Discussione:
[OT] Active Directory e Samba
(troppo vecchio per rispondere)
Vide
2006-04-25 10:20:25 UTC
Permalink
Lo so che non è il posto migliore per chiederlo ma lo si potrebbe anche
considerare come un dibattito fra due soluzioni software per due sistemi
operativi diversi :P

La domanda è fondamentalmente breve: cosa mi dà in più AD (come sysadmin
principalmente Unix, ma non ho problemi a gestire Windows) rispetto a
configurare un Samba come PDA Windows?
Contando che ho già un LDAP e un DNS montati e funzionanti, quali sono i
vantaggi della soluzione chiavi in mano MS? Facilità di gestione? Roaming
profile? c'è la possibilità di installare sw da remoto o bisogna cmq
rivolgersi a software diversi (tipo ZenWorks)? Tenete conto che il numero
dei client oscillerebbe fra i 100 attuali e i 200 possibili futuri, e che a
parte SAP tutti i server nei quali il sistema si dovrebbe "incastrare"
girano su Linux.
--
Vide
Vide
2006-04-25 10:20:51 UTC
Permalink
PDA
Ehm, PDC :P
--
Vide
GdG
2006-04-25 10:37:10 UTC
Permalink
Post by Vide
Contando che ho già un LDAP e un DNS montati e funzionanti, quali
sono i vantaggi della soluzione chiavi in mano MS? Facilità di
gestione? Roaming profile? c'è la possibilità di installare sw da
remoto o bisogna cmq rivolgersi a software diversi (tipo ZenWorks)?
Gestione centralizzata degli utenti e delle macchine.
Differenziazione delle politiche in base al concetto della OU di
appartenenza.
Installazione del software da remoto in base alle OU
Possibilità di delegare la gestione
Possibilità di usare lo schema di AD per la configurazione delle
applicazioni.
Centinaia di Tools per la gestione.

http://technet2.microsoft.com/windowsserver/en/technologies/featured/ad/default.mspx

Già solo le Group Policy valgono l'installazione di AD.

