Ответы пользователя по тегу Active Directory
  • SquidGuard или аналог с поддержкой групп в ActiveDirectory по LDAPS?

    athacker
    @athacker
    Строго говоря, Squid умеет всё делать сам. Там есть AD аутентификация, списки фильтрации и т. п. Чем не устроил встроенный функционал Squid'a?
    Ответ написан
  • Как создать общую базу данных аутентификации?

    athacker
    @athacker
    1) Не надо ничего объединять, это чревато проблемами при рассинхронизации баз с учётным данными в разных (разнотипных) системах аутентификации. Должна быть единая система проверки пользовательских кредсов, а все другие системы должны проверять кредсы через неё. AD подойдёт для этого. Все остальные могут ходить в AD за проверкой кредсов через LDAPS. Часть систем уже имеют средства интеграции с AD -- IIS-приложения, почтовые сервера некоторые, SSH, MySQL (через PAM). Для остального, возможно, придётся покодить, чтобы это прикрутить.

    2) Механизм сброса пароля, который вы описали, позволяет любому, кто знает номер телефона (ПРОСТО знает, т. е. необязательно даже иметь этот телефон под рукой) сменить любой пароль и зайти под любой чужой учёткой. Вы точно этого хотите?

    Ну и в целом -- почитайте про концепцию SSO -- single-sign on. Есть уже и готовые системы, которые это реализуют.
    Ответ написан
  • Почему пользователь не входит в группу AD до двух перезаходов?

    athacker
    @athacker
    А разлогинить пользователя и подождать какое-то время, прежде чем зайти снова, пробовали? Я бы поставил на то, что к первому перелогину изменения ещё не отреплицировались, а пока пользователь выходит и заходит второй раз -- всё уже долетает.
    Ответ написан
  • Как поднять сервер в небольшой организации?

    athacker
    @athacker
    Умные люди говорят: "Если есть возможность проложить провод -- тяните провод, не надейтесь на WiFi". WiFi в рабочей сети, да ещё там, где "Большинство пользователей имеют дело с графикой и видео, объемы большие" -- это источник постоянной головной боли.

    Одного сервера всегда мало. Потому что будут проблемы с его обслуживанием -- нужно будет тормозить производственный процесс, либо работать во внеурочное время. И если сервер сбойнёт, то вся работа встанет колом.

    А поскольку вы упоминаете гипервизор, то с гипервизорами всё ещё хуже -- нужно минимум три сервера в кластере, для обеспечения отказоустойчивости. Если это винда, то ещё потребуется Micrisift Storage Spaces Direct для организации распределённого отказоустойчивого хранилища. Либо другие технологии, типа DataCore, vSAN, ScaleIO, Ceph -- любые распределённые софтверные системы хранения.

    Насчёт выбора железок -- будет зависеть от бюджета. Брэндовое железо стоит дороже, но меньше гемора в эксплуатации, и есть вменяемая поддержка. Не-брэндовое стоит дешевле, но больше вероятность сбоев, и поддержка попроще. Из вменяемых брендов вне "большой четвёрки" могу порекомендовать STSS. Собирают сервера на платформе SuperMicro, и достаточно вменяемы по части общения. Поддержка, есть, но для разборок придётся везти железку к ним в офис.

    Какой выбирать гипервизор -- также зависит от бюджета. Есть деньги -- выбирайте VMware или Hyper-V с обвязкой (vCenter или SC VMM). Нет денег -- ставьте KVM, ProxMox CE или Nutanix CE.

    HelpDesk системы -- тысячи их. iTop, vsDesk, GPLI, OTRS, YouTrack (он не совсем для этого, но легко заточить).

