Linux Web серверы лучше Windows/IIS

>Не доросли. Для апача, который не поддерживает PAM, придется создавать отдельную базу авторизации,
Идиот! Для Апаче есть ldap и krb модули
>для мускуля/постгре - свою,
Идиот! Про мыскль не скажу а для постгре есть как минимум krb "из каропки"
>для самбы - забивать свою базу авторизации с NTLM-паролями,
Идиот! Самба понимает Ldap "искаропки"
>для squid - свою *плейнтекстовую*.
Идиот! К сквиду есть лдап модуль
>А Kerberos?
Идиот! Ты серьезно думаешь что Kerberos M$ изобрела вместе с интернетом?
>А прозрачная аутентификация?
Kerberos, DSA, OpenID, eDirectory
>А авторизация IP трафика по учетным записям пользователей?
Под линукс - точно есть. Не если вы спроектировали систему где без этого - никак - вам в биореактор!
>А аналог политик GPO для централизованного управления настройками юзверями?
Novell ZENworks
>Обычно в компаниях используется интегрируемая групварь,
Полно!
>с централизованной адресной книгой,
Идиот! man LDAP
>которую не нужно прикручивать,
plug-n-pray ?! В биореактор!
>с контактами и задачами,
Идиот! google:iCal
>а mail server выплняет роль фронтенда.
Идиот! А фаервол выполняет роль видеоплеера?
>Интеграция в *nix такая же как интеграция между лебедем, раком и щукой.
Идиот! Просто "Идиот!" - без коментов :(
Сходи к взрослым мужикам, принеси пива, и открывай рот только чтобы задавать вопросы. Если не полная клиника - все сам увидишь. Идиот!

полный Идиот

>anonymous (*) (22.06.2007 21:20:14)

Если повыкидывать оскорбления, то получится неплохой FAQ для всех фанатов AD.. ;)

>> Интеграция в *nix такая же как интеграция между лебедем, раком и щукой.

> Сходи к взрослым мужикам, принеси пива

А ему не продадут. Он маленький еще.

>то хард надо поставить, то памяти добить (корпус с салазками в бухгалтерии выбить не реально. поэтому хотсвапа нет)

Там был 14" монохромный свга который отродясь никто не менял:)

>До виндового уровня интеграции и централизованного управления *nix-ы не доросли и врядли когда-либо дорастут.

И чем вы там управляете? Тока не "теоретически" а в практическом плане? Зеров в домен зхаводите, на локальных тачках local admin и усе "централизованное управление"?

>Здесь IIS авыглядит очень привлекательно, поскольку глубоко интегрирован со всеми виндовыми технологиями.

С чего это вдруг? Это с какими например? Single-Sign-On через вендовый домен творить? ТАк и на линукс поставьте какой нить openLDAP и будет та же хрень. Посгрес с системной автентикацией - и все те же аккаунты в б.д. Что там еще интегрировать?

Или имеется ввиду что говна уже много корпоративного под винду написали и сайт к говну лучше приклеить через IIS потому что он самая клеая прокладка между говном и вебом?:)

>Для апача, который не поддерживает PAM

http://www.openldap.org/faq/data/cache/116.html
http://apache2.spoof-net.info/libapache2-mod-auth-pam/

>для мускуля/постгре - свою

http://www.postgresql.org/docs/8.2/static/auth-pg-hba-conf.html

auth-method:trust, reject, md5, crypt, password, krb5, ident, ldap, pam


>для самбы - забивать свою базу авторизации с NTLM-паролями

http://nomis52.net/?section=docs&page=samldap

>для squid - свою *плейнтекстовую*.

http://group-ldap-auth.sourceforge.net/squid/group_ldap_auth/index.html

.......

>сеансом и получить привычное рабочее окружение, в котором софтина, вся майкросовтовская, но и не только, настраивается автоматом по правилам в АД

И что кроме офиса это будет? Ты смешной.

>тоесть вся софта взаимодействует друг с другом.

Не вся а 3 программы. После этого юзер захочет почитать почту слушая любимую музыку - и не найдет своей любимой музыки. Удивится. И пойдет удивлятся дальше. "Смена компьютера" и "Roaming Profile" - это миф поскольку все равно дальше заточенного под эксченж аутлука ничего не работает.

