• Я читаю про контроллер домена и AD. У меня нахуй склеивается мозг. "Не наааадо трагедий, сделай музыку грооооомче, он плохо кончил" %)

Replies (47)

  • @SIUR, а от чего там мозг склеивается нахуй?
  • @SIUR, Кажись, эта фраза у мене в заголовке в жж стоить... :)
  • @SIUR, там все просто.
  • @SIUR, неподготовленный моск взрывается на попытке понять FSMO и (или) GC : )
  • @SIUR, нафиг ты читаешь про это гавно?
  • @Diu, да, я кажется, там ее и вычитала :) она сейчас очень подходит под реалии)
  • @k1lg0reTr0ut, про что ты бы посоветовал почитать?
  • @easyjohn, я не говорю, что сложно, мой здравый смысл считает, что это мне нинужна.
  • @SIUR, Это из песенки "Заводной апельсин" би-2. Оченно заводная песенка.
  • @SIUR, а как же админить за бабло? :)
  • @plakhov, раньше при фрибсд говорила, про линукс. щас будут про ад говорить
  • @k1lg0reTr0ut, ну что ты, ничего не изменилось. но врага надо знать в лицо, ничего не поделать.
  • @SIUR, да обычно в документации по АД так все размыто написано, плюс дохрена ненужной воды. и банальные картинки.
  • @SIUR, LDAP! Смерть! Ня! ^_^
  • @gelraen, лдап, керберос, смерть!
  • @gelraen, причем про ldap вообще мало написано здравого. такое ощущение, будто это секретная информация
  • @gelraen, yeah, baby ;)
  • @k1lg0reTr0ut, вывод — читать сразу про ldap, а потом уже AD выглядит не так страшно как казалось
  • @gelraen, собственно те кто админит AD зачастую осознают его как ldap. просто тупо хуярят галочки и чувствуют себя админо
  • @k1lg0reTr0ut, к счастью, я AD в глаза не видел ^_^ а вот с OpenLDAP в своё время посношался
  • @k1lg0reTr0ut, ну нету у меня ad, успокойтесь вы :)
  • @gelraen, я сношался с AD как с ldap что бы импортировать в почтовик на линуксе инфу из учеток. что бы 2 раза не писать и не заводить. вобщем круто это
  • @k1lg0reTr0ut, ну я от скуки тоже почту сооружал :) в блекджеком и шл^W^W^Wвебмордой и IMAP'ом. а потом туда же был приделан жаббер. вобщем, ня!
  • @gelraen, тоже IMAP. вобщем щас вообще все прикольно. добавляю учетку в AD. и почта создается в течении часа автоматом. авторизация через AD.
  • @k1lg0reTr0ut, "в течении часа автоматом" — это как? у меня dovecot ходил прямо в ldap, так что всё работало сразу после добавления аккаунта
  • @k1lg0reTr0ut, (уныло) а потом кровь-кишки-NTLM-хэши-компрометация учетных записей и пязда.
  • @gelraen, это скрипт каждый час проверяет учетки в почтовике и учетки в AD. если в AD появилась новая учетка с заполненым полем мыла, то он создает в почтовике. импортирую заполненые строки такие как displayname org и т д. аутентификация на почту не через ntlm. просто вручную вбивают пароль от рабочей своей учетки, что на рабочем месте, что удаленно на вебинтерфейсе. пароли меняются каждый месяц. все секьюрно
  • @k1lg0reTr0ut, т.е. на почте аутентификация своя, просто аккаунты добавляются из ldap ? странно как-то
  • @gelraen, zimbra. там своя база данных, ldap, антивирус и прочее. инфа о аккаунтах на локальном ldap. но можно настроить аутентификацию через внешний ldap в том числе и AD. вот только костыли приходится писать.
  • @k1lg0reTr0ut, печально, да. у меня в ldap ходил только dovecot, а exim и roundcube спрашивают аутентификацию уже у него, так что получилось даже не слишком костыльно
  • @gelraen, ну бывает еще печальнее. на самом деле все имх очень даже норм. скриптец небольшой вышел. это гораздо лучше, чем то, что было до меня
  • @k1lg0reTr0ut, я одминю АД : ) не хуярю галки. не осознаю ад как лдап. не чуствую себя одмино. чяднт? : )
  • @Dant, я и говорю, что не осознаете. а надо осознавать. это лдап с кучей настроек
  • @k1lg0reTr0ut, ад это не лдап : ) лдап -это не ад. вот это — нужно осознать, да : )
  • @Dant, AD — директория. LDAP — протокол доступа к директории. вот что нужно осознать
  • @gelraen, типа того, ага. ад — служба каталогов и использует много чего. и лдап для поиска, выборки объектов и доступа к каталогу и керберос для аутентификации и службы репликации frs/dfsr итдтп : )
    а осознание ад как лдапа ничем не помогает и только запутывает в понимании этой срани : )
  • @Dant, да хуйня. я его использую как лдап и мне хорошо. на остальное я хуй забил, потому как нетривиальные вещи ни от кого не узнаешь. все виндуза умные, а помочь с проблемой не могут.
  • @k1lg0reTr0ut, эта, хватит. вы мне карму портите %)
  • @k1lg0reTr0ut, ну я к тому что знак равенства между ад и лдапом низя ставить как ты предлагаешь : ) а нетривиальные весчи можно узнать если есть желание. херовая гора книжек в этих интернетах.
    и любую проблему которая может возникнуть в аде — кто-то уже решил : )
  • @Dant, 1. я не ставлю знак равенства между AD и ldap. ясен пень, что в AD побольше функций будет. но в AD функция ldap — основная. без нее — AD нахрен не нужна. да и не могу представить, как без ldap будут управляться компы.
    2. книжки какие-то отстойные попадались. глупые картинки и 100500 описаний как построить AD. а вот допустим, как так ограничить пользователя, что бы он мог только редактировать нужные поля в учетной записи — это хрен кто скажет. если знаешь книги — посоветуй. я видел восновном какоето гавно.
    3. у microsoft просто охуенно информативные ошибки. я тебе уже показывал одну из них допустим. описание, к проблеме вообще не относящееся, чешешь затылок и думаешь, откуда бля оно взялось. номер ошибки — можно нагуглить, но так как правило описание ошибки другое. снова черешь затылок. вобщем практически ни разу информация из ошибок мне не помогла.
  • @k1lg0reTr0ut, к управлению компами лдап отношения вообче не имеет, имхо : ) у тя какое-то трепетное к нему отношение : ) лдап запрос — это способ найти объект и потыкаться в его атрибуты при необходимости : ) по большому счету — все, более ни для чего он не нужен (если грубо : )

