включая удаление объектов

Ненужные уже профили вытирать будет?

Зачем отсоединять винду от винды?

Не - это я сторопыжничал и неправильно оценил всю беспощадную бессмысленность вот этого вот:

Можно, конечно, сделать свою реализацию домена для винды, которая бы выглядела и действовала как доменный клиент. Только вот геморрою дохрена.

Доменный клиент в Windows и так есть. Серверный вариант - SAMBA, которая умеет притворяться контроллером. Ну или родной домен. Ж;-)

Доменный клиент в Windows и так есть.

не везде.

А теперь маленький секрет из начального псто - Home версии винды в AD домен входить не умеют. А в Kerberos умеют. Вот в чём загогулина и нахрена вообще весь вышеописанный цЫрк с конями на слонах нужен.

не везде.

Это частности. Ж;-)

Из чьего начального поста? ТС этого не говорил. Если из твоего - то это вообще всем костылям костыль. Писать для конкретной обрезанной версии... Ещё какой-нибудь костыль для запуска более, чем трёх (или пяти? не помню..) приложений на Starter предложи.

для запуска более, чем трёх

В 7ке уже неограниченно пускать можно. Но ограничения по железу и обои легально сменить - ни-ни!

Перечитай стартовый псто, я всего лишь предложил пойти дальше :)

Так вот направление дальше-то и непонятно с точки зрения смысла. Впрочем, и исходный вариант представляет, с моей точки зрения, чисто академический интерес.

И если этот костыль почему-то сломается (тривиальный вариант - очень умный пользователь поменял себе пароль локально или снёс «лишнюю» учётную запись)

Поменял? На здоровье. При входе в керберосный домен его _локальный_ пароль никого не волнует. Удалил «лишнюю»? Без проблем. Создастся снова.

Ненужные уже профили вытирать будет?

А сама винды удаляет? Нет. Значит, не будет.

Вот в чём загогулина и нахрена вообще весь вышеописанный цЫрк с конями на слонах нужен.

Опять неправильно. Почему вы все за деревьями леса не видите? Дело не в том, чтобы запускать стартер или хоум в домен, дело в том, чтобы избавиться от виндового домена!!! Дав возможность клиенту выбирать по своему желанию инструменты реализации контроллера домена!

Почему вы все за деревьями леса не видите?

Да троллят они - нельзя же быть такими тупыми.

А тебе, если ты внедряешь линукс решения в виндовс-инфраструктуру, нужно вести блог.

Всё равно по итогу получается упрощённая реализация домена, пусть и не с помощью AD.

Размах костыля не может не восхищать.
Только не совсем понятен смысл полной базы групп/юзеров на каждой машине.
Какие плюсы, кроме возможности всей толпой логиниться на каждую машину «домена» или шарить «мои документы»?

Я имею в виду, что если уходить от одноранговости, то списки участников безопасности можно реплицировать только на серверы всякой фигни, а юзерские станции пусть живут спокойно, как жили, только регистрируются при каждом логине в центральном каталоге, не?

Это на самом деле предусмотрено - каждому хосту можно указать список контейнеров, юзеров и групп из которых он поддерживает у себя. Пока что это сделано в конфиге, но в процессе поддержка этой настройки прямо в учетке хоста. Тогда например компы филиала в Чеблядинске будут поддерживать у себя юзеров и группы из контейнера «ou=chel,dc=company,dc=com», а компы филиала в Ебатеринбурге будут брать юзеров и группы из контейнера «ou=eburg,dc=company,dc=com».

Всё равно по итогу получается упрощённая реализация домена, пусть и не с помощью AD.

И-мен-но. Да. Домен. Служба каталога. Единый логин. И без виндовссервера. Чистая гетерогенная структура на любой серверной платформе :-)

А есть проекты, двигающиеся в этом направлении?

В линуксе/юниксе вообще другой подход. В отличие от венды упор в этой области на кастомные решения. И понятно почему - линукс IRL используется именно в качестве кирпичика, а не отдельно.