>туда надо только запихнуть образ с виндой и необходимой софтой, а дальше оно само всё автоматом поднимется.

А юзеры у нас роботы которым ничего кроме оффиса не нужно, так? Первое что сделает админ - это делает обычно локального админа юзеру чтобы он хоть софт любимый инсталил себе сам, чтоб самому этим не заниматься, и потому дальше вся доменная система становиться фейком.

Браво r полностью согласен написал все что я наблюдаю каждый день только посмотрим будет вроде еще интересней. Один домен на примерно 30 размазанных обьектов:)) Вот тут мы и похохочем

> Идиот! Для Апаче есть ldap и krb модули

Речь о том, что унифицированного средства интеграции нет. Читай, дуболом, перед тем как газифицируешь лужи что написано было - есть индивиадульное прикручивание каждого демона со своими тонкостями, со своей базой пользователей в лдапе, а не нормальная интеграция.

> Идиот! Самба понимает Ldap "искаропки"

Дебил, она сама схему в LDAP создает, легким движением руки заводится с ldap и kerberos?

> Идиот! К сквиду есть лдап модуль

Дебилушко, речь и шла о плейнтекст базе пользователей в LDAP для сквида(иного в LDAP это чудо не поддерживает), читай еще раз что было написано. Покажи мне унифицированный способ единой авторизации пользователей mysql, apache, exim, squid, samba в LDAP, чтобы мне не приходилось держать в ldap отдельно учетки с мускулевскими хешами для мускуля, плейнтекст базу для squid, NTLM-хеши для samba и отдельную базу для апача. Дошло, придурок, о чем речь?

> Идиот! Ты серьезно думаешь что Kerberos M$ изобрела вместе с интернетом?

МС единственная кто сделала его нормальным интегрированным компонентом, а не сырыми прикручиваемыми костылями как в никсах.

> Kerberos, DSA, OpenID, eDirectory

Ты их реально использовал или все сводится к словесному высеру? Kerberos в чистом виде - сырой полуфабрика, требующий допиливания, eDirectory - дорогая платная проприетарщина,требует допиливания на клиентах ни чуть не меньше чем openldap.

> Под линукс - точно есть. Не если вы спроектировали систему где без этого - никак - вам в биореактор!

В студию. А если привести решение не можешь, то лучше соси чупачупс молча - за умного сойдешь.

> Novell ZENworks

AD+GPO в винде искаропки. Zenworks я что-то в RHEL не нахожу, в Fedora не нахожу, в Debian не нахожу. Еще одна проприетарщина-костыль, которая совместно с костылем eDir делает систему золотой по стоимости и требует докрутки?

> Полно!

Lotus Notes. Остальное пионерские поделки с кучей проблем. Да и лотус ты хер с два автоматом в eDirectory интегрируешь, будешь талмуты зубрить чтобы прикрутить, а Exchange самостоятельно интегрируется в AD. Вот это я понимаю - интеграция.

> Идиот! man LDAP

Сам прикручивай адресную буку ручками с талмудом в руках, затем прикручивай к клиентам эту адресную книгу, тоже ручками, на каждой машине, а затем вручную обновляй адресную ldapadd sotrudnik.ldif. Прежде чем п*ть реально поработай с недоделанным OpenLDAP.

> plug-n-pray ?! В биореактор!

Красноглазых клоунов у которых постоянно чо-то отваливается из-за недокрутки полуфабриката или взглюкнувшего самопального скрипта в составе велосипеда написанного на коленке - в биореактор.

> Идиот! google:iCal

В задницу себе засунь гугль, которым ты нагуглил все ответы. Exchange автоматом интегрируется в AD без онанизма с ldapcat иldapadd, AD с GPO уже идет искаропки и подедрживается десктоными виндами, адресная книга обновляется автоматически и в Outlook уже есть поддержка адресной книги и задач искаропки. Вот это - нормальный продукт, нормаьная интеграция, а не ведро с кучей болтов, из которого предлагается собрать авто самому.

> Идиот! А фаервол выполняет роль видеоплеера?

Совсем больной?

> Идиот! Просто "Идиот!" - без коментов :(

Дите, просто промолчало бы, чем кидаться нагугленными и услышенными где-то ответами. У тебя ж опыта в использовании приведенных технологий ноль.

