Спасибо, более грамотно чем у меня :)
И да, здесь хоть как-то рассказано что можно переносить пароли пользователей, с этим у меня были проблемы, пришлось всем один делать (хотя можно было разные и разослать его на корпоративную почту).
Минусователи — напиши свой пост как перевести из линуксового домена в виндовый, причём не считая то, что на линуксе он лучше.
Есть задача — её надо решить, независимо от вашего желания.
1. Да, в исходном домене всё так и начиналось (историю появления домена описана выше, по крайней мере это я так узнал, что было ещё раньше-не знаю, может это уже не первая миграция).
В чистом домене RID начинался с 1106, а первый реальный пользователь имел 1105 (с ним и были проблемы).
2. DnsAdmins, IIS_IUSRS и другие — это группы, тоже имели одинаковые RID, иногда пересекались с реальными пользователями, в данном случае группы были проигнорированы и приоритет был отдан пользователям (на ПК доменными группами не пользовались). Благо у пользователей (даже сервисных) были заполнены дополнительные поля, поэтому выделить среди 215 строк пользователей и групп было проще, всё остальное было заменено пользователями-заглушками (user-*), в том числе и группы.
Необходимые группы, к которым были привязаны разные службы (apache, winbind, openvpn, etc) использовали только имена групп, поэтому RID групп я не использовал, а создал только имена (про то, что группы бывают глобальными и локальными я узнал когда настраивал winbind для авторизации, потому что он не использовал локальные группы, но история не про это).
Полностью Вас поддерживаю.
Первый админ, который поднимал OpenLDAP, тоже был сильно удивлён что теперь стоит SAMBA, да ещё и альфа.
Я здесь уже третий админ, поэтому я пошёл по принципу: «работает-не трогай», вот я и не трогал, пока оно само не сломалось (всего-навсего перезагрзуил сервер через консоль, т.к. свободной памяти уже не осталось и OpenVPN не принимал соединения).
Ну что же никто не читает текст.
Я же писал что нельзя было ничего добавить и изменить в домене, но он работал хоть как-то.
Начальство было против домена на Windows, обосновывая это тем, что и так работает.
Я тоже люблю и придерживаюсь правила — «работает — не трогай», но оно само по себе падает, что я с этим могу сделать? Вариант был собирать из исходников SAMBA 4.0.*, но такая мысля отпала в силу того, что всё равно много недоработок и искать их решения у меня нет делания, ПО должно работать, зачем эксперименты, вот поэтому я потратил столько времени что бы всё работало без сбоев и неизвестных проблем.
Как мне рассказали, изначально домен был на винде, но пришёл админ-ярый линуксоид и перевёл всех на OpenLDAP, потом пришёл ещё один и перевёл с него всех на SAMBA (но этот админ был не админ, а программист), потом пришёл я и мне досталась вся эта красота, от которой не знаю чего ожидать (был момент что надо было другой сервер перезагрузить, т.к. он завис, после перезагрузки он не стартанул из-за того, что второй винт отрубился, диагностика показала что у него 80% бэдов, причём SMART был выключен в биосе, потом я посмотрел другие сервера, такая проблема на 5 серверах их 10).
Поэтому прошу не пинать из-за того, что я делаю на совесть и так, как ситаю нужным, потому что это не грабли, а проверенный рабочий функционал.
Сервера на линуксе я поддерживаю, но пытаюсь убрать всё лишнее с них, защитить фаерволом извне, т.к. текущий фаервол был не настроенным, к домену можно было вообще без пароля подключиться, вообщем много чего сделано, а разбираться что сделано через задницу у меня нет времени.
Ну я работаю в организации программистов и каждому перенастравать профиль, причём не потеряв доступ к настройкам и др…
Так же ценный опыт по настройке того, что мало где написано конкретно.
В сети много документации как перейти на SAMBA, а вот как обратно — нет, если только собирать по крупицам, да и если большой домен (вдруг найдутся такие), создавать каждому новую учётку, а тут всё централизовано. Так же комп можно было вгонять автоматически, зная логин/пароль локального администратора
Всё равно, делал это, и расписание прохождения такого квеста считаю не лишним в обществе, так же можно повысыть свой уровень в автоматизации процессов :)
Честно говря, сервис SAMBA был поднят из бэкапа 2-х недельной давности, но видимо били права сброшены, т.к. при попытке внести записи в DNS или в AD, SAMBA падала с разными ошибками. Поэтому неделю жило как могло, а потом последовал перевод, в четверг, а в пятницу упала Jira, т.к. истекло время кэша, вот сней-то я дольше мучался (ну часов 12, т.к. ActiveDirectory использует TLS, а Jira без сертификата сервера не работает).
А записи будут?
Интересно: Дмитрий Буланов «Службы каталога: штатные решения нестандартных задач», MS MVP и Илья Ковалевский «Что такое Qt и что с ним можно сделать»
Менял на свих ноутах:
Toshiba L300 — ОЗУ, привод, HDD, ЦП, Wi-Fi + Bluetooth допилил.
Acer 1825PTZ — ОЗУ и HDD, Wi-Fi, хотелось ещё проц, но он впаяный, поэтому пользуюсь тем что получилось.
Хотел сменить Acer на какой-нибудь другой планшетный ноут, но сейчас только планшеты, а необходимые характеристики только у Fujitsu, но цены нереальные.
Сорри что пишу сюда, но сегодня замечаны какие-то проблемы с DNS.