IMHO.
Max_Adamo
2006-04-25 11:02:17 UTC
Permalink
Post by GdG
Già solo le Group Policy valgono l'installazione di AD.
dire proprio di si.
--
Massimiliano
Vide
2006-04-25 11:26:02 UTC
Permalink
Post by GdG
Già solo le Group Policy valgono l'installazione di AD.
Cos'hanno di così fico le GP? sto leggiucchiando su TechNet ma se mi facessi
un riassunto tu sarebbe più comodo :P
Inoltre...è vero che AD ha problemi se c'è un altro server DNS nella stessa
rete...o che più che altro si deve fare qualche configurazione particolare?
--
Vide
GdG
2006-04-25 11:36:35 UTC
Permalink
Post by Vide
Inoltre...è vero che AD ha problemi se c'è un altro server DNS nella
stessa rete...o che più che altro si deve fare qualche configurazione
Il server DNS per AD deve essere di tipo DDNS. E' consigliabile usare
i DNS di Microsoft ma anche Bind può essere usato se proprio uno vuole.
Rossano Orlandini
2006-04-25 11:59:23 UTC
Permalink
Post by GdG
Post by Vide
Inoltre...è vero che AD ha problemi se c'è un altro server DNS nella
stessa rete...o che più che altro si deve fare qualche configurazione
Il server DNS per AD deve essere di tipo DDNS. E' consigliabile usare
i DNS di Microsoft ma anche Bind può essere usato se proprio uno vuole.
Right, l'importante che abbia il supporto per i Dynamic Updates (RFC
2136) e i record SRV (RFC 2782). Un qualunque BIND dalla 8.2.2 in su
va bene, però per comodità è meglio usare un DNS Microsoft.
--
Rossano Orlandini
Max_Adamo
2006-04-25 11:54:00 UTC
Permalink
Post by Vide
Post by GdG
Già solo le Group Policy valgono l'installazione di AD.
Cos'hanno di così fico le GP? sto leggiucchiando su TechNet ma se mi facessi
un riassunto tu sarebbe più comodo :P
Inoltre...è vero che AD ha problemi se c'è un altro server DNS nella stessa
rete...o che più che altro si deve fare qualche configurazione particolare?
se configuri bind come slave per la zona di AD, riceverai un bel po' di
"schifezze", piu' o meno incomprensibili, ma che comunque funzionano.
--
Massimiliano
Sensei
2006-04-26 17:26:23 UTC
Permalink
Post by Vide
Post by GdG
Già solo le Group Policy valgono l'installazione di AD.
Cos'hanno di così fico le GP? sto leggiucchiando su TechNet ma se mi facessi
un riassunto tu sarebbe più comodo :P
Inoltre...è vero che AD ha problemi se c'è un altro server DNS nella stessa
rete...o che più che altro si deve fare qualche configurazione particolare?
AD usa i campi service del DNS per gestire per esempio kerberos (e un
client kerberos puo` fare una dns service query). AD e` un KDC vero e
priorio, MIT per la precisione, anche se ha una gestione delle
encryption keys che non e` proprio sicurissima, questo per
retrocompatibilita` comunque. Il kerberos MIT e` piu` flessibile
(Heimdal lascialo perdere) se usi anche unix.
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
piero
2006-04-27 19:26:41 UTC
Permalink
Post by GdG
Installazione del software da remoto in base alle OU
Domanda: ma questa funziona "veramente" (cioè non solo con qualche
software MS), oppure se devo installare da remoto - per esempio -
Lotus Notes su 100 client, mi tocca studiare e debuggare per un tempo
paragonabile a quello che avrei impiegato a fare le installazioni "a
mano"?
Rossano Orlandini
2006-04-25 11:08:14 UTC
Permalink
Post by Vide
Lo so che non è il posto migliore per chiederlo ma lo si potrebbe anche
considerare come un dibattito fra due soluzioni software per due sistemi
operativi diversi :P
La domanda è fondamentalmente breve: cosa mi dà in più AD (come sysadmin
principalmente Unix, ma non ho problemi a gestire Windows) rispetto a
configurare un Samba come PDA Windows?
Contando che ho già un LDAP e un DNS montati e funzionanti, quali sono i
vantaggi della soluzione chiavi in mano MS? Facilità di gestione? Roaming
profile? c'è la possibilità di installare sw da remoto o bisogna cmq
rivolgersi a software diversi (tipo ZenWorks)? Tenete conto che il numero
dei client oscillerebbe fra i 100 attuali e i 200 possibili futuri, e che a
parte SAP tutti i server nei quali il sistema si dovrebbe "incastrare"
girano su Linux.
Non conosco Samba e altri software come OpenLDAP quindi parlo solo di
Active Directory. E ridurre in poche righe di un newsgroup che cos'è e
cosa si può fare con AD è impossibile. La cosa migliore sarebbe
comprarsi un buon libro al riguardo e fare pratica con un server
Windows 2003 (ma anche 2000) e iniziarne a capirne le funzionalità.

In sintesi, AD è un database centralizzato e gerarchico che mantiene
l'elenco di utenti, gruppi e password; funge da servizio di
autenticazione e di autorizzazione per il dominio; ha un servizio di
indicizzazione per ricercare gli oggetti del dominio; su AD si basano
e si integrano parecchi applicativi di rete, in primis Exchange
Server, ma altri applicativi come SQL Server, ISA, Sharepoint ecc.. si
trovano a loro agio; AD ha introdotto il concetto di Group Policy e le
GP sono un potente mezzo di gestione degli oggetti e dei client
(dall'installazione remota del software, agli script da assegnare,
alla definizione delle password e delle impostazioni di sicurezza,
alla personalizzazione dei desktop e dei profili ecc...)

Credo che in ambienti client/server puramente Microsoft, AD
semplifichi enormemente le cose.
--
Rossano Orlandini
THe_ZiPMaN
2006-04-25 12:53:33 UTC
Permalink
Post by Rossano Orlandini
Post by Vide
La domanda è fondamentalmente breve: cosa mi dà in più AD (come sysadmin
principalmente Unix, ma non ho problemi a gestire Windows) rispetto a
configurare un Samba come PDA Windows?
Credo che in ambienti client/server puramente Microsoft, AD
semplifichi enormemente le cose.
Confermo in toto.
La soluzione "migliore" in genere è quella di mettere comunque due
macchine W2K/W2K3 come domain controllers per tutta la gestione
dell'ambiente client (che danno MOLTE meno problematiche rispetto alla
soluzione ibrida) e poi eventualmente integrare l'autenticazione dei
server Unix in Active Directory espandendo lo schema di AD per includere
gli attributi Unix.

