Какво мислите за Active Directory

**w2k** · 21-03-03, 14:46

НЕ знам какжо мислите, но ук чета доста глупости по жъпросите за AD и DNS.

W2k си е много добър от една годин и нещто администритам такъв server и не съм го преинсталирал нито веднъж. Имаше някой проблеми но те се дължаха на неразбиране от моя страна а не на грешки в W2k. Така че препоръчвам повече четене. Наистина има проблеми в синхронозацията на двата ми домейн контролера но тя се появява само в моменти на пиков трафик ан мрежата.

Не знам като толкова много хора псуват Windows не минат същите те на Linux, както винаги съм казвал предпочитам да съм един от добрите администратори на Windows отколкото един от мнойеството калпави аминистратори на Linux.

------

**jij047** · 21-03-03, 17:06

Много се надявам тази дискусия да се възприема конструктивно, позитивно и да е полезна (не само на мен) за решаване на конкретни въпроси.

Моля всички да ме извините за дългите послания, с които се опитвам да опиша по-ясно проблемите ни.

Ще се радвам, ако получа конкретни отговори на въпросите в червено и тези решения се окажат удачни за нас.

Пък кой знае - може и да почерпя...

alexandro,

1. Нямаме NT 4.0 сървъри в мрежата - всичко е Win 2000 Serv.

2. Не мога да се съглася или не те разбирам - не правиме upgrade на РС от DOS, W98 и W NT 4.0 към XP.

Искаме там където за съответното работно място тези ОС ни удовлетворяват да ги запазим, още повече не изискват подмяна на хардуера и машини от 95-96 г. работят много добре.

3. а. За нашият случай това е практически невъзможно да се осъществи.

Например да вземем том, върху който в директория HOME1 са личните директории на половината ни user-и - близо 200.

- какви NTFS Permissions даваме върху целия том?

- шерваме директорията HOME1

- на кого и какви Share Permissions даваме за нея?

- какви NTFS Permissions даваме за отделните директории на user-ите, например върху директорията \HOME1\ivanivanov?

Всички изследвани варианти са меко казано в една или друга висока степен шибани.

3. б. С какво предлагаш да се осъществи "remotе desktop connection"?

SSH за нас е неприемлив - трети производител, нови пари...

kjymma,

повярвай ми никога не работя без предварителен план, пък бил той и по някой път само в главата ми.

Предварителното планиране и изработването на проекта за мрежата ни, включващ и плана за "прозрачна" спрямо users миграция продължи повече от една година.

Още обща информация за организацията, в която работя:

I-ниво - корпорация

II-ниво - градове

III-ниво - фирми

IV-ниво - направления във отделните фирми

V-ниво - дирекции в направленията

VI-ниво - бюра в дирекциите

VII-ниво - групи в бюрата

VIII-ниво - служители

Дублирани Organizational Units и Groups, обслужват общи стандартни технологични задачи за всяко отделно ниво.

Втори Groups обслужват общи стандартни технологични задачи между отделни users или звена в различни клонове на йерархията.

Трети Groups обслужват общи задачи свързани с работата им в мрежата - ползват общ принтер, общо приложение, обща директория,...

Всички данни са централизирани.

В тази светлина:

1. Знам, че си наясно, но личните виждания са субективни и затова се гледа ефективността:

1.a. конвенция за имената

- кое от имената се възприема, осмисля и след това обработва от администратора по-бързо?

както е реализирано и се приема от теб за нормално

ivanivanov1@domain.bg

или например

ivanivanov/burgas/parfumeria/prodajbi/grajdani@domain.bg

Друг е въпросът при логване кое е на първи ред и кое на трети.

- на кого в мрежата и каква нова информация носи различното име на компютъра на от това на потребителя му?

Отговорът е на никой и никаква.

Необходима е само на MS програмистите и естествено на AD в W2000, т.е. крайният потребител (вкл. администраторът) не е първи приоритет.

1.б. структуриране на мрежовите обекти ("тънък момент как да си структурираш мрежата - OUs, domains, sites...")

- излишно са въведени нови обекти и инструменти за управление

- всичко това е възможно да се реализира да се прави много по-лесно само върху OUs или отново опираме до приоритети при реализация на MS-продукта

1.в. потребителски Permissions

- първо права върху share

- второ права върху NTFS

- опитай да преместиш една шервана директория с повечко Users (и Groups) и по сложни Permissions и виж какво става

- с колко екрана и щраквания реализираш само на 1 users права в само 1 директория на 5-6 подниво от тома?