    А начинать нужно с базовых вещей -- с организации сети, электропитания на рабочих местах, выделения помещения под серверную. Качественный монтаж и планирование сети, тщательный выбор и тестирование оборудования -- избавляет впоследствии от множества проблем в процессе эксплуатации.
    Ответ написан
  • Сколько нужно контролеров домена для удаленных филиалов и нужно ли?

    athacker
    @athacker
    К вышесказанному ещё добавлю -- почитайте про RoDC -- read-only domain controller.
    Ответ написан
    Комментировать
  • Как настроить squid на работу с ntlm авторизацией?

    athacker
    @athacker
    У вас группа "Администраторы домена" на русском, и к тому же, состоит из двух слов. Поэтому для начала возьмите название группы в кавычки:

    cache_effective_group "Администраторы домена"


    Если и это не поможет -- копайте в районе кодировок. В конфиге будет одна кодировка, а у контроллера домена может быть совсем другая.
    Ответ написан
    Комментировать
  • Как получить список всех компов в сети - включенных, выключенных, не определено - с IP адресами с помощью Powershell?

    athacker
    @athacker
    Никак. Вы можете выгрузить только список компьютеров, которые имеют учётки в AD. При этом статус этих компов (особенно "выключен") не сможете определить никак. Как вы себе представляете? Комп выключен, но при этом каким-то чудом сигнализирует в сеть: "чуваки, я выключен, меня не будить!"? :-)

    В сети могут быть компы, не входящие в домен. Могут быть компы, где пинги закрыты файрволом. IP-адрес по дефолту микрософтовским DHCP выдаётся на 8 дней. Человек придёт из отпуска, включит комп, и комп получит уже другой IP.
    Ответ написан
    2 комментария
  • Как выгрузить из AD все входы в Windows по конкретному пользователю?

    athacker
    @athacker
    man на предмет командлета Get-EventLog, Люк. Вот, например, статейка, как работать с виндовыми логами из powershell: windowsitpro.com/powershell/access-security-event-...

    Ну и аудит событий безопасности должен быть предварительно включен, разумеется.
    Ответ написан
    Комментировать
  • Как реализовать простую корпоративную сеть?

    athacker
    @athacker
    "man vpn, Luke!" Читайте, что такое VPN вообще, и конкретные её реализации, в частности (например, протоколы IPSec, OpenVPN, L2TP). Почитайте про чудо-железки чудо-производителя Mikrotik -- они поддерживают все перечисленные, и ещё много разных других полезных протоколов.
    Ответ написан
    Комментировать
  • Как настроить раздачу адресов dhcp на две сети?

    athacker
    @athacker
    Реализовать было можно, но только в случае виндовых клиентов. Смотрите в сторону NAP -- Network access policy, и её связи с DHCP.
    Ответ написан
    3 комментария
  • Как перенести профиль пользователя с одного терминала на другой?

    athacker
    @athacker
    Ну в общем случае, да, достаточно просто файлы из профиля в профиль перенести.
    Ответ написан
    Комментировать
  • Как стать тру админом?

    athacker
    @athacker
    Вопрос задаётся не в первый раз, можно уже цитировать ответы :-)

    Придумайте себе сеть организации. С доменами Active Directory, с внутренней почтой (сначала, допустим, на linux/FreeBSD/postfix/dovecot, а потом -- на Exchange, или наоборот), с внутренними DNS и DHCP-серверами.

    С файловыми серверами, доступ к которым на уровне доменных учётных записей и групп распределяется. И запилите эту сеть на виртуальных машинах. Несколько виртуальных серверов Windows/Unix, парочку клиентских станций с виндой/линуксом.

    Поднимите свой веб-сервер, нарисуйте на нём простенький веб-сайт на базе какой-нибудь популярной CMS типа Joomla, Wordpress, чо-там-ещё-нынче-модно.

    Потом придумайте этой конторе удалённый филиал, и постройте инфраструктуру для него, и чтобы между ними ещё и VPN был, и с маршрутизацией правильной, чтобы машины из одного филиала видели другой, и наоборот.

    А потом сделайте так, чтобы VPN-канал между филиалами был зарезервирован через двух разных провайдеров, да причём переключения производились автоматически и абсолютно прозрачно для клиентов. В этом вам поможет динамическая маршрутизация и протоколы OSPF или BGP.