http://www.google.com/search?q=Active+Directory+ldap+schema+unix+uid
http://empsystech.com/tech_blog/2005/12/20/active-directory-authentication-for-linux-part-2/
http://enterprise.linux.com/article.pl?sid=04/12/09/2318244&tid=102&tid=101&tid=100
--
Flavio Visentin

Membro del CICAP
Comitato Italiano per il Controllo delle Affermazioni di P4
Vide
2006-04-25 13:13:54 UTC
Permalink
Post by THe_ZiPMaN
La soluzione "migliore" in genere è quella di mettere comunque due
macchine W2K/W2K3 come domain controllers per tutta la gestione
dell'ambiente client (che danno MOLTE meno problematiche rispetto alla
soluzione ibrida) e poi eventualmente integrare l'autenticazione dei
server Unix in Active Directory espandendo lo schema di AD per includere
gli attributi Unix.
Quindi per te vale AD come soluzione migliore per la directory anche in un
ambiente solo Unix a livello server e quasi tutto Windows livello client?
--
Vide
THe_ZiPMaN
2006-04-25 13:43:18 UTC
Permalink
Post by Vide
Quindi per te vale AD come soluzione migliore per la directory anche in un
ambiente solo Unix a livello server e quasi tutto Windows livello client?
Assolutamente Sì. L'uso di AD ti permette di gestire e mettere in
sicurezza i client con le GP (unico vero vantaggio di Windows su Unix in
ambiente client che come noto è l'anello debole e costoso della catena).

Sulle macchine server non ti resta nulla da fare salvo l'integrare
l'autenticazione (cosa che con pam_ldap è banale).

Se fai l'opposto, ovvero metti un PDC su un server Unix con Samba, devi
rinunciare alle GP, devi sbatterti per far funzionare bene le cose tra
client e server (cosa non da poco) e devi comunque mettere in piedi
tutta l'infrastruttura di autenticazione basata su LDAP sui rimanenti
server.

Alla fine fai più lavoro per avere meno funzionalità. Fino all'uscita di
Samba 4 (che supportorà appieno AD con GP), la soluzione migliore,
soprattutto in ambienti medio-grandi, resta sicuramente il mantenimento
di due DC nativi Windows.
--
Flavio Visentin

Membro del CICAP
Comitato Italiano per il Controllo delle Affermazioni di P4
Sensei
2006-04-26 17:36:31 UTC
Permalink
Post by Vide
Post by THe_ZiPMaN
La soluzione "migliore" in genere è quella di mettere comunque due
macchine W2K/W2K3 come domain controllers per tutta la gestione
dell'ambiente client (che danno MOLTE meno problematiche rispetto alla
soluzione ibrida) e poi eventualmente integrare l'autenticazione dei
server Unix in Active Directory espandendo lo schema di AD per includere
gli attributi Unix.
Quindi per te vale AD come soluzione migliore per la directory anche in un
ambiente solo Unix a livello server e quasi tutto Windows livello client?
Risposta da ingegnere ``dipende''.

Nel mio ambiente, no AD sarebbe un bagno di sangue avendo gia`
AFS/LDAP/K5 e tutto quanto che poggia su questo backend (mail, nntp,
web, ...). Avrei dovuto fare un sync tra AD e LDAP e non e` la cosa
piu` comoda. Ho optato per Samba, cosi` sono riuscito ad avere login
integrati su tutti gli os con desktop comune (una rogna con il profilo
windows, pero` ci si riesce).

Se gia` hai AD, allora rimani su AD usando samba come client su unix
(puoi usare anche il modulo pam cosi` da avere tutto su AD).

Se specifichi meglio la tua situazione, quanti server unix e come sono
usati (web? kerberos? mail?), come li vuoi usare (spool/mail per
utente, ...)

