如果我想將幾台 Windows 7 或 8 電腦設定為僅允許使用網域帳戶登錄,我是否必須為此花錢購買 Windows Server?或使用 Apache DS 等 LDAP 伺服器,甚至是我的 QNAP NAS 內建的 LDAP 伺服器?
如果我還想在 PC 上應用策略,例如禁止使用者更改 IPv4 屬性設置,是否可以在每台 PC 上本機應用而不使用 Windows Server?
答案1
您可以使用 SAMBA 軟體將 Linux 設定為網域控制器。因此,您不需要僅為了網域登入而購買 Windows Server 授權。
然而,普通的 LDAP 伺服器是不夠的。
AFIK,您甚至可以使用免費軟體應用群組策略,SAMBA v4 當然支援群組策略,儘管我不清楚您是否實際上仍然應該許可客戶端存取許可證。我認為像 Sametime Open 和 Centrify Express 這樣的工具聲稱可以做到這一點,儘管自從我上次引用以來,這兩個網站似乎已經移動或關閉。我實際上沒有這樣做過,所以我不能確定它有多容易。同樣打開現在是 BeyondTrust 的一部分。
這桑巴維基也有一些基本說明,儘管它們看起來有點過時,而且看起來只要您使用 v4,您就可以純粹使用 SAMBA 完成大多數事情。
更新:
回答為什麼僅使用 LDAP 還不夠的問題。雖然 Active Directory 確實部分基於 LDAP 標準,但它具有大量特定於 Windows 的專有附加內容。您必須擁有能夠回應用戶端登入、處理群組、許可證、群組原則等等的非 LDAP 服務。
另一方面,LDAP 是源自 X.500 的標準和協議,旨在為基於 X.400 的電子郵件系統提供企業(實際上是全球)級的使用者目錄和相關資源。 X.500 對於大多數事情來說都太過分了,並且需要一個非常複雜的客戶端,對於當時的大多數 PC 來說太重了。所以LDAP(輕的目錄存取協定)誕生了。但本質上,它仍然只是一種從非常大的專案目錄中尋找使用者和類似資料的機制。它所做的只是接受標準查詢並以標準方式傳回結果。當然還有更多內容,但這就是本質。
答案2
Samba 4 網域控制站應該提供您所描述的所有功能。特別是,只要您堅持使用單一伺服器,它就支援您提到的開箱即用的群組原則和身份驗證。只要您遵循文檔,設定並不難。
如同已經提到的,標準 LDAP 伺服器並不能解決這個問題。 Windows 對於網域控制站上的 LDAP、Kerberos 和檔案服務的組合相當挑剔,所有這些都與標準化的內容略有不同。
人們經常談論的限制大多是更多的設定複雜性,而不是真正的限制,只有當您正在研究單一伺服器以外的任何東西時,所有這些限制才會發揮作用。在這種情況下,Samba 4 缺少內建策略複製的部分內容,因此您需要一個腳本來解決這個問題。接下來出現的另一個問題是 NTP 和 Kerberos 驗證是單獨的服務,需要進行設定以符合您的第一台伺服器。我想說,一旦您運行了前兩台伺服器,管理它就不會太麻煩,但設定多伺服器 Samba 4 環境的初始曲線可能相當高。
當然,商業發行版(例如我們的 UCS)可以更輕鬆地運行和管理 Samba 4,但其底層與我們在 10000 個用戶環境中運行的軟體相同。