» Флейм для сисадминов (часть IV)

MozGam

О .... ну тогда гуру должен знать откуда пошло BUG

Ошибок не делают те - кто ничего не делает (c) Фобос-Грунт

Я ведь что имел ввиду , неужели рядовому пользователю настолько необходимы сие знания ??? Как правило данные ошибки компенсируются кодом в ПО разработчика

ЗЫ не ...ну если у вас расчет траектории полета косточки в пространстве ...

grumm

Цитата:

Я ведь что имел ввиду , неужели рядовому пользователю настолько необходимы сие знания ??? Как правило данные ошибки компенсируются кодом в ПО

Точнее обновлением microcode процессора что делает биось.
Но все равно винить процессор во всех бедах глупо.

grumm
Цитата:

Как правило данные ошибки компенсируются кодом в ПО разработчика

Microsoft Excel 97 не умел ее корректировать и выдавал ошибочные результаты расчётов.

reff

Ну ...как грится ... не без этого самого )))))

Приветствую. Даже хз где лучше спросить.
В общем есть 3 офиса. В каждом свой домен. Сейчас вся структура перелопачивается мной и приводится к уму разуму. Вот вопрос как лучше поступить с тремя офисами. Офисы маршуртизируются через OpenVPN. Варианты пока такие:
Заводить всех в один домен(PDC в главном и по BDC в двух других) или создать 3 и завести их в один лес. Что даст лес? Как я понял за учётки созданные в любом из доменов леса, можно войти на оставшихся доменах. Что будет если создать одноимённые учётки в разных доменах одного леса? Так же вроде как я понял что в группы одного из доменов можно включать объекты из других из леса.

Народу суммарно пока человек 50 на 3 офиса, но хотят еще с 2-мя соединится. Но всё равно народу много быть не должно даже тогда...

Alukardd

Цитата:

Заводить всех в один домен

Зачем - сделай доверие между доменами и все .....Не надо будет переллопачивать все.


Цитата:

Что будет если создать одноимённые учётки в разных доменах одного леса?

Все нормально !


Цитата:

Так же вроде как я понял что в группы одного из доменов можно включать объекты из других из леса

Если сделаешь пункт намбер 1 - никаких проблем

Удачи !

grummА это верно?
Цитата:

за учётки созданные в любом из доменов леса, можно войти на оставшихся доменах.

если да то как это коррелирует с одноимёнными учётками?

Alukardd

Каждый домен - своё отдельное пространство имён. Но только локальное (подобное в этом - и только этом - смысле dns-зоне).
Аутентифицируешься в винде всегда с указанием источника авторитета (локального или доменного), который и придаёт смысл локальному имени.

Если домен один, винда всегда услужливо его подставляет (потому большинство юзеров и быдлоадминов так и помирают, ни разу не заметив ссылки на авторитет).

В противном случае, если авторитетов доступно несколько - приходится уже вынужденно включать иногда мозг и между ними выбирать.


Добавлено:
А то и ручками указывать - о ужОс! - авторитет отсутствующий в списке, представляясь местному домену как
user@othertrusteddomain.lan или OTHERTRUSTEDDOMAIN\user

Попутный вопрос к виндузятникам: кто-нибудь может внятно описать правила формирования списка авторитетов в окне логона и происхождение характерных глюков в нём?

Есть win 2008 r2, работает терминальным сервером. Проблема такая надо чтобы в определённое время завершались сеансы у всех пользователей кроме одного. Как это сделать нет понимания. Подскажите, может, кто сталкивался с такой задачей.

LevT
Цитата:

потому большинство юзеров и быдлоадминов так и помирают, ни разу не заметив ссылки на авторитет

сомневаюсь что таких наберётся прилично среди админов. Т.к. элементарная ситуация такая как локальный вход, а потом в домен в случае с Win7 заставит тебя набрать домен ручками. В случае хрюши выбрать из списка. Ага вот тут вопросик, т.е. в XP и меньше при входе в списке добавятся все домены из леса?

В случае с Win7 на значок гигантский кликнуть ещё бывает можно...

На самом деле, мой собственный опыт с выбором авторитетов в этом окошке и похожем окошке в терминального клиента скорее неудовлетворителен: они явно глючат в каких-то ситуациях и показывают в списке не (совсем) то, что я ожидаю там увидеть.

Но вот проанализировать закономерности и сформулировать "известные проблемы" я лично не в состоянии: обращаюсь за советом к коллегам виндоадминам. Может, есть какие-то офдоки или статьи на эту тему? Чисто из любопытства... мотива прикладывать серьёзные усилия, разбираясь в этом, у меня нет.