Грубо говоря полно host/system/configuration management systems для связывания кирпичиков кастомным образом, но вот готовой системы для управления толпой офисных хомяков и их колес где они бегут изо дня в день, обвязанной ленточкой, нет. Просто потому что такая система возможна при наличии похожих типовых случаев которые и автоматизируются/обвязываются GUI.

А в линуксе с одной стороны нет типовых массовых десктопных инсталляций как в венде, они все специализированные настолько, что разница с самопалом невелика, ну и недесктопные инсталляции все разные.

Но в то же время без доп.плюшек типа политик безопасности и переносов профилей? или я ошибаюсь и ты всё продумал?

А вот это я сейчас и делаю :-) Почти сделал, точнее. Сейчас только разберусь как вендовый сервис на C# написать, и заверну в красивую обертку «пре-альфу версии 0.1» :-)

С уважением пожимаю вашу суровую мозолистую руку :D

Но я про то что даже если его написать, его все равно надо будет на все машины проинсталлировать. А в случае нахождения багов, обновлять, поддерживать соместимость со старыми версиями opendirectory_setup.exe и тп. Популярность samba вызвана именно тем что там этого делать не нужно - оно drop-in replacement, хоть и глючное.

Собственно, опять же, если вы захотите это все распространять дальше вашей компании и захотите «мирового господства», то нужны будут не «плагин с сервисом», а некая иллюзия продукта, хоть и опенсорсного. То есть что бы проинсталлировав пакет на линукс-сервере и xxx_setup.exe на венде, дальше можно было тупо кликать мышой на тему «завести узера/удолить узера» :D

Отсюда и выходят кстати, довольно здравые предложения о том что сначала нужна какая то система «аналог AD» для линукса, в потом уже ее можно было бы как то расширить на вендовые машины.

Но в то же время без доп.плюшек типа политик безопасности

Продумываю. Чрезвычайно мало документации, потому как большая часть задокументированных материалов выглядит как «запустите gpedit.msc подключившись к контроллеру домена...» и тому подобный шлак.

и переносов профилей?

Это неоднозначно. Я не думаю, что буду делать «перенос профиля» в полном смысле - это вообще бредовейшая затея и редкостная х..ня, особенно явно проявляющаяся на примере ярлычка на приложение, установленное на одном копме и неустановленное на другом, когда после нескольки миграции ярлычок превращается в тыкву. А вот трансфер и репликация фрагментов юзерского домашнего каталога - скорей всего будет сделана. Причем так, чтобы можно было реплицироваться с любого устройства, не только с компа с виндой.

то нужны будут не «плагин с сервисом», а некая иллюзия продукта, хоть и опенсорсного

Будет, всё будет. В том числе, управлялка с веб-мордой как минимум для управления хостами/юзерами/группами, документация, демоинсталяция. Но не сразу :-)

Да троллят они - нельзя же быть такими тупыми.

Такими тупыми очень даже можно быть. Они не тупые, кстати, а просто ограниченные. С точки зрения вендузятника, то что предлагает топикастер, вполне себе нонсенс. «Зачем делать замену AD(даже частичную) если AD есть и оно такое классное111» :D

закупив и установив на все компы Windows 7 Porfessional или Ultimate

Ты имеешь в виду, что оно не умеет работать со старыми виндами? А не страшно использовать антикварное решето?

Или оно не работает с некупленными? У вас маски-шоу не устраивают за такое?

Т.ч. не могу понять юзкейса, в котором это выгодно.

Ну и еще заплатив за Windows Server 2008R2

Недавно сравнивал с редхетом. Не факт, что последний дешевлее (если первый софтом не обвешивать).