Samba 4 sara` un PDC/KDC, quindi kerberos. Si vedra`, ancora avoja!
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
Vide
2006-04-27 07:21:42 UTC
Permalink
Post by Sensei
Se specifichi meglio la tua situazione, quanti server unix e come sono
usati (web? kerberos? mail?), come li vuoi usare (spool/mail per
utente, ...)
La situazione è semplice, fondamentalmente di autenticazione al momento non
c'è nulla...ho messo su un LDAP allo scopo che al momento è utilizzato solo
da Jabber e come rubrica. Il prossimo passo sarebbe portare la mail che al
momento è fuori dentro la LAN, in IMAP, e farla autenticare contro LDAP.
Rimane poi quindi il nodo delle postazioni Windows...al momento sono tutti
in un workgroup senza nessun server di auth, l'unico punto comune è un file
server con Samba e stop. Diciamo che anche se sono un centinaio di client
la situazione non è del tutto ingestibile, ma l'auth centralizzata sarebbe
ovviamente un ottimo guadagno.
La rogna più grossa per cui probabilmente mi serve un Win2003 è la
centralizzazione dei fottuti update di tutti i WinXP...per cui stavo
cercando altri buoni motivi per giustificare la spesa :P
--
Vide
Sensei
2006-04-27 16:46:16 UTC
Permalink
Post by Vide
Post by Sensei
Se specifichi meglio la tua situazione, quanti server unix e come sono
usati (web? kerberos? mail?), come li vuoi usare (spool/mail per
utente, ...)
La situazione è semplice, fondamentalmente di autenticazione al momento non
c'è nulla...ho messo su un LDAP allo scopo che al momento è utilizzato solo
da Jabber e come rubrica.
Quindi hai come autenticazione passwd/shadow.
Post by Vide
Il prossimo passo sarebbe portare la mail che al momento è fuori dentro
la LAN, in IMAP, e farla autenticare contro LDAP.
IMAPS ti consiglio, con TSL. SSL se proprio vuoi, ma per questo meglio
comprare da verisign o da una CA nota.
Post by Vide
Rimane poi quindi il nodo delle postazioni Windows...al momento sono tutti
in un workgroup senza nessun server di auth, l'unico punto comune è un file
server con Samba e stop.
Beh, poverella poverella come situazione... quanti client unix? Se sono
pochi come dici, lascia perdere la via unix.
Post by Vide
Diciamo che anche se sono un centinaio di client la situazione non è
del tutto ingestibile, ma l'auth centralizzata sarebbe ovviamente un
ottimo guadagno. La rogna più grossa per cui probabilmente mi serve un
Win2003 è la
centralizzazione dei fottuti update di tutti i WinXP...per cui stavo
cercando altri buoni motivi per giustificare la spesa :P
AD ti da ldap, ci metti gli schema che vuoi, e per il mondo che
descrivi, e` la soluzione che *PER TE* risparmia un sacco di rogne.
L'unico consiglio e` occhio alle policy per user e per host, che e` si
bene stringerle, ma occhio poi non funziona piu` nulla :)
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
GdG
2006-04-27 21:11:04 UTC
Permalink
...al momento sono tutti in un workgroup senza
nessun server di auth, l'unico punto comune è un file server con
Samba e stop.
Me rabbrividisce. Brrrrr....
Diciamo che anche se sono un centinaio di client la
situazione non è del tutto ingestibile, ma l'auth centralizzata
sarebbe ovviamente un ottimo guadagno.
Secondo me hai 100 utenti che sono dei veri santi.
La rogna più grossa per cui probabilmente mi serve un Win2003 è la
centralizzazione dei fottuti update di tutti i WinXP...per cui stavo
cercando altri buoni motivi per giustificare la spesa :P
Direi. Già solo la banda che risparmi lo vale.
Vide
2006-04-27 21:42:46 UTC
Permalink
Post by GdG
Secondo me hai 100 utenti che sono dei veri santi.
Naaaa...semplicemente viaggiano tutti come utenti senza neanche un diritto e
una schiera di software standard messi in fase di preparazione del PC e
stop, non stiamo a toccargli il computer tutto il giorno :P
--
Vide
GdG
2006-04-27 22:02:04 UTC
Permalink
Post by Vide
Post by GdG
Secondo me hai 100 utenti che sono dei veri santi.
Naaaa...semplicemente viaggiano tutti come utenti senza neanche un
diritto e una schiera di software standard messi in fase di
preparazione del PC e stop, non stiamo a toccargli il computer tutto
il giorno :P
Ma se lo toccano loro....:-).
Vide
2006-04-28 06:56:34 UTC
Permalink
Post by GdG
Ma se lo toccano loro....:-).
Come utenti normali fanno pochi danni per fortuna :P
--
Vide
Sensei
2006-04-26 17:30:23 UTC
Permalink
On 2006-04-25 13:08:14 +0200, "Rossano Orlandini"
Non conosco Samba e altri software come OpenLDAP quindi parlo [...]
alla personalizzazione dei desktop e dei profili ecc...)
Per chi usa unix, e` LDAP server con un KDC MIT Kerberos V con sotto
l'IBM SMB (poi MS SMB).
Credo che in ambienti client/server puramente Microsoft, AD
semplifichi enormemente le cose.
Confermo. Se non hai il mio problema (macosx, qualunque linux, aix,
windows e altri unix sperimentali tipo openbsd, hpux) allora in
ambienti PURI usa AD.