Добавлено:

Цитата:

Т.к. элементарная ситуация такая как локальный вход, а потом в домен в  случае с Win7 заставит тебя набрать домен ручками.

Вас подводит линуксоидная выправка. Можно быть виндоадмином и не подозревать о существовании локального входа. Встречал таких (

LevT
Цитата:

Можно быть виндоадмином и не подозревать о существовании локального входа. Встречал таких (

Быть администратором и считать себя администратором — это две большие разницы.

По-моему, совсем не важно, чем подобные кадры сами себя считают - если их ценят в этом качестве окружающие.

У IT-работодателей в принципе нет никакого способа увериться в квалификации админов. На практике любые критерии неадекватны - и "традиционно" используемые интуитивные, и впариваемые на рынке.

Разрыв в компетенции между продавцом и покупателем таков, что невозможна честная торговля, предполагающая оценку качества товара.


Да, кстати. (Во избежание чьих-то попыток половить рыбку...)
С квалификацией аутсорсеров и надёжностью облачных провайдеров проблема та же.

И с квалификацией врачей, ага. Покупатели в этом случае мы.


Добавлено:



reff
На самом деле я уловил Ваш акцент на "администрировании". Об этом тоже можно будет пофлеймить.

LevT
Вот ссылочка на тему...

А у меня тем временем еще вопросик по лесу. Если пользовать user@domain1 войдёт на машину заведённую в domain2, то что произойдёт с ГП? Стянуться по доверительным отношениям с DC domain1? Или накатится default domain policy из domain2?

Цитата:

Быть администратором и считать себя администратором

ну.. как бэ.. воть:

Быть иль не быть - вот в чём вопрос,
Ту би о нот ту би, как говорится..
Но зачастую нужен лишь закос,
И кем угодно можно притвориться..

Админ ли, слесарь - главное, что спец,
Не важно в чём, важно - какой ты, друже..
Но если отогнул понты так, шо писец,
То рано или поздно станешь ты ненужен..

В теченьи времени и в суматохе дней
Решает каждый, кто до этого дорос:
Бежать по жизни иль плестись за ней,
Быть иль не быть - всегда один вопрос..

Alukardd
Текст тов. Лемончелли о другом - том, как проверить свою собственную квалификацию. То есть когда известна собственная подноготная, есть мозги для самоанализа и нет неизвестного продавца с намерением продать подороже товар похуже. Или даже искренне убеждённого в превосходстве своего гамна.

А с политиками вот в этом месте как раз начинаются тонкости - уверены ли Вы, что хотите в них разбираться?
Ситуация зеркальная моему недавнему желанию доработать фреймвoрк на баше. ))


Добавлено:

Правильная книжка по политикам:
Jeremy Moskowitz Group Policy: Fundamentals, Security, and the Managed Desktop (9780470581858, 0470581859)

LevT
Отнюдь. Мне надо понять стоит ли мне заводить лес с 3мя доменами или всех в один затолкать. Что бы решать что-то на организационном уровне надо понять что нам даёт тот или иной технический аспект.
К тому же в дебри я не лезу и извращаться тоже не собираюсь. От домена нужен только вход и ГП. Ну и желательно что бы учётка была одна на случай захода в другой офис, а не в каждом по учётке, хотя этот момент тоже под вопросом пока.

Alukardd
Спасибо за ссылку.

Alukardd
Межлесные трасты - для обслуживания слияния существующих организаций с взаимно-несовместимым IT-наследством. (Когда несовместимы именно IT-департаменты).

Я бы посоветовал создать свою AD с нуля - единственный лес с несколькими сайтами. С единственным доменом... если не предполагается подселить себе в мозги шизофреника и установить рыночные отношения между полушариями... тремя. )


ЗЫ
PDC и BDC начиная с 2000 винды были неакутальны. Сейчас опять появился смысл в различении: BDC = RODC


grumm

Цитата:

Зачем - сделай доверие между доменами и все .....Не надо будет переллопачивать все.

А дальше появляются странные желания, типа применять политики между лесами - и человек тонет в глюках неизвестно от кого унаследованной AD.

Всем приветствие.

А можно как нибудь запретить юзеру удалять скрытые админ. ресурсы при условии, что юзер локальный админ? Сеть доменная, может быть политиками как то можно?

На данный момент после еще прочтения инета мысли такие:
Создать один домен, и в нём под каждый офис сайт, и соответственно в каждом сайте по КД. А т.к. они все в одном домене будут, то инфа об учётках будет хранится на каждом в полном объёме или надо будет роль GC им давать всем?

Ну пока это всё мысли, до реализации пока еще время есть...

Alukardd

Если лес-домен современного уровня, и не нужна децентрализация администрирования, то для этого RODC
А GC должен быть в каждом сайте.


