2008-10-09 14:27) [30]> тем более с правом переставить винду)
это уже вообще! а у админов на компьютере они тоже могут переставить? :)
← →
KSergey © (2008-10-09 15:51) [31]> Skyle © (09.10.08 13:33) [28]
> Ну так тут казалось бы вообще самый кайф. Завёл их однажды,
> права раздал, а там пусть хоть запереставляются (или вообще
> офтопик поставят).
Так в этом случае я их просто создаю как пользователей на сервере - и получаю то же самое, без домена.
Единственную вижу разницу: в этом случае они могут логиниться непосредственно на сервер (ну или кто-то "левый" под их логинами, т.к. сложными паролями да еще меняемыми тут уж точно никто не заморачивается). Это пользователи не админы сервера, конечно, но все ж нагадить можно.
От того и был вопрос: на домен-контроллер можно логиниться с пользователем, который только в группе "Domain Users"? И если можно - то в какую группу надо велючить/исключить пользователей домена, чтобы с их учетками нельзя было логиниться на сервер?
Если хотя бы это можно разрулить домен-контроллером - уже польза есть.
> Skyle © (09.10.08 13:33) [28]
> Правда есть момент с включением машины в домен, возможно
> придётся каждый раз ходить и включать.
Об чем и речь. Этого не хочется разумеется.
← →
Труп Васи Доброго © (2008-10-09 16:19) [32]> в какую группу надо велючить/исключить пользователей домена,
> чтобы с их учетками нельзя было логиниться на сервер?
Для этого существуют политики, в которых можно запретить "локальный вход", причём не только на сервер, но и на рабочую станцию. И опустить всем права по самое не балуйся, чтобы даже принтер сами не могли установить, не то что винду переставить. (Это, кстати решается в административном поряде)
← →
Slider007 © (2008-10-09 18:12) [33]
> на домен-контроллер можно логиниться с пользователем, который
> только в группе "Domain Users"? И если можно - то в какую
> группу надо велючить/исключить пользователей домена, чтобы
> с их учетками нельзя было логиниться на сервер
Я не понял, у тебя "домен контроллер" и "сервер", на который логинятся поьзователи это одна и та же машина ?
← →
KSergey © (2008-10-10 08:13) [34]> Slider007 © (09.10.08 18:12) [33]
> Я не понял, у тебя "домен контроллер" и "сервер", на который
> логинятся поьзователи это одна и та же машина ?
Ага (начинает краснеть)
(шопотом)
еще на нем SQL, mail-сервер, прокси, intranet-вебсервер (поставляется сони в комплектом документации по сервисному обслуживанию), файл-сервер, разумеется.
(еще больше краснеет)
Нй звиняйте, это маленькая контора, два десятка компов от силы.
← →
Slider007 © (2008-10-10 09:33) [35]KSergey © (10.10.08 8:13) [34]
Нй звиняйте, это маленькая контора, два десятка компов от силы.
Да ладно, впринципе нормальная ситуация.
Т.е. тебе надо чтоб у тебя сервер обслуживал запросы пользователей (файловый сервер, sql-сервер, и т.д.), но нельзя чтоб пользователи могли залогинеться на удаленный раб. стол с целью чего-там напортачить ?
В этом случае можно просто удаленный рабочий стол запретить всем, кроме избранных :). Ну и естественно пользователям не давать права администратора домена.
← →
Рамиль © (2008-10-10 09:39) [36]На кд по умолчанию могут логиниться только администраторы. Через rdp только администраторы (пользователи могут только при переключении в режим сервера терминалов)
← →
Slider007 © (2008-10-10 09:41) [37]Рамиль © (10.10.08 9:39) [36]
Угу, сам про это забыл :)
Только что у коллеги поинтересовался, он мне то же самое сказал :)
← →
KSergey © (2008-10-10 12:02) [38]> Slider007 © (10.10.08 09:33) [35]
> Т.е. тебе надо чтоб у тебя сервер обслуживал запросы пользователей
> (файловый сервер, sql-сервер, и т.д.), но нельзя чтоб пользователи
> могли залогинеться на удаленный раб. стол с целью чего-там
> напортачить ?
Не только ударенным столом, но и физически.
> Рамиль © (10.10.08 09:39) [36]
> На кд по умолчанию могут логиниться только администраторы.
Спасибо, это я еще раз перепроверю как оно (хотя, конечно, админ в уч. записях один, но фик знает же :)
← →
Рамиль © (2008-10-10 12:06) [39]
> Спасибо, это я еще раз перепроверю как оно (хотя, конечно,
> админ в уч. записях один, но фик знает же :)
Заметь, что по умолчанию
← →
Труп Васи Доброго © (2008-10-10 12:13) [40]> Не только ударенным столом, но и физически.
Так я тебе и говорю - запрети локальный вход, тогда ни локально, и через RDP никак не подцепятся.
Себе только не запрещай :) А то я так разок влип... Запретил все виды подключения, и локально и удалённо, притом всем. Потом ходил вокруг работающего сервака с бубном и заклинал "сезам - откройся!". Не помогло. Так он два года и проработал, пока новый не купили.
Страницы: 1 2 вся ветка
Форум: "Прочее";
Текущий архив: 2008.12.14;
Скачать: [xml.tar.bz2];
Память: 0.56 MB
Время: 0.012 c