Недавно сравнивал с редхетом. Не факт, что последний дешевлее

Ну давай, расскажи нам как он «не дешевлее» на хотя бы 20 клиентах. У нас тут недавно особо «продвинутый» начальник решил значицца эксчейндж, виндавссервер и эксчейндж внедрить, говорил что линупс сосет и корпоративная политика требует... А потом ему означили ценник на 200 юзеров + требования к каналам и проблемы настройки софта. И о, чудо - у нас в конторе ВНЕЗАПНО исчезла необходимость в AD, эксчейндже и виндовссервере :-)

GPO есть? Какие профиты это даёт кроме как пользователи везде одни и теже

явно проявляющаяся на примере ярлычка на приложение, установленное на одном копме и неустановленное на другом, когда после нескольки миграции ярлычок превращается в тыкву.

А эту проблему отлично решает Citrix :)

избавление от бАнальньй оккупации.

Выбирая между цитриксом чем угодно еще, лучше выбрать «что угодно еще». И вообще если использовать цитрикс - зачем вообще нужнавинда у клиента?

MS AD

кучу реальной головной боли для администраторов

больше головной боли чем венда сама по себе одмины поиметь не могут

Поменял? На здоровье. При входе в керберосный домен его _локальный_ пароль никого не волнует.

Зато он сильно будет волновать пользователя при входе на локальную машину. Он будет вводить свой новый пароль, войдёт - и что дальше с Kerberos? Лишние окошки запроса пароля?

Удалил «лишнюю»? Без проблем. Создастся снова.

Вот только предыдущий профиль для этой учётной записи будет недоступен.

больше головной боли чем венда сама по себе одмины поиметь не могут

Есть такое правило: «не знаешь - не говори». Каких-либо грандиозных проблем администрирование Windows не представляет. Ну, если ты умеешь это делать, конечно.

Вот только предыдущий профиль для этой учётной записи будет недоступен.

А кто бы ему (юзеру) еще права администратора сначала дал? Ничего он без них не сделает.

Каких-либо грандиозных проблем администрирование Windows не представляет

Ровно до тех пор, пока используешь только продукты MS только с продуктами МS так как это решила MS. Шаг вправо/шаг влево превращается в п...ц. Тривиальный пример - просто попробуй подключиться к серверу Exchange по MAPI, если имя этого сервера у тебя не ресолвится. Незабываемые впечатления гарантированы.

А кто бы ему (юзеру) еще права администратора сначала дал? Ничего он без них не сделает.

Это такое прекраснодушие - верить, что у пользователоя никогда не будет прав администратора. Это раз. Два - для смены пароля права администратора не нужны.

Ровно до тех пор, пока используешь только продукты MS только с продуктами МS так как это решила MS.

Не только. Хотя дебри бывают да... Но с Linux всё ровно точно так же - проблем не меньше, в целом.

Тривиальный пример - просто попробуй подключиться к серверу Exchange по MAPI, если имя этого сервера у тебя не ресолвится. Незабываемые впечатления гарантированы.

Гы... А use case для такой ситуации можно? Я, вообще-то, не считаю это хоть сколько-нибудь реальной проблемой.

P.S. Особенно с выходом Exchange 2010, да... Ж;-)

ахтунг! вендофил в треде!

про права админа - насмешил.

да, на венде без них никуда, бугага.

иди учи матчатсь дальше, малтчик

ахтунг! вендофил в треде!

Гы-гы. Как мне нравятся глуповатые фанатики, навешивающие на других ярлыки.

да, на венде без них никуда, бугага.

«Ты сказал.» (с)

иди учи матчатсь дальше, малтчик

В определении своих планов обойдусь без советов не вполне адекватных личностей с проблемами в общении.

А use case для такой ситуации можно?

Split DNS + VPN.

Нууу... Даже не знаю, что сказать. У меня в такой ситуации все имена разрешаются правильно. Ж;-)

Это такое прекраснодушие - верить, что у пользователоя никогда не будет прав администратора.

С правами администратора локальную машину можно полностью превратить в говно. Независимо от того - в AD она или нет.