Добавлено:
Alukardd
А ещё стоит сваять сетку заранее на отдельных маршрутизаторах.

И ни в коем случае не использовать multihomed DC! С ними и при опыте иногда вылазят внезапно неожиданности.

Alukardd

Только пришел на работу Не буду на тему Win-admin - UX-Admin и там и там свои заморочки....

Я написал в своем ответе - что если есть необходимость можно перелопатить свою структуру и привести все к одному AD - енто раз. Второе - можно сделать доверие между всеми доменами ..... тогда рулить всем лесом можно из одной точки. Третье локальный вход - вход в домен .... как бы не из вопроса плоскости.
Если доверие существует - есть список, в какой из доменов входить.

GC - как правило кешируется Не буду вдаваться на что это влияет ....для какого режима необходимо и тыды Есть вопрос - дал ответ ....дальше флейм

Добавлено:

Цитата:

multihomed DC

это отдельная песня

Цитата:

GC - как правило кешируется Не буду вдаваться на что это влияет ....для какого режима необходимо и тыды Есть вопрос - дал ответ ....дальше флейм

Про тонкости пофлеймить было бы интересно.

Я считаю, что желательно, чтобы каждый сайт был самодостаточен с точки зрения операций аутентификации (но не административной конфигурации, коли уж админ один и размножать личности в своей голове не планирует)

Кэширование в AD придумано в древние времена с медленными и ненадёжными каналами... Тот мотив сейчас неактуален.
Другой мотив, актуальности в принципе не утративший, важен при гигантских AD. Но это не наш случай.

Цитата:

то для этого RODC

именно, многие наступают на такие грабли

Цитата:

А ещё стоит сваять сетку заранее на отдельных маршрутизаторах

ваяют стандартную схему центральный офис и туннели к филиалам, делают отдельные сайты в каждом сайте по КД и начинается карусель - КД строят топологию репликации в виде кольца, а поскольку связь между филиалами через центр трафик многократно увеличивается. Самое простое решение это RODC в филиалах.

Не, без multihomed мы точно обойдёмся. Шлюзы либо на Debian/Linux, либо на FreeBSD. КД тусят внутри. Офисы соединены OpenVPN'ом.

Да что лес Windows это еще тот лес, я и так знаю. Собственно мб и полезно было бы в этом направлении прокачать скил, но если честно не особо хочется. Так что постичь пока что хочу ровно столько, что бы грамотно спроектировать структуру. Сложности и заморочки не нужны. Вечером еще с начальством покумекаю о том, чего они хотят получить по функционалу и тогда надеюсь вариантов поубавится.

Пока от домена требуется. Авторизация (возможно в разных офисах, хотя не факт), ГП. Что бы почтовые сервера через AD авторизовывали пользователей (вот тут и встаёт вопрос один ли домен делать или "имя пользователя" при настройке MUA будет user@domain2, а ящик при этом будет user@domain). Ну и прокся с авторизацией в AD (хотя тут скорее всего без разницы что будет со структурой домена).

Вообще есть 3-ий вариант в каждом офисе свой домен со своим лесом, и настроить доверия между требуемыми того лесами...

Цитата:

Да что лес Windows это еще тот лес, я и так знаю

И чем он так плох то ? аргументированно только

Цитата:

(вот тут и встаёт вопрос один ли домен делать

Вопрос здесь только в том случае, если хочется прокачать весьма сомнительный скилл - посмотреть глазами диссоцитативного психотика на окружающую жизнь и на соседей по черепной коробке )))

Не надо делать несколько доменов, если организация не предполагает делиться по нынешним границам, а админ - отпускать из своих рук технические рычаги и ограничивать сам себя политиками (разными в разных доменах).

Цитата:

Про тонкости пофлеймить было бы интересно.

тонкости - это не наш случай


Цитата:

Кэширование в AD придумано в древние времена с медленными и ненадёжными каналами...

ну у нас стабилен только природный ресурс - биомасса


Цитата:

Но это не наш случай.

с этим соглашусь и поэтому считаю, что в данном случае краткость ведет к пониманию !

Добавлено:
а вспомним Novell Directory Service
навеяло
ЗЫ не в тему ...но прикольно

grumm
Речь не о плохости или хоршести, а о весьма глубоких дебрях настроек (в т.ч и в связи с тем что MS готов весь мир в единую структуру со сложными отношениями вогнать). А так же о кучи тонкостей и потенциально проблемных местах.
А поставленную задачу он решает. Холивар я уже перерос, хотя совсем недавно, мб 1,5года назад, хотя моя субъективная тяга к Linux дистрибутивам ни куда не делась и не думаю, что уйдёт в ближайшее время.