Se non puoi permettertelo, purtroppo NT e` andato a puttane e dovrai
andare con samba. Per ambienti molto piccoli basta il backend samba
senza scomodare ldap.
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
Sensei
2006-04-26 17:22:50 UTC
Permalink
Post by Vide
Lo so che non è il posto migliore per chiederlo ma lo si potrebbe anche
considerare come un dibattito fra due soluzioni software per due sistemi
operativi diversi :P
Allora forse ti conviengono le mailing list rispettive.
Post by Vide
La domanda è fondamentalmente breve: cosa mi dà in più AD (come sysadmin
principalmente Unix, ma non ho problemi a gestire Windows) rispetto a
configurare un Samba come PDA Windows?
Kerberos ed LDAP integrati dal punto di vista unix. Per il resto e` SMB
con quelle 2 aggiunte (lato unix).
Post by Vide
Contando che ho già un LDAP e un DNS montati e funzionanti, quali sono i
vantaggi della soluzione chiavi in mano MS? Facilità di gestione? Roaming
profile? c'è la possibilità di installare sw da remoto o bisogna cmq
rivolgersi a software diversi (tipo ZenWorks)? Tenete conto che il numero
dei client oscillerebbe fra i 100 attuali e i 200 possibili futuri, e che a
parte SAP tutti i server nei quali il sistema si dovrebbe "incastrare"
girano su Linux.
AD e` comodo e grafico. Se non capisci nulla di SASL, Kerberos, di LDAP
e schema, lascia perdere e usa AD. Altrimenti metti a posto i
pezzettini che non e` un bagno di sangue.
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
GdG
2006-04-27 07:05:46 UTC
Permalink
Post by Sensei
AD e` comodo e grafico. Se non capisci nulla di SASL, Kerberos, di
LDAP e schema, lascia perdere e usa AD. Altrimenti metti a posto i
pezzettini che non e` un bagno di sangue.
E' peggio :-).

Lui deve gestire 200 postazioni di lavoro Windows.
Vogliamo dirgli che HA NECESSITA' ASSOLUTA di AD e delle GPO
se non vuole morire?
Vide
2006-04-27 07:23:21 UTC
Permalink
Post by GdG
Lui deve gestire 200 postazioni di lavoro Windows.
Al momento sfioriamo le 100 ma qua continuano ad assumere...:P
--
Vide
Bluff
2006-04-27 11:01:40 UTC
Permalink
Post by Vide
Post by GdG
Lui deve gestire 200 postazioni di lavoro Windows.
Al momento sfioriamo le 100 ma qua continuano ad assumere...:P
Usa AD.