Обычно после пары недель сидения пользователем с правами администратора единственное что можно сделать - переустановить шиндошs (или восстановить из полной резервной копии) и не давать больше макаке гранату^W^W пользователю права администратора.

С правами администратора локальную машину можно полностью превратить в говно. Независимо от того - в AD она или нет.

Безусловно. Я к тому, что в данном случае мы вполне уверенно получаем большой геморрой из-за банального расхождения в данных аутентификации.

Обычно после пары недель сидения пользователем с правами администратора единственное что можно сделать - переустановить шиндошs

Ну мне, видимо, везло с пользователями, у которых такие права были - большинство не чудило. Хотя, конечно, я всё равно всегда стремился их напрочь искоренить. Ж;-)

Я к тому, что в данном случае мы вполне уверенно получаем большой геморрой из-за банального расхождения в данных аутентификации.

Понимаешь ли, даже если винда входит в AD, никто также не мешает пользователю завести локального пользователя с тем же именем например и также намудить с паролями. Защиты от дурака нет -особенно в Windows.

Понимаешь ли, даже если винда входит в AD, никто также не мешает пользователю завести локального пользователя с тем же именем например и также намудить с паролями.

Некорректное замечание. В случае AD это будут разные записи, не связанные друг с другом - и никак с ними не намудришь, на самом деле. В предлагаемом варианте (как я его понял) локальная запись представляет собой отражение доменной - со всеми вытекающими.

Защиты от дурака нет -особенно в Windows.

Ну таки это не совсем правда, да? Ж;-)

И о, чудо

Таки да, начальство, способное правильно считать деньги - что-то из области мифов:) Стандартные редхеты нынче по полтора килобакса в год, что вполне ощутимо, если не удаётся воспользоваться отсутствием ограничений по пользователям.

Как-то я не понял а зачем? Пусть себе пользователи просто при подключении к серваку пароль вбивают. Раздавать права кроме как на шары сервера и пользователей врядли получится.

С такой конфигурацией выгрести проблем с дублированием и прочей ерунды - как нефик делать. Еще вопрос - смена паролей пользователям. Они же их вечно забывают. Да и менять иногда надо. Если не реализовать GPO (а это, возможно, без МС сервер и не реализуешь, не помню я возможности ткнуть винду носом откуда брать политики), то ад начнет наступать в геометрической прогрессии с шагом в число пользователей.

Еще вопрос - смена паролей пользователям. Они же их вечно забывают.

И что? Наличие AD как-то снижает частоту забывания паролей пользователями? Для администратора нет никакой разницы между тырканьем по иконке пользователя и выбоом пункта «сменить пароль» или вводом команды kadmin -q «chpw username».

Да и менять иногда надо

Ты не поверишь, но существуют Kerberos password policy, да.

Если не реализовать GPO [...] то ад начнет наступать

Бред. Тебе настолько промыли мозги, что ты мыслишь терминами «GPO», «AD» и не вместо того, чтобы оперировать задачами «ограничение доступа», «служба каталога» и т.д.. В той же NetWare не было групповых полтик, как и во времена NT4 - но не было никакого «ада».

Ну и вследствие этой промывки мозгов, как и все местные виндузятники, ты просто не понимаешь разницы между доменной учетной записью и локальным профайлом пользователя. Так вот в случае керберосного домена то что ты считаешь «локальным пользователем» является не более чем частью локального профайла пользователя, и всё. У локальной учетки даже пароля нет - точнее, его никто не знает - он при создании пользователя случайным образом генерируется и тут же забывается. А если кому нужен закэшированный вход на случай отсутствия сети - да без проблем, тот же самый плагин, который дергается при смене керберосного пароля, будет менять пароль этого локального профайла на нужных хостах (например, на ноутбуках). Список таких хостов - опять таки в каталоге в атрибутах пользователя.

UPD: оно заработало в первом приближении - автоматически создаются и удаляются юзеры, группы и членство в группах. Пишу сейчас инсталлер и локальную конфигурилку для удобного развертывания этого действа.