> Сходи к взрослым мужикам, принеси пива, и открывай рот только чтобы задавать вопросы. Если не полная клиника - все сам увидишь. Идиот!

Вот ты свой возраст и подвтердил, хотя то, что ты вьюноша, которого посылают за пивом, было понятно сразу. Понимаешь ли за нормальное отлаженное и отлично документированое корпоративное решение от ведущего поставщика, которое не нуждается в костылях, прикручивании и допиливании не жалко нормально заплатить и не париться с самодельным наколеночным гиморроем.

> Если повыкидывать оскорбления, то получится неплохой FAQ для всех фанатов AD.. ;)

Это не FAQ, а высер мальчика-фаната линукс без оыпта работы, умеющего пользоваться гуглем. Компании завязывают свою внутреннюю инфраструктуру на виндовый AD не потому, что фанаты, а потому, что никто больше не может предложить реально конкурирующее решения такого же уровня. Кулибины, предлагающие openldap идут лесом.

ПНХ, карапуз.

> И чем вы там управляете? Тока не "теоретически" а в практическом плане? Зеров в домен зхаводите, на локальных тачках local admin и усе "централизованное управление"?

Локальные админы в сети - лишь у админов-идиотов, которые не могут нормально настроить права. Централизованное развертывание, настройка и обновление приложений(msi), централизованное форсирование политики безопасности, централизованная раздача прав, делегирование полномочий, трасты, перемещаемые профайлы и ящики групвари, централизованный мониторинг Интернет-активности IP-трафика по учетным записям домена, централизованная антивирусная защита и управление резервным копированием, прозрачная авторизация по учетной записи на внутренних сетевых ресурсах, на групвари, в Sharepoint, специализированных приложениях и БД, прозрачная авризация Интернет-трафика(клиент равертывается автоматически средствами GPO), интегрированные сервисы с централизованной аутентификацией и авторизацией, кластеризацией, автоматически реплицирующимися настройками и многое другое.

>11:39AM up 232 days, 12:34, 1 user, load averages: 0.48, 0.38, 0.41

01:35:28 up 373 days, 12:46, 4 users, load average: 0.33, 0.30, 0.24

у кого больше ? :)

кстати ALTLinux Master 2.4

на фря бывал аптайм не меньше. имхо всё от радиуса кривизны рук зависит.

> И чем вы там управляете? Тока не "теоретически" а в практическом плане? Зеров в домен зхаводите, на локальных тачках local admin и усе "централизованное управление"?

Локальные админы в сети - лишь у админов-идиотов, которые не могут нормально настроить права. Централизованное развертывание, настройка и обновление приложений(msi) по машинам/группам/конкретным юзерам, централизованное форсирование политики безопасности(отрубание USB-накопителей и дисководов), централизованное управление учетными записями, централизованная раздача прав и делегирование полномочий, трасты, перемещаемые профайлы и ящики групвари, централизованный мониторинг Интернет-активности IP-трафика по учетным записям/OU домена, централизованная антивирусная защита и управление резервным копированием, прозрачная авторизация по учетным записям на внутренних сетевых ресурсах, интранет серверах, в групвари, OWA, в Sharepoint, специализированных приложениях и БД, интеграция с eToken-ами, системами контроля доступа, инвентаризация ПО и железа, прозрачная авторизация Интернет-трафика(клиент равертывается автоматически средствами GPO), интегрированные сервисы с централизованной аутентификацией и авторизацией, кластеризацией, автоматически реплицирующимися настройками и многое другое.

> и сайт к говну лучше приклеить через IIS потому что он самая клеая прокладка между говном и вебом?:)

эээ... памперс, штоле? )

в принципе, увеличивая дозу - тоже можно прийти к отказу от наркотив. Со временем.

Зато навсегда. OX

)

> ТАк и на линукс поставьте какой нить openLDAP и будет та же хрень.

Не будет.