    Факультативно -- можете поднять в удалённом филиале так называемый RoDC -- read-only domain controller :-)

    Про якобы умершую FreeBSD не слушайте, об этом линуксоиды мечтают не первый год, но их мечтам сбыться не суждено. Я с фрёй работаю с 2006 года, и ответственно заявляю -- слухи о её смерти сильно преувеличены :-)
    Ответ написан
    7 комментариев
  • Что могут спросить на собеседовании по Windows Server?

    athacker
    @athacker
    Очень любят почему-то спрашивать про роли FSMO :-) Их состав, назначение и что будет, если какая-то из них сломается.
    Ответ написан
    Комментировать
  • Как реализовать филиальную структуру и удаленные домены в хостинге?

    athacker
    @athacker
    Центральные контроллеры AD -- на центральной площадке.

    В филиалах -- ставим и настраиваем RODC.

    Про избыточность отдельного Exchange для каждого филиала -- согласен с предыдущим оратором.

    А почему "в филиалах разные подсети" -- через "но"? :-) Оно именно так и должно быть -- у каждой площадки должна быть своя IP-подсеть. А то и не одна, если площадка большая.

    Также неясно, что за проблемы у вас с хостингом. Какая разница, на чём реализована инфраструктура -- на железе, на виртуалках у вас или на виртуалках у хостинг-провайдера?

    Только модель вы предполагаете использовать неправильную -- нужно не брать в аренду физический сервер, а брать ресурсы у облачных провайдеров. Если ваш физический сервер чихнёт -- у вас поляжет куча всего. Ну да, вам восстановят из бэкапов (возможно, оно даже восстановится). Но времени на это будет потрачено немеряно, и всё это время ваша сеть будет валяться. Если хотите делать сами -- нужно:

    - брать минимум два сервера для резервирования
    - предусматривать отказоустойчивое дисковое хранилище (дисковое хранилище -- потому что серверов у вас два, и обоим нужен будет доступ к общей хранилке. То есть -- это либо СХД, либо распределённая файловая система (но тогда серверов нужно вам больше, чем 2).

    Поэтому с арендой физического железа возни будет гораздо больше, чем купить маленькое облачко у сервис-провайдера. Ну, самые известные примеры -- это Amazon, Azure, DigitalOcean. Из отечественных навскидку -- КРОК, ДатаЛайн, СофтЛайн, Селектел, Наука-Связь.
    Ответ написан
    Комментировать
  • Где найти todo list для системного администратора в AD?

    athacker
    @athacker
    Сама по себе AD разворачивается очень просто, путём установки соответствующих служб на любом виндовом сервере и нажатия кнопок Next-Next-Next. Возникает вопрос, что конкретно вы дальше с ней собираетесь делать.

    Подробности некоторые можно вот тут почерпнуть, например: www.youtube.com/watch?v=w3vYUyyqiXQ
    Ответ написан
    Комментировать
  • Zimbra + Active Directory - как поменять username?

    athacker
    @athacker
    Создать новую учётку и переложить почту из старого в новый ящик.
    Ответ написан
  • Обязательные поля при создании пользователя в Active Directory?

    athacker
    @athacker
    Сделайте какой-нибудь внешний веб-интерфейс для добавления пользователей, и проверяйте в нём заполненность всех этих полей.
    Ответ написан
    Комментировать
  • Можно ли в AD посмотреть в какое время логинился пользователь?

    athacker
    @athacker
    В AD нет информации, когда пользователь логинился. В схеме AD есть только одно поле для этого дела: LastLogin. Соответственно, там дата последнего входа.

    Если нужна история заходов -- настраивайте правильно аудит и журналы, и тогда можно будет смотреть в логах контроллеров домена, когда и откуда пользователь заходил.
    Ответ написан
    1 комментарий
  • Как поступить с ситуацией, нужен Windows 2012 без AD, но с RDP доступом (и возможностью управлять им) + MSSQL?

    athacker
    @athacker
    А поднять два сервера -- один с MS SQL, и второй -- со всем остальным?

    Ну и беглый гуглинг подсказывает, что существют магические способы поднять RDSH без AD: serverfault.com/questions/428763/installing-rds-on...
    Ответ написан