    2 — делается достаточно лехко и непринужденно. через мастер делегирования тасков на юнит или домен и последующей тонкой настройкой разрешений в закладке секурити : ) можно написать темплейт для своей задачи по делегированию прав на объекты каталога : )

    3 — ошибки — да, не информативные. eventid.net технет и гугол — помогают : )
  • @Dant, 1. слишком грубо. имеет отношения. не представляю, как можно управлять компами без ldap.
    2. да делается. знаю. но долго искал как.
    3. не помогают. ни гугло, ни тихнет, а первое я не знаю. схожу погляжу чо там
  • @k1lg0reTr0ut, расскажы как ты управляешь компами с помошью лдап. ну очень интересно, да : )
  • @Dant, расскажи, как ты управляешь компами без лдап. ну очень интересно, да :)
  • @k1lg0reTr0ut, подключаюсь консолью ммц. или захожу по рдп. и управляю : ) в каком месте тут нужен лдап — я не знаю : )
  • @Dant, по какому протоколу консоль ммц видит структуру каталога? без ldap запросов ты так легко авторизуешься? легко разбросаешь политики по подразделениям без ldap?
  • @k1lg0reTr0ut, ну консоль не обязана видеть структуру каталога : ) за исключением aduc. лдап к авторизации тоже отношение имеет слабое. практически никакое : ) а вот для управления политиками, доменами и юнитами — лдап нужен. но никак не для управления компьютерами, да : )))