> Или имеется ввиду что говна уже много корпоративного под винду написали и сайт к говну лучше приклеить через IIS потому что он самая клеая прокладка между говном и вебом?:)

Имелось ввиду, что инетграция в никсах самопальная, сырая, убогая и сделана через одно место - у каждого демона в лдапе своя база аутентификации со своими велосипедными хешами. Протокол LDAP передает хеши открытым текстом - нужно вручную создавать сертификаты SSL и импортировать на каждом SSL-клиенте. Веселуха... Единая адресная книга? - Своя таблица, которую нужчно вручную синхронизировать с учетными записями, которую нужно прикрутить к каждому почтовому/групваре клиенту вручную.

> http://www.openldap.org/faq/data/cache/116.html

Ну да - свой отдельный костыль котоый нужно прикрутить. Чистый протокол LDAP небезопасен, ибо клиартекст, потому нужно Sнастраивать SSL и тащить SSL-сертификат c LDAP-сервера и прикручивать его кPAM-у, апачу и еще туче демонов, которые прикручиваются к LDAP, которые не умеют PAM. В надцатый раз указываем в очередном конфиге LDAP-сервер, сертификат для LDAPS и DN, т.к. глобально в системе это не настраивается. Подключаем модуль auth_ldap_module... И так на каждом сервере... Какой мля гиморрой. А прозрачная авторизация где? Почему юзера каждый раз спрашивает пароль при посещении запароленной страницы апача? А авторизация почему плейнтекстовая basic, а не устойчивая к MITM?

> auth-method:trust, reject, md5, crypt, password, krb5, ident, ldap, pam

Postgre? Нормально, если опять же не учитывать индивидуальную настройку каждого сервера для использования авторизации в LDAP и невозмжность хранения настроек самого Postgre в LDAP. А с mysql что? Где у mysql поддержка LDAP, керберос?

> http://nomis52.net/?section=docs&page=samldap

Замечательный талмуд о том, как ручками инетгрировать в LDAP схему самбы, на каждом самба-сервере допиливать конифги на предмет адреса LDAP-сервера, DN, OU содержащих машины и юзеров, допиливание phpldapadmin, дублируя там то же самое, допиливание групмаппингов, допиливание nsswitch, допиливание add machine скрипта, допиливание ldap password sync = yes, гиморное допиливание вручную доступа к LDAP-атрибутм, чтобы никто не снял все хеши обычным ldapsearch. Еще неплохо про прикручивание к системе ACL и прикручивание к самбе наследования ACL написать, про хаки для того, чтобы был маппинг между скрытыми виндовыми файлами и скрытыми дотфайлами,про допиливание автосоздания домашних директорий для перемещаемых профилей и про убогость NT4.0 логон скриптов. Это просто кошмар, яркая демонстрация того, как хреново обстоят дела с интеграцией и допиливанием.

> http://group-ldap-auth.sourceforge.net/squid/group_ldap_auth/index.html

Ну да - тоже самое идиотской дублироваине настроек LDAP-сервера, DN, OU. Авторизация на прокси - плейнтекст, которая подходит только админам-дебилам, оторым насрать, на то, что пароли летают открытым текстом. Прозрачной авторизациине (не путать с transparent proxy) нет. При чем адрес прокси-сервера юзерам нужно еще прописать на каждой машине(GPO позволяет выставить и прокси и стартовую страницу и заблокировать возможность изменений в пару кликов). А прозрачный проксинг неприемлим, т.к. он не работает с авторизацией по юзерам, а по IP-шникам авторизовать юзеров за которыми закреплена машина временно с перемещаемыми профилями - бред.

>"Смена компьютера" и "Roaming Profile" - это миф поскольку все равно дальше заточенного под эксченж аутлука ничего не работает.

А зачастую, "смена компьютера" не требуется вообще. (лично я с такой ситуацией столкнулся только 1 раз, и то она со временем "рассосалась" по мере закупки необходимого количества техники)

Гораздо чаще на практике есть другие ситуации:

1. У каждого работника - постоянное рабочее место. В этом случае, "интеграция" сводится к централизованному "входу в венду" для получения доступа "на сервер" к файлопомойке.

2. Все работатают на всех компах практически одновременно. И, гораздо важнее, чем "вход в венду", - к примеру "вход в 1С".

3. Работники должны иметь возможность выполнять свои обязанности "в оффлайне", к примеру - в офисе клиента.

Чем в этих ситуациях, даже взятых по отдельности, помогут "AD со товарищи" - я даже представить не могу...

Вобщем - полностью поддерживаю.

