ドメイン アカウントを使用したログインのみを許可するように Windows 7 または 8 の PC をいくつかセットアップしたい場合、そのために Windows Server を購入するためにお金を払わなければなりませんか? それとも、Apache DS などの LDAP サーバー、または QNAP NAS に組み込まれている LDAP サーバーでも大丈夫ですか?
さらに、ユーザーによる IPv4 プロパティ設定の変更を無効にするなどのポリシーを PC に適用したい場合、Windows Server を使用せずに各 PC にローカルに適用できますか?
答え1
SAMBA ソフトウェアを使用して、Linux をドメイン コントローラとして動作するように設定できます。したがって、ドメイン ログインのためだけに Windows Server のライセンスを購入する必要はありません。
ただし、通常の LDAP サーバーでは不十分です。
私の知る限り、フリー ソフトウェアを使用してグループ ポリシーを適用することもできます。SAMBA v4 はグループ ポリシーをサポートしていますが、実際にクライアント アクセス ライセンスをまだライセンスする必要があるかどうかはわかりません。Likewise Open や Centrify Express などのツールは、これを行うことができると主張していたと思いますが、両方のサイトは、私が最後に参照してから移動したか、閉鎖されたようです。私は実際にこれを実行したことがないので、どれほど簡単かはわかりません。同様に開く現在はBeyondTrustの一部となっています。
のサンバウィキ基本的な手順もいくつかありますが、少し古くなっているようです。また、v4 を使用している限り、ほとんどのことは SAMBA だけで実行できるようです。
アップデート:
LDAP だけでは不十分な理由についての質問に答えます。Active Directory は確かに部分的に LDAP 標準に基づいていますが、Windows 固有の独自の追加機能がかなり多くあります。クライアントのログインに応答し、グループ、ライセンス、グループ ポリシーなどを取り扱う非 LDAP サービスが必要です。
一方、LDAP は、X.500 から派生した標準プロトコルであり、X.400 ベースの電子メール システムに、エンタープライズ (グローバル) レベルのユーザー ディレクトリと関連リソースを提供するように設計されています。X.500 は、ほとんどの用途には過剰であり、当時のほとんどの PC には重すぎる非常に複雑なクライアントを必要としました。そのため、LDAP (軽量ディレクトリ アクセス プロトコル (Directory Access Protocol) が誕生しました。しかし本質的には、これは依然として、非常に大きなアイテムのディレクトリからユーザーや類似のデータを検索するためのメカニズムにすぎません。標準のクエリを受け取り、標準的な方法で結果を返すだけです。もちろん、もう少し複雑ですが、それが本質です。
答え2
Samba 4 ドメイン コントローラーは、あなたが説明したすべての機能を提供する必要があります。特に、単一のサーバーを使用する限り、あなたが言及したグループ ポリシーと認証をすぐにサポートします。ドキュメントに従っている限り、セットアップはそれほど難しくありません。
ただし、すでに述べたように、標準の LDAP サーバーではうまくいきません。Windows は、ドメイン コントローラー上の LDAP、Kerberos、およびファイル サービスの組み合わせについてかなり厳しいため、それらはすべて標準化されたものとは少し異なります。
よく話題になる制限は、実際の制限というよりもセットアップの複雑さに関するもので、これらはすべて、単一サーバー以上のものを検討している場合にのみ影響します。その場合、Samba 4 には組み込みポリシー レプリケーションの一部が欠けているため、それを回避するスクリプトが必要になります。次に影響するもう 1 つの問題は、NTP と Kerberos 認証が別々のサービスであり、最初のサーバーに合わせて構成する必要があることです。最初の 2 つのサーバーが稼働したら、管理はそれほど面倒ではありませんが、マルチサーバー Samba 4 環境をセットアップするための最初の曲線はかなり急になる可能性があります。
もちろん、UCS などの商用ディストリビューションを使用すると、Samba 4 の実行と管理が容易になりますが、その基盤となるのは、10,000 ユーザー環境で実行されているものと同じソフトウェアです。