Vlákno názorů k článku Linux a Samba v roli primárního řadiče domény Active Directory od anonym - Dobry den, Active directory server beha na RH...

Dobry den, Active directory server beha na RH linuxu jiz snad 20 let. Tehdy to jakysi smysl melo, ale o dnesnim vyznamu takoveho reseni bych vazne pochyboval. AD totiz neni jen o sprave uzivatelu, skupin, prihlasovani. AD je take uplatnovani politik, distribuovanych inastalaci ruznych produktu, distribuci nastaveni a konfigurace, sireni aktualizaci, mapovani sdilenych prostredku, accountingu, atd. Je toho velmi mnoho a vetsina i pokrocilych administraci lze pomoci politik provest. Dnes je to navic rozsiruje pokrocile scriptovani v powershellu, takze opravdu, snad neznam nic, co nelze politikou AD nastavit. Snad jen zmena hesla lokalniho spravce, coz je ale zalezitost systemova a pri trose snahy lze obejit (LAPS nebo zmineny powershell). Znovu tedy plati, co nelze naklikat, lze nakonfigurovat powershellem.

A AD na linuxu tuhle komplexnost neposkytuje. Spise si myslim, ze spravu malych siti naopak komplikuje.

31. 3. 2022, 13:33 editováno autorem komentáře

GPO funguje v Sambe rovnakých 20 rokov, ako samotné AD.

Ono v princípe GPO sú bloby na SYSVOL-e, serveru je jedno čo tam je, interpretuje si to klient. Takže GPO pomocou RSAT nastavíte na Sambe rovnako, ako na Windowse.

Jo, taky nevericne koukam.... co vsecko mi "pry" nema na Sambe s AD fungovat :-)

Je treba se rozhlednout hezky zesiroka. GPO je jedna z casti celeho systemu AD. Jak jsem psal vyse, AD nabizi mnoho dalsich sluzeb. Napr. vztahy duvery mezi domenami a to jak castecne, tak v ramci celych lesu, replikace se stanovenim cest i ruznych protokolu, spravu autorit, certifikatu, spravu overovani na urovni site s rozsirenim stromu a navazanymi sluzbami pro NAP, postotovni systemy (zejmena exchange, o365) a mnoho dalsiho.

Skutecne, nainstalujte si W2019 nebo 2022 server, namodelujte si standarni malou firmu se tremi, ctyrmi lokalitami, nejakym uctem nekde v cloudu s neuplnym prechodem, vyzadujici hybridni rezim, nejakou to akvizici a tedy jinou domenou s nutnosti definice samostatnych opravneni ale s globalni administraci apod.

A pak to premigrujte na linux AD

Az budete hotov, mozna poupravite svuj prispevek.

31. 3. 2022, 20:16 editováno autorem komentáře

Ze system nejake funkcionality nabizi neimplikuje, ze jsou skutecne v praxi potrebne. Zrovna treba vztahy duvery mezi forresty je funkce, kterou na spouste mist nevyuzijete. A roubovat to na Exchange/O365... proc proboha? Ja nemam problem s provozem on-premise mailoveho reseni. Vsak AD jsou technicky vzato jen LDAP, ktery propojit s mailserverem neni nikterak slozite.
Jiste, taky si umim vymyslet zcela nesmyslne podminky a pak se tvarit, ze neco nejde...