> Браво r полностью согласен написал все что я наблюдаю каждый день только посмотрим будет вроде еще интересней.

Ну а что ж ты используешь AD? Или по принципу - ежи плакали, кололись, но продолжали жрать кактус? Иди ставь юзерам линукс, настраивай везде openldap, прикручивай туда GPO, трасты, развертывание приложений, перемещаемы профили, вперед и с песней в светлое будущее. А затем приходи и рассказвыай как все замечательно.

> Один домен на примерно 30 размазанных обьектов:)) Вот тут мы и похохочем

Над чем? Над ниасиливанием поставить на каждом объекте контроллер домена, который будет реплицироваться с остальными, настроить AD-сайты и асилить соединение сетей VPN-каналами?

>Речь о том, что унифицированного средства интеграции...

Ну давай, расскажи нам, как в AD все ставится в 2 клика и интегрируется без онанизма...

/me запасся попкор^W пивом с воблой и плакатом "Идиот! У тебя на проектирование инфраструктуры времени уйдет на 2 порядка больше, чем на написание самых хитрожопых скриптов!"

>Централизованное развертывание, настройка и обновление приложений(msi)...

ты всегда разговариваешь рекламными речевками?

>Имелось ввиду, что инетграция в никсах самопальная, сырая, убогая и...

как только приходит понимание, что нах не нужна "интеграция никсов" с такими костылями, как AD & Ko - жизнь становится простой и приятной.

:)

> Ну давай, расскажи нам, как в AD все ставится в 2 клика и интегрируется без онанизма...

Да очень просто click click next ok, желательно конечно после предварительного прочтения документации. Первый домен с GPO, перемещаемыми профилями, dns, dhcp,wins,iis, isa, rras, l2tp и pptp vpn, exchange, ms-sql поднимал и настраивал методом тыка. Работает без нареканий до сих пор.

>> Ну давай, расскажи нам, как в AD все ставится в 2 клика и интегрируется без онанизма...

> Да очень просто click click next ok, желательно конечно после предварительного прочтения документации. Первый домен с GPO, перемещаемыми профилями, dns, dhcp,wins,iis, isa, rras, l2tp и pptp vpn, exchange, ms-sql поднимал и настраивал методом тыка. Работает без нареканий до сих пор.

понятно :)

ты извини, но похоже, пиво тебе точно не продадут :)

/me развернул ранее заготовленный плакат

> ты всегда разговариваешь рекламными речевками?

А ты всем рассказываешь небылицы, про простую и приятную жизнь при выборе *nix, к которым интеграция прикручивается с большущим гиморроем? Так и скажи, что ничего не понял и хочешь чтобы разжевали по-простому, для тупых.

>А ты всем рассказываешь небылицы, про простую и приятную жизнь при выборе *nix, к которым интеграция прикручивается с большущим гиморроем? Так и скажи, что ничего не понял и хочешь чтобы разжевали по-простому, для тупых.

я все понял еще в далеком 2002 году и благополучно забил. :)

А вот ты (раз уж ты такой суровый админ), проведи мастер-класс, объясни нам, невеждам, великую силу мышеклика.

Распиши, пожалуйста, в две колонки, ответ на простой вопрос:

для каких целей ты использовал dns, а для каких - wins?

Удачи.

> И что кроме офиса это будет? Ты смешной.

Да что угодно кроме софта, который специально заточен. В msi можно засунуть любую программу, а реестр и файловая система(права, конфиги) через GPO и/или логон-скрипты конфигурируется.

> Не вся а 3 программы.

Не гони. Кури матчасть по OLE/COM, которые используются ОЧЕНЬ широко.

> После этого юзер захочет почитать почту слушая любимую музыку - и не найдет своей любимой музыки.

А с чего это он ее не найдет? А если не положено юзеру ничего запускать кроме стандартного набора автоматически разворачиваемых приложений, то делается ему хомка неисполнимой через Software Restriction и все.

> Смена компьютера" и "Roaming Profile" - это миф поскольку все равно дальше заточенного под эксченж аутлука ничего не работает.

Как это не работает, если настройки в реестре являются частью профайла?

