Samba сервер. Профиль пользователя(windows). Подход к решению.

0

0

1.Как правильнее организовать работу пользователей средствами Samba, работающих в частности и на ноутбуках, и на стационарных компах в офисе(на нескольких) и удаленно с тем, что бы они имели доступ к своим документам(с разных машин) и в тоже время эта информация хранилась на сервере(инфа - есть собственность компании)?
2. Какими средствами решается проблемма "распухших" профилей пользователя?
3. Нужно ли пользователя прописывать локально на ноутбуке, если он будет работать вне офиса или же при отсутствии соединения с PDC windows создаст сама профиль локально?

Ссылка

←	Отпарсить...

firefox-qt vs gtk/gtk.h

→

1. ldap+samba+kerberos(хотя можно и без него) примерно то же самое что и AD, поэтому с перемещаемыми профилями проблем больших не будет.
2. административными
3. нет, не нужно.

~~Lumi~~ ★★★★★
(31.08.09 17:43:39 MSD)

Ответ на: комментарий от Lumi 31.08.09 17:43:39 MSD

1. В каком случае kerberos необходим?
2. Административными я так понимаю - это значит приказно-наказательными. На случай если админ. меры нужно заменить техническим решением, что порекомендуете?
3. Если пользователю на ноуте потребуется установить драйвер к мобильному телефону как быть?

ISG ★
(31.08.09 18:44:22 MSD) автор топика

Ответ на: комментарий от ISG 31.08.09 18:44:22 MSD

1. цербер это прежде всего сильное шифрование, ну и тикеты для аутентификации "без излишнего участия пользователя", если нет необходимости настолько сильно параноить, то можно обойтись слабым в виде сасла. Цербер удобен, но требует некоторых знаний, дополнительных телодвижений и точной синхронизации времени в сети.
2. Квоты. Хотя конечно они не спасут, когда люди натащат к себе в профиль файлов с именами, которые самбы не поймёт, и тогда попытка синхронизации окончится неудачно. Насчёт административных мер я не имел в виду какие-то наказания, просто объясняешь людям, что музыку свою надо наваливать не на рабочий стол, а на сетевую шару, ну а когда раза три профиль им зачистишь, тогда начинают понимать русский язык.
3. Для этого не надо прописывать пользователя на ноуте. Всё равно там есть локальный админ, пользователей из лдап заводить не нужно. К тому же никто не запретит внести в группу локальных админов пользователя из лдап. Хотя смысла совершенно нет никакого, давать пользователям права администратора. Если дело касается только установки драйверов для телефонов и принтеров, подключения к принтерам, то это решается легко редактированием групповых политик.

~~Lumi~~ ★★★★★
(01.09.09 09:21:33 MSD)

Ответ на: комментарий от Lumi 01.09.09 09:21:33 MSD

3. Если пользователь прописан в домене, сможет ли он зайти на свой комп., не подключившись к домену ("ноутбук в командировке")?

P.S. Сенкс ;-)

ISG ★
(01.09.09 10:29:06 MSD) автор топика

Ответ на: комментарий от ISG 01.09.09 10:29:06 MSD

3. Зависит от настроек политик. Виндос умеет кэшировать локально и профили пользователя и аутентификационную информацию.

P.S. У нас в домене машин с виндосом совсем мало (меньше 10), поэтому насколько будет нагружена сетка из-за перемещаемых профилей сказать не могу. Нужно просто тщательно следить, чтобы не было ошибок синхронизации, иначе профили на других машинах у этого пользователя и на сервере будут устаревать, а при ошибках копирования профиля с сервера пользователь вообще получит не свой родной профиль, а пустой временный.

~~Lumi~~ ★★★★★
(01.09.09 10:40:11 MSD)