Не резолвятся или недоступны некоторые адреса: rsdn.ru; mainpay.ru
Некоторые хосты в Германии недоступны, магистраль порвали или это локальные проблемы?
Отлично, а будет продолжение статьи, как настроить extention и другое (а то в интернете мануалов много, но конкретики — 0)?
А то у самого стоит собранный сервер с FXO/FXS платой, а настроить не получается ввиду того, что мануалы пишут кусками, с ошибками и ничего не понятно.
И да, здесь хоть как-то рассказано что можно переносить пароли пользователей, с этим у меня были проблемы, пришлось всем один делать (хотя можно было разные и разослать его на корпоративную почту).
Есть задача — её надо решить, независимо от вашего желания.
В чистом домене RID начинался с 1106, а первый реальный пользователь имел 1105 (с ним и были проблемы).
2. DnsAdmins, IIS_IUSRS и другие — это группы, тоже имели одинаковые RID, иногда пересекались с реальными пользователями, в данном случае группы были проигнорированы и приоритет был отдан пользователям (на ПК доменными группами не пользовались). Благо у пользователей (даже сервисных) были заполнены дополнительные поля, поэтому выделить среди 215 строк пользователей и групп было проще, всё остальное было заменено пользователями-заглушками (user-*), в том числе и группы.
Необходимые группы, к которым были привязаны разные службы (apache, winbind, openvpn, etc) использовали только имена групп, поэтому RID групп я не использовал, а создал только имена (про то, что группы бывают глобальными и локальными я узнал когда настраивал winbind для авторизации, потому что он не использовал локальные группы, но история не про это).
Первый админ, который поднимал OpenLDAP, тоже был сильно удивлён что теперь стоит SAMBA, да ещё и альфа.
Я здесь уже третий админ, поэтому я пошёл по принципу: «работает-не трогай», вот я и не трогал, пока оно само не сломалось (всего-навсего перезагрзуил сервер через консоль, т.к. свободной памяти уже не осталось и OpenVPN не принимал соединения).
Можно более подробно или ссылочкой кинуть?
Я же писал что нельзя было ничего добавить и изменить в домене, но он работал хоть как-то.
Начальство было против домена на Windows, обосновывая это тем, что и так работает.
Я тоже люблю и придерживаюсь правила — «работает — не трогай», но оно само по себе падает, что я с этим могу сделать? Вариант был собирать из исходников SAMBA 4.0.*, но такая мысля отпала в силу того, что всё равно много недоработок и искать их решения у меня нет делания, ПО должно работать, зачем эксперименты, вот поэтому я потратил столько времени что бы всё работало без сбоев и неизвестных проблем.
Как мне рассказали, изначально домен был на винде, но пришёл админ-ярый линуксоид и перевёл всех на OpenLDAP, потом пришёл ещё один и перевёл с него всех на SAMBA (но этот админ был не админ, а программист), потом пришёл я и мне досталась вся эта красота, от которой не знаю чего ожидать (был момент что надо было другой сервер перезагрузить, т.к. он завис, после перезагрузки он не стартанул из-за того, что второй винт отрубился, диагностика показала что у него 80% бэдов, причём SMART был выключен в биосе, потом я посмотрел другие сервера, такая проблема на 5 серверах их 10).
Поэтому прошу не пинать из-за того, что я делаю на совесть и так, как ситаю нужным, потому что это не грабли, а проверенный рабочий функционал.
Сервера на линуксе я поддерживаю, но пытаюсь убрать всё лишнее с них, защитить фаерволом извне, т.к. текущий фаервол был не настроенным, к домену можно было вообще без пароля подключиться, вообщем много чего сделано, а разбираться что сделано через задницу у меня нет времени.
Так же ценный опыт по настройке того, что мало где написано конкретно.
В сети много документации как перейти на SAMBA, а вот как обратно — нет, если только собирать по крупицам, да и если большой домен (вдруг найдутся такие), создавать каждому новую учётку, а тут всё централизовано. Так же комп можно было вгонять автоматически, зная логин/пароль локального администратора
Всё равно, делал это, и расписание прохождения такого квеста считаю не лишним в обществе, так же можно повысыть свой уровень в автоматизации процессов :)
И была бы поддержка GPO, которой очень не хватает.
Да, и компов в организации из 80 штук, 15 — не Windows, все остальные от дядюшки, поэтому включил логику и сделал как логичнее. :)
Я могу сделать, но вот объяснять…
Интересно: Дмитрий Буланов «Службы каталога: штатные решения нестандартных задач», MS MVP и Илья Ковалевский «Что такое Qt и что с ним можно сделать»
Надеюсь что скоро допишу статью по переводу из домена на SAMBA в ActiveDirectory с минимальными потерями.
Toshiba L300 — ОЗУ, привод, HDD, ЦП, Wi-Fi + Bluetooth допилил.
Acer 1825PTZ — ОЗУ и HDD, Wi-Fi, хотелось ещё проц, но он впаяный, поэтому пользуюсь тем что получилось.
Хотел сменить Acer на какой-нибудь другой планшетный ноут, но сейчас только планшеты, а необходимые характеристики только у Fujitsu, но цены нереальные.
Не резолвятся или недоступны некоторые адреса: rsdn.ru; mainpay.ru
Некоторые хосты в Германии недоступны, магистраль порвали или это локальные проблемы?
Когда появится у всех +1-2 года.
А то у самого стоит собранный сервер с FXO/FXS платой, а настроить не получается ввиду того, что мануалы пишут кусками, с ошибками и ничего не понятно.