> А юзеры у нас роботы которым ничего кроме оффиса не нужно, так? Первое что сделает админ - это делает обычно локального админа юзеру чтобы он хоть софт любимый инсталил себе сам, чтоб самому этим не заниматься, и потому дальше вся доменная система становиться фейком.

За такое расп*ство убивать надо. Локаладмина без вопросов и кому попало по доброте душевной и по причине расп*ства раздают лишь одмины-идиоты в компаниях без утвержденной политики безопасности и корпоративного стандарта на ПО. Развертывание ПО - задача админа, а не юзера, если одмин ниасиливает загрузку по сети, msbatch.inf, развертывание стандартного набора ПО с помощью GPO, не разбирается в инструментах удаленного управления или не хочет выполнять свои обязанности, то ССЗБ и должен убить себя апстену.

> Развертывание ПО - задача админа, а не юзера

И уже неважно как ее админ выполняет - с помощью GPO, дает учетку локального админа помощнику/эникею самостоятельно устанавливает софт через RDP илил как кретин ходит от сервера к серверу и от десктопа к десктопу.

так что там у нас относительно использования wins и dns? ы?

а то что-то понты одни: "GPO", "RDP"...

> Локаладмина без вопросов и кому попало по доброте душевной и по причине расп*ства раздают лишь одмины-идиоты в компаниях без утвержденной политики безопасности и корпоративного стандарта на ПО.

то есть, как я понимаю, к утверждению "политики безопасности и корпоративного стандарта на ПО" лично ты никакого отношения не имеешь?

Гыгы я не жру этот кактус я другими делами занимаюсь, а это так наблюдаю чужую роботу. Иногда помогаю подсказками хотя этим не занимался:) Про перемещаемые профили это ты в лужи пердишь? Я лично наблюдал загрузку 20-30 минут по 100M сетке из-за ваших перемещаемых профилей и полной синхронизации(или как это говно называется). А у тебя никогда репликации не останавливались между контроллерами? А у знакомого знатно все остановилось. После чёса инета в течении почти дня он нашел как это в реестре секретно поправить. Правда всех вышибло из домена. Ну так затем и админ виндовый нужен, чтоб бегать и всех в домен заново заводить. Мы ж умные не можем удаленно это сделать.

Буагагец и патчи ты небось не ставишь? Не вижу у тебя wsus в этом знатном списке. Так же жду описание как ты развернул полный резерв данной структуре и на ней эти патчи тестируешь. А то от них то сервак какой-то не подымется, то несколько пользовательских мест загадятся так что работать нельзя(вылетает вплоть до переустановки: ie либо ofice либо outlook).

>Буагагец и патчи ты небось не ставишь? Не вижу у тебя wsus в этом знатном списке.

ндяя... че-то быстро наш онанимный гуру слился... (

а то я хотел еще узнать у него, как на DC iis с Exchange-ем ужЫваюца...

>Локальные админы в сети - лишь у админов-идиотов, которые не могут нормально настроить права.

"нормальбно настроить права" - поподробнее. Мне надо ставить и сносить софт на локальной тачке и шарить локальные ресурсы в сеть. Что дальше?

>Централизованное развертывание, настройка и обновление приложений(msi)

Интересных допущений все больше и больше: предполагается что этот софт существует в msi. Начнем с простого: 1C в msi существует?

>централизованное форсирование политики безопасности,

На что конкретно? Список в студию. Таких слов как "централизированное обобщенное управление и настройка X (где X безопасность, обновления, права, и тому подобные слова русского языка) я тоже могу генерить. Давай изобрази нам сетку на 50 человек где 50 человек не роботы клоны с аутлуком и оффисом. Халява задача - что ты им поставишь?

>настройками и многое другое

"Слов ты много выучил - хвалю" (C)...

Ничего что я когда захожу в свой универ авторизуюсь в центральном openLDAP по всем тачкам на которые имею доступ, прозрачно подключаю все сетевые ресурсы и т.д.?

А теперь я тебе напомню еще кое-что что ты забыл в корпоративной информационной безопасности, кроме того что ты тут перечислил. Например: независимость корпорации от единственного поставщика. Например корпорация довольно большая, и решила что обновлять Office не нужно, поскольку ODF европейская рекомендация для государственных структур, и решила перейти на OOo, и таким образом сэкономить IT-бюджет. Поскольку в этом случае остается только Outlook Express, его решили заменить ну скажем Thunderbird.