А ние всеки ден имаме напускащ, назначаван или преназначаван служител.

2. Не мога да се съглася - трябва да има нормална приемственост и поддръжка на по-старите настолни ОС от AD и W2000.

Интересно ми е имаш ли кола, през колко години я сменяш,...

2.а. планирането не решава проблема, а създава нови главоболия - напр. правиш имената (w2k и pre-w2k) еднакви, нечетими, неговорящи, трудно откриваеми,...

2.б. не разбирам - при нас за РС с по старите ОС в зависимост от моментното състояние и натоварване на мрежата един път нещо става, а друг път - не.

- какво точно да пипнем в Group Policy?

3. При нас също е така... до RDP-то. За него ще прочета. На админските машини Administrative tools са инсталирани.

Computer Management... - да, нещо такова, ама за цялата мрежа, за всички създадени обекти в нея, без значение дали в конкретния момент на администрация са on-line или off-line.

4. От нас винаги ще има нужда, но голяма част от "day to day" рутинните задачи могат да се изпълняват от МОС-а.

5. Не ми се казва колко пари се дадоха за нашия проект.

6. Файловите сървъри са мощните, с по десетина диска, хардуерно огледало за ОС-а и хардуерен RAID5 за данните.

Комутаторите са ни хубави: производителност около 10 млн. пакета в секунда или 5-10 Gbps, поддръжка на 10-20 хил. MAC адреси.

Редовно следим Performace Monitor на сървърите си... - кофти, защото всичко е ОК!

6.б. Правилото за орязване на правата от горе надолу се реализира с много ръчен труд и освен това се виждат много излишни директории и повечето users не могат да си намерят необходимата им за работа (виж и въпроса ми към alexandro).

По скоро съм привърженик на идеологията раздаване на правата отдолу нагоре - давам права само върху конкретната директория за конкретния user, group или OU и всичко е 6 - т.е. искам AD да се грижи за list нагоре.

За съжаление с AD и W2000 това е невъзможно.

Още нещо, което съм пропуснал като проблем в предни постове - голям брой атрибути (общо 20) за определяне на права върху директория.

И като се сетих:

- слаба поддръжка на не MS софтуер

- бавно намиране на обект при даване на някакви права - търси се при нас измежду над 2000

Каква структура на директорийното дърво предлагаш?

Потребителите ни са по-малко от машините и често се местят - W98, NT 4.0, W2000, XP. Освен това някои имат изкушаващи права и споделят потребителско име и парола с колеги. Имаме идея как да го решим, ама не стига време...

w2k,

на мен също не ми се е налагало да преинсталирам сървър.

Никой от участниците не е споделил за наличие на грешки в W2k.

При нас трафикът непрекъснато си е пиков.

Лично аз предпочитам да администрирам хетерогенна мрежа с подходящи за конкретните задачи сървъри.

Интересно ще е да споделиш подробности за вашата мрежа - типови задачи, свързаности, сървъри, РС-та, потребители,...

**alexandro** · 23-03-03, 02:03

Otgovarqam kratko i qasno kakvi sa premisionite:

/home1 se sherva everyone = full

permision na ntfs

everyone = read execute list

domain admins = full

advanced:

everyone = deny list folder

dir ivanov1= full ivanov1

taka nikoi ot userite ne vijda dir v home na drugite useri

na clientskata mashina se dava map network drive

/domain/home1/ivanov1

i seki put usera kato se logva mu se mapva directoriata kato drive

kakvo znachi che ne mojete da polzvate SSH kato ima free client i server primer "putty" ili clienta na microsoft RDC vkluchen v winXP

probvai i mi kaji posle che ne stava !!!!

**w2k** · 24-03-03, 16:29

Имам два сървата свързани по оптика, връзката минава и през оптични конвертори (PANDA), чрез тях реализирам преобразуването на оптичния сигнал в електрически. На двата края има по два комутатора към кото са свързани сърварите, а към комутаторите имам по 3 хъба. Към хъбовете има свързани 28 работни станций.

Имам 6 отдалечени потребители свързани с модеми, те са на 95,98.

