Muss ich Windows Server erwerben, um Richtlinien festzulegen oder die Domänenanmeldung zu aktivieren?

2035
user4641581

Wenn ich einige Windows 7- oder 8-PCs so einrichten möchte, dass Anmeldungen nur über Domänenkonten zugelassen werden, muss ich das Geld herausnehmen, um einen Windows Server dafür zu kaufen? Oder ein LDAP-Server wie der Apache DS oder sogar der in meinem QNAP NAS integrierte LDAP-Server?

Wenn ich weiterhin Richtlinien auf den PCs anwenden möchte, beispielsweise die Benutzer daran hindern soll, die IPv4-Eigenschafteneinstellungen zu ändern, kann dies lokal auf jedem PC angewendet werden, ohne einen Windows-Server zu verwenden?

0

2 Antworten auf die Frage

1
Julian Knight

Sie können Linux mit der SAMBA-Software als Domänencontroller einrichten. Nein, Sie müssen also keine Lizenzen für Windows Server erwerben, sondern nur für Domänenanmeldungen.

Ein gewöhnlicher LDAP-Server reicht jedoch nicht aus.

AFIK, Sie können sogar Gruppenrichtlinien mit freier Software anwenden. SAMBA v4 unterstützt sicherlich Gruppenrichtlinien, obwohl ich nicht klar bin, ob Sie tatsächlich Clientzugriffslizenzen lizenzieren sollten. Tools wie "Likeewise" und "Centrify Express" haben meiner Meinung nach behauptet, dies zu tun, obwohl sich beide Websites seit meinen letzten Referenzen verschoben oder geschlossen haben. Ich habe das eigentlich nicht gemacht, also kann ich nicht sicher sein, wie einfach es ist. Ebenso ist Open Teil von BeyondTrust.

Das SAMBA WIKI enthält auch einige grundlegende Anweisungen, obwohl diese etwas veraltet erscheinen. Es sieht so aus, als könnten Sie die meisten Dinge mit SAMBA tun, solange Sie v4 verwenden.

AKTUALISIEREN:

Um die Frage zu beantworten, warum LDAP allein nicht ausreicht. Active Directory basiert zwar zum Teil auf den LDAP-Standards, hat jedoch eine Reihe proprietärer Ergänzungen für Windows. Sie müssen über Nicht-LDAP-Dienste verfügen, die auf Client-Anmeldungen, Gruppen, Lizenzen, Gruppenrichtlinien und vieles mehr reagieren.

LDAP dagegen ist ein Standard und ein Protokoll, das aus X.500 hervorgegangen ist. Es wurde entwickelt, um ein Verzeichnis (in der Tat global) der Benutzer und zugehörigen Ressourcen für X.400-basierte E-Mail-Systeme bereitzustellen. X.500 war für die meisten Dinge übertrieben und erforderte einen sehr komplexen Client, der für die meisten PCs der Zeit zu schwer war. So wurde LDAP ( Lightweight Directory Access Protocol) geboren. Im Wesentlichen ist es jedoch nur ein Mechanismus, um Benutzer- und ähnliche Daten aus einem sehr großen Verzeichnis von Elementen abzurufen. Es genügt, Standardabfragen zu übernehmen und Ergebnisse auf standardmäßige Weise zurückzugeben. Es ist natürlich etwas mehr dran, aber das ist das Wesentliche.

Vielen Dank. Wusste nicht, dass SAMBA dies tun kann, da ich immer dachte, es sei für SMB / CIFS. Können Sie hervorheben, warum der LDAP-Server nicht als Domänencontroller fungieren kann, da ich der Meinung war, dass AD auf dem LDAP-Protokoll basiert? Es scheint auch, dass SAMBA v4 einige Einschränkungen hat pro http://www.infoworld.com/article/2613171/networking/samba-4-review--no-substitute-for-active-directory----yet.html? user4641581 vor 9 Jahren 0
Siehe mein Update. Der Artikel, den Sie zitieren, stammt aus dem Jahr 2013, daher bin ich mir nicht sicher, wie sich die Dinge entwickelt haben. Es ist jedoch viel billiger als Lizenzen für Windows Server und Windows CAL! Julian Knight vor 9 Jahren 0
Vielen Dank. Ich werde später genauer darauf eingehen. Wissen Sie, ob Samba eine grafische Benutzeroberfläche hat? Ich kann anscheinend keine Screenshots finden. Ich bin mit CLI bestens vertraut, habe aber einige andere Systeme, die eingerichtet werden müssen. Wenn Sie also alles über CLI lernen, wird dies ewig dauern. user4641581 vor 9 Jahren 0
Verschiedene Tools bieten eine grafische Benutzeroberfläche für SAMBA, aber ich denke, sie behandeln nur die Grundlagen. Die meisten Leute bearbeiten die Konfigurationsdateien. Ich kenne keine Gruppenrichtlinien, obwohl das SAMBA-Wiki meiner Meinung nach einige Standard-Windows-Tools verwenden kann. Julian Knight vor 9 Jahren 0
0
Kevin Dominik Korte

Ein Samba 4-Domänencontroller sollte alle von Ihnen beschriebenen Funktionen bereitstellen. Es unterstützt insbesondere Gruppenrichtlinien und Authentifizierung, die Sie bereits erwähnt haben, solange Sie sich an einen einzelnen Server halten. Das Setup ist nicht zu schwer, solange Sie sich an die Dokumentation halten.

Wie bereits erwähnt, wird ein Standard-LDAP-Server jedoch nicht ausreichen. Bei der Kombination von LDAP, Kerberos und Dateidiensten auf dem Domänencontroller ist Windows ziemlich wählerisch, und alle unterscheiden sich geringfügig von der Standardisierung.

Die Einschränkungen, über die die Leute oft sprechen, sind meist mehr Komplikationen beim Setup als echte Einschränkungen, und alle kommen nur dann zum Tragen, wenn Sie mehr als nur einen einzelnen Server betrachten. In diesem Fall fehlen in Samba 4 Teile der Replikationsreplikation für Inbuild-Richtlinien. Sie benötigen ein Skript, um dies zu umgehen. Das andere Problem, das dann ins Spiel kommt, ist, dass die NTP- und die Kerberos-Authentifizierung separate Dienste sind und für Ihren ersten Server konfiguriert werden müssen. Ich würde sagen, sobald Sie die ersten beiden Server ausgeführt haben, ist es nicht zu umständlich, um sie zu verwalten. Die anfängliche Kurve für die Einrichtung einer Samba 4-Umgebung mit mehreren Servern kann jedoch recht hoch sein.

Natürlich können kommerzielle Distributionen, wie beispielsweise unser UCS, es einfacher machen, Samba 4 zum Laufen zu bringen und zu verwalten, aber darunter befindet sich dieselbe Software, die wir in 10000 Benutzerumgebungen verwenden.

Vielen Dank. Ich habe gerade Zentyal gefunden. Vergleiche es mit UCS. Ich habe vergessen zu erwähnen, dass ich nach einem Exchange-Ersatz für E-Mails suche. user4641581 vor 9 Jahren 0

Verwandte Probleme