Давай парень - как ты отнесешься к такому решению? Ты расскажешь как умный сисадмин что ты ради своей жопы и возможности ремотного управления реестром подсадил корп на иглу и постоянные расходы в пользу Microsoft на безальтернативной основе?

И еще расскажи как ты там собрался управлять обновлениями 1C, программистского софта, как ты сделаешь так чтобы шеф таки мог установить любимый скринсейвер?

Или у вас там министерство обороны -22 этаж и юзерам кроме автоматических действий предписанных инструкцией ничего делать недозволяется?

Смешно!

>Не будет.

Я такое наблюдаю. Вся сетка универа. Может универ небольшой, но пользователей там поболе чем в любой конторке кроме уж совсем гигантов.

>Своя таблица, которую нужчно вручную синхронизировать с учетными записями, которую нужно прикрутить к каждому почтовому/групваре клиенту вручную.

А знаешь почему? Потому что то что ты называешь "самопальным" на самом деле независимость приложений друг от друга. Она такая-же самопальная в венде. Или ты у нас учитываешь только продукты Microsoft?

Ты для того и заведен чтобы рулить системой так чтобы все работало.

>И так на каждом сервере... Какой мля гиморрой.

Ага. Значит образ инсталированной венды ты освоил. А создать сконфигурированный пакет под linux неасилил?

>А с mysql что? Где у mysql поддержка LDAP, керберос?

А где она в mysql по винду? Ты предполагаешь строго одну линейку продуктов от корпорации микрософт которые лезут в одну схему AD а в Linux почему-то пытаешься интегрировать "какой-хочу". НЕ заметил некоторый двойной стандарт? Попробуй заменить любой продукт в винде и наблюдай как твоя красивая схема идет просто лесом. Хотя что там заменять - что с этим работает то кроме самопальных порталов которые AD-авторизуются и продуктов MS?

>Это просто кошмар, яркая демонстрация того, как хреново обстоят дела с интеграцией и допиливанием.

То есть это просто мануал как все то что ты попросил настроить системному администратору, и при этом не менять свою работу на мегаденьги работодателя, получив независимость от поставщика?

>А прозрачный проксинг неприемлим, т.к. он не работает с авторизацией по юзерам

Я тебе открою тайну если расскажу что каналы интернет ныче дешевы, и что авторизация на проксе вообще нафиг уже нигде не нужна? Я уж не помню когда последний раз видел нетранспарент прокси.

>, а по IP-шникам авторизовать юзеров за которыми закреплена машина временно с перемещаемыми профилями - бред.

А у тебя много юзеров шаркаются по машинам с перемещаемыми профилями? Потратились на продукты MS - денег на выделенную машину не осталось?

>Чем в этих ситуациях, даже взятых по отдельности, помогут "AD со товарищи" - я даже представить не могу...

Вот именно. И я наблюдал исключительно то же самое.

>Не гони. Кури матчасть по OLE/COM, которые используются ОЧЕНЬ широко.

И что же они линкают и ембедят? А да - я видел как Norton Antivirus отказался открывать контрольную апнель потому что в IE была запрещен загрузка обектов на струнице по разным протоколам. Это было очень смешно.

>Как это не работает, если настройки в реестре являются частью профайла?

А проинсталированные программы тоже являются частью профайла? У вас 100 человек делает одно и то же на одинаковых компьютерах?

>А если не положено юзеру ничего запускать кроме стандартного набора автоматически разворачиваемых приложений, то делается ему хомка неисполнимой через Software Restriction и все.

-22 этаж ФСБ? Ты такую режимность где видел? В романе Оруэлла?

Да - микрочофт нас ведет именно в это будущее.

>не разбирается в инструментах удаленного управления или не хочет выполнять свои обязанности, то ССЗБ и должен убить себя апстену.

Как забавно. Ты только что пел песню что заниматься конфигурированием серверов и чтением документации тебя ломает.

>>Чем в этих ситуациях, даже взятых по отдельности, помогут "AD со товарищи" - я даже представить не могу...

> Вот именно. И я наблюдал исключительно то же самое.

и еще 5 копеек.

