Если я хочу настроить несколько ПК с Windows 7 или 8 так, чтобы они разрешали вход только с использованием учетных записей домена, должен ли я выложить деньги на покупку Windows Server для этого? Или подойдет сервер LDAP, такой как Apache DS или даже сервер LDAP, встроенный в мой QNAP NAS?
Если я захочу применить политики на ПК, например, запретить пользователям изменять настройки свойств IPv4, можно ли это применить локально на каждом ПК без использования Windows Server?
решение1
Вы можете настроить Linux для работы в качестве контроллера домена с помощью программного обеспечения SAMBA. Так что нет, вам не нужно покупать лицензии на Windows Server просто для входа в домен.
Однако обычного LDAP-сервера недостаточно.
AFIK, вы даже можете применять групповые политики с помощью свободного ПО, SAMBA v4, безусловно, поддерживает групповые политики, хотя я не уверен, следует ли вам на самом деле лицензировать Client Access Licenses. Такие инструменты, как Likewise Open и Centrify Express, по-моему, заявляли, что делают это, хотя оба сайта, похоже, переехали или закрылись с момента моих последних ссылок. Я на самом деле этого не делал, поэтому не могу быть уверен, насколько это просто.Аналогично открытотеперь является частью BeyondTrust.
TheСАМБА ВИКИтакже есть некоторые базовые инструкции, хотя они кажутся немного устаревшими, и похоже, что вы можете делать большинство вещей исключительно с помощью SAMBA, если вы используете v4.
ОБНОВЛЯТЬ:
Чтобы ответить на вопрос о том, почему одного LDAP недостаточно. Хотя Active Directory действительно частично основан на стандартах LDAP, у него есть довольно много фирменных дополнений, специфичных для Windows. Вам нужны не-LDAP службы, которые будут отвечать на входы клиентов, работать с группами, лицензиями, групповыми политиками и многим другим.
С другой стороны, LDAP — это стандарт и протокол, который вышел из X.500, который был разработан для предоставления корпоративного (действительно глобального) каталога пользователей и связанных с ними ресурсов для систем электронной почты на базе X.400. X.500 был избыточным для большинства вещей и требовал очень сложного клиента, который был слишком тяжелым для большинства ПК того времени. Поэтому LDAP (ЛегкийDirectory Access Protocol) родился. По сути, однако, это все еще просто механизм для поиска пользовательских и подобных данных из очень большого каталога элементов. Все, что он делает, это принимает стандартные запросы и возвращает результаты стандартным образом. Конечно, есть еще кое-что, но это суть.
решение2
Контроллер домена Samba 4 должен предоставлять все описанные вами функции. В частности, он поддерживает групповые политики и аутентификацию, о которых вы упомянули, из коробки, если вы придерживаетесь одного сервера. Настройка не слишком сложна, если вы придерживаетесь документации.
Как уже упоминалось, стандартный сервер LDAP не справится с этой задачей. Windows довольно требовательна к сочетанию LDAP, Kerberos и файловых служб на контроллере домена, и все они немного отличаются от того, что было стандартизировано.
Ограничения, о которых люди часто говорят, в основном являются скорее сложностями настройки, чем реальными ограничениями, и все они вступают в игру, только если вы смотрите на что-то большее, чем один сервер. В этом случае Samba 4 не хватает частей встроенной политики репликации репликации, поэтому вам понадобится скрипт, чтобы обойти это. Другая проблема, которая затем вступает в игру, заключается в том, что аутентификация NTP и Kerberos — это отдельные службы, и их нужно настроить в соответствии с вашим первым сервером. Я бы сказал, что как только у вас будут запущены первые два сервера, управлять ими не составит большого труда, но начальная кривая для настройки многосерверной среды Samba 4 может быть довольно высокой.
Конечно, коммерческие дистрибутивы, такие как наш UCS, могут облегчить запуск Samba 4 и ее администрирование, но в основе лежит то же самое программное обеспечение, которое мы используем в средах с 10 000 пользователей.