Преди 7-8 месеца минах навсякъде на NT 4.0, 2k i XP. Сърварите ми работят в смесен рейи заради NT -та . Jij047 и аза искам да е хетерогенна мрежата, но няма как. NT се гъбарка от време на време ама става, исталираш SP6, показвати че го има ама всъшност го няма ...(а SP 7 е атакава боза че няма думи, повече неприятности създаде отколкото полза ).

Задачите са сврзани с обмяна на файлове , ползване на файлов сървър вътрешен WEB сайт ..

Потребителите ми са тъпаци, на кото се налага на обяснявам по 5 пъти на ден защо тррябва да си смянят паролата на 60 дни или защо трябва да е 8 символа - големи, малки букви и цифри.

**Topper** · 25-03-03, 10:42

Мда, идеята и интересна... и примамвлива

В този ход на мисли за АД - вероятно знаете, че клубовете и залите ще/може би/вероятно/ се наложи да работят с WinXP Pro и т.н. ЕДИНСТВЕН административен софтуер - XPClubManager. Та по слухове (официално инфо няма, освен че ТОВА ще е програмта на www.microsoft.com/bulgaria) става върпос за орязано XP което да работи с Group Policies. До колкото съм запонзат (a с XP съм n00b както казват хакерите) тази иначе хубава хватка става само чрез домейн контролер... а за това ще ни се наложи да купуваме/инсталираме MS Server 2003 ли ?? С 2-е думи - може ли да е ползват group policies за групово управление на РС-та в LAN без да има специализиран сървър ?

Благодаря предварително за информацията

ПС:Извинете че се "вклинявам" така в темата но мисля че има отношение към материята ? Или се лъжа ?

**Sunwind** · 25-03-03, 12:07

Когато компътърът не е член на домейн използва локалната групова политика.Можеш да я настроиш както си искаш , да си направиш template и да я сложиш по другите машини. В този случай без домейн контролер трабва да имаш еднакви групи и потребители с еднакви пароли по всички компютри за да ти важат политиките базирани на потребител (тъпо нали?) Използването на XP Pro без домейн контролер е тъпа работа , не е замислено така просто....

XP Club Manager не е задължителна за купуване. Просто е единствената засега лицензирана от M$.

XP Club Manager изисква:

1.Работни станции XP Profesional Edition - за да могат да се логнат в домейн.

2.Domain Controler - Windows 2000 Server

3.SQL Server - база данни за billing системата.

Сравнително евтино решение - Microsoft Small Busines Server - SBS , което включва:

Windows 2000 Server с ограничение до 50 клиентски машини.

Microsoft SQL Server

Microsoft ISA Server

И струва 1199$

http://www.microsoft.com/bulgaria/sbs/

**kjymma** · 25-03-03, 12:53

<blockquote id="quote">цитат:<table border="0" id="quote"><tr id="quote"><td class="quote" id="quote">

Сравнително евтино решение - Microsoft Small Busines Server - SBS , което включва:

Windows 2000 Server с ограничение до 50 клиентски машини.

Microsoft SQL Server

Microsoft ISA Server

И струва 1199$

http://www.microsoft.com/bulgaria/sbs/

<div align="right">оргинално мнение на Sunwind</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote">

Отбележи обаче, че това е цена в която са включени 5 (пет) CAL-а...

Т.е. ако си го купуиш на тази цена, имаш право в домейна ти да пуснеш 5 работни станции. За всяка допълнителна трабва да купуваш CAL. CAL-овете са или по 5 или по 20 до колкото си спомням.

Отделно това е цената само за Back End-a, в нея не влизат Desktop ОС...

Мисля си, че за клуб ще е скъпичко решение, какви цени трябва да сложи собственика на час за да може да си изплати нач. инвестиция и някога да излезе на печалба?

**alexandro** · 25-03-03, 13:07

Ako poglednem realno pri tazi cena predpochitam da se izgurcha i da podkaram igrite pod linux, winex struva nqakakvi mizerni 70$ i za momenta pod nego vurvqat pone 100-tina ot po populqarnite igri ne vijdam shto triabva da se pulni gushata na Microsoft kogato ima i bezplatni reshenia !!!

**klamer** · 25-03-03, 15:11

To jij047

10x за линковете

Какво мислите за Active Directory

Инструменти на темите