Имхо, AD эффективен лишь там, где существуют четко прописанные (или неписанные, но общеизвестные и неукоснительно выполняющиеся) стандарты безопасности и информационного обмена. Только в этом случае, когда инфраструктура спроектирована и реализована в AD&Ko, его использование может дать какой-то эффект в упрощении управления системой.

А может и не дать.

в 2001 году одна гос. организация внедрила эту хрень. Начальник IT там был "параноик", поэтому сперва все было разрисовано на бумажке, откатано несколько раз на стенде, снова на бумажке...

Но, поскольку для работы этой конторы (центральный аппарат, 4 филиала в обл.центре, 25 по районам) использовалась единственная ораклиная тулза, очень скоро админы вернулись к "старому доброму" radmin'у. Несмотря на то, что спроектирована и внедрена система была практически идеально.

Весь процесс занял около 8-ми месяцев при работе 5-ти человек практически в 2 смены.

Лично мне довелось поучаствовать в этом процессе, поэтому я никогда не поверю йуному одминьчегу, что все ставится "в 2 клика next, next, ok"

SEARCH.MICROSOFT.COM : Linux! 8))) download.microsoft.com : Linux! 8)))

> Можно почитать блоги разработчиков РН, в которых все довольно подробно расписано. При децентрализованной разработке возникают проблемы синхронизации кода у основного разработчика и многочисленных дистрибутивостроителей, т.к. нет единой багзилы, нет средства (работающего) по коллективному централизованному взаимодействию разработчиков.

Только то же самое можно сказать и про FreeBSD - ведь Apache, Samba, Squid и т.д. - это отдельные проекты, соответственно FreeBSD не является централизованным проектом.

> Из-за этого получается кучка самостоятельно живущих проектов, в том числе это справедливо и по отношению к ядру.

Не надо - ядро одно. Версии ядра в дистрибутиве используют свои патчи, но они основываются на ядре с kernel.org, и переход на новую версию означает использование своих дополнений с новой версией ядра с kernel.org. Ядра дистрибутивов не являются самостоятельными проектами.

> Так же из-за разобщенности разработки многие патчи пропадают в туне, т.к. просто не попадают в основную ветку кода. Поясню - есть ведущий разработчик некоего проекта, достаточно популярного, включенного во многие дистрибутивы. Некоторые шлют патчи этому разработчику, а другие - дистрибутивостроителю. Последние пересылают патчи в основную ветку, но там их по какой-либо причине не принимают. Может из-за того, что код уже изменился и их переделывать надо, может из-за того, что у разработчика время на это не хватает, может еще что. Вот патчи и пропадают. Была бы единая на весть проект багзила, было бы куда проще.

Подожди, ты кажется хотел рассказать о централизованном подходе во FreeBSD. А причём здесь процитированное выше? Если патч для Squid пошлют почему-то в RedHat, а не разработчикам Squid, и он потеряется не дойдя до менйстрима - это недостаток Linux, а если патч для Squid пошлют почему-то во FreeBSD, и он потеряется не дойдя до мейнстрима - это зрелый централизованный подход?

>ндяя... че-то быстро наш онанимный гуру слился... ( >а то я хотел еще узнать у него, как на DC iis с Exchange-ем ужЫваюца... >grinn * (*) (24.06.2007 14:35:35)

"Какая боль!"(С) :) Даже суровые камикадзе трепещут перед теми кто держит Exchange на той же тачке что и единственный DC :)

>Даже суровые камикадзе трепещут перед теми кто держит Exchange на той же тачке что и единственный DC :)

имхо, надо так:

"Даже суровые камикадзе трепещут перед обезьяной с гранатой"

а вообще-то - нисмишно :)

Да фигасе не смешно. Я вот просто отказался такую конфигурацию поднимать - сказал что репутация дороже :) Теперь та фирма ищет с пристрастием умельца который взялся и запустил :)

>Да фигасе не смешно. Я вот просто отказался такую конфигурацию поднимать - сказал что репутация дороже :) Теперь та фирма ищет с пристрастием умельца который взялся и запустил :)

Бугоеее!!!

/me заодно протер очки

Пожалуй, пресловутая "именная чайная ложечка" в этой ситуации - черезчур патетично и гуманно. Коллеги высказались за кулер с асимметрично отломанными лопостями.

ps: я ж говорю - нисмишно! :)