Saluti,

Bluff
ribbed
2006-04-27 09:03:36 UTC
Permalink
Post by GdG
Lui deve gestire 200 postazioni di lavoro Windows.
Vogliamo dirgli che HA NECESSITA' ASSOLUTA di AD e delle GPO
se non vuole morire?
In +, se configuri bene pdc e bdc hai la ridondanza assicurata con 2
click.. e non è roba da poco...
La cosa + figa, imho, sono le unità organizzative e la possibilità di
applicare group policy in maniera gerarchica: dal sito, dominio, unità
organizzativa... insomma una gestione molto molto molto granulare...
GdG
2006-04-27 14:35:32 UTC
Permalink
Post by ribbed
Post by GdG
Lui deve gestire 200 postazioni di lavoro Windows.
Vogliamo dirgli che HA NECESSITA' ASSOLUTA di AD e delle GPO
se non vuole morire?
In +, se configuri bene pdc e bdc hai la ridondanza assicurata con 2
click.. e non è roba da poco...
La cosa + figa, imho, sono le unità organizzative e la possibilità di
applicare group policy in maniera gerarchica: dal sito, dominio, unità
organizzativa... insomma una gestione molto molto molto granulare...
Ma dai, è robaccia Microsoft, non può essere che sia cosi avanzata :-)
Sensei
2006-04-27 16:48:44 UTC
Permalink
Post by ribbed
Post by GdG
Lui deve gestire 200 postazioni di lavoro Windows.
Vogliamo dirgli che HA NECESSITA' ASSOLUTA di AD e delle GPO
se non vuole morire?
In +, se configuri bene pdc e bdc hai la ridondanza assicurata con 2
click.. e non è roba da poco...
La cosa + figa, imho, sono le unità organizzative e la possibilità di
applicare group policy in maniera gerarchica: dal sito, dominio, unità
organizzativa... insomma una gestione molto molto molto granulare...
Per 100 picci` non comprerei AD per un PDC...
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
Rossano Orlandini
2006-04-27 19:26:35 UTC
Permalink
Post by Sensei
Post by ribbed
Post by GdG
Lui deve gestire 200 postazioni di lavoro Windows.
Vogliamo dirgli che HA NECESSITA' ASSOLUTA di AD e delle GPO
se non vuole morire?
In +, se configuri bene pdc e bdc hai la ridondanza assicurata con 2
click.. e non è roba da poco...
La cosa + figa, imho, sono le unità organizzative e la possibilità di
applicare group policy in maniera gerarchica: dal sito, dominio, unità
organizzativa... insomma una gestione molto molto molto granulare...
Per 100 picci` non comprerei AD per un PDC...
Quale sarebbe la soglia minima? Almeno 1000? :-)
L'implementazione di un dominio Active Directory fin dalle piccole
realtà comporta, come detto, enormi benefici.
--
Rossano Orlandini
Sensei
2006-04-28 17:26:17 UTC
Permalink
On 2006-04-27 21:26:35 +0200, "Rossano Orlandini"
Post by Rossano Orlandini
Post by Sensei
Post by ribbed
In +, se configuri bene pdc e bdc hai la ridondanza assicurata con 2
click.. e non è roba da poco...
La cosa + figa, imho, sono le unità organizzative e la possibilità di
applicare group policy in maniera gerarchica: dal sito, dominio, unità
organizzativa... insomma una gestione molto molto molto granulare...
Per 100 picci` non comprerei AD per un PDC...
Quale sarebbe la soglia minima? Almeno 1000? :-)
L'implementazione di un dominio Active Directory fin dalle piccole
realtà comporta, come detto, enormi benefici.
Ho detto che semplicemente per cose piccole, il costo e` elevato. Per
100 utenti samba 3, anche senza ldapsam, va benissimo. Risparmi un po',
poi se soldi ne hai a profusione... beh, non sei come le universita` :)
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
Rossano Orlandini
2006-04-28 17:58:47 UTC
Permalink
Post by Sensei
On 2006-04-27 21:26:35 +0200, "Rossano Orlandini"
Post by Rossano Orlandini
Post by Sensei
Post by ribbed
In +, se configuri bene pdc e bdc hai la ridondanza assicurata con 2
click.. e non è roba da poco...
La cosa + figa, imho, sono le unità organizzative e la possibilità di
applicare group policy in maniera gerarchica: dal sito, dominio, unità
organizzativa... insomma una gestione molto molto molto granulare...
Per 100 picci` non comprerei AD per un PDC...
Quale sarebbe la soglia minima? Almeno 1000? :-)
L'implementazione di un dominio Active Directory fin dalle piccole
realtà comporta, come detto, enormi benefici.
Ho detto che semplicemente per cose piccole, il costo e` elevato. Per
100 utenti samba 3, anche senza ldapsam, va benissimo. Risparmi un po',
poi se soldi ne hai a profusione... beh, non sei come le universita` :)
100 utenti sono pochi per una realtà da Corporation americana, ma
rappresentano il classico esempio di realtà italiana. E sono
ampiamente sufficienti per giustificare l'introduzione di Active
Directory e una gestione migliore della rete, credimi.
--
Ross
GdG
2006-04-28 19:11:45 UTC
Permalink
Post by Sensei
Ho detto che semplicemente per cose piccole, il costo e` elevato. Per
100 utenti samba 3, anche senza ldapsam, va benissimo. Risparmi un
po', poi se soldi ne hai a profusione... beh, non sei come le
universita` :)
Guarda che AD si ripaga già dopo 3 PC sfrantecati dal coglione di turno
chesi installa il CD portato da casa.
ribbed
2006-04-28 08:41:50 UTC
Permalink
Secondo me sbagli...
non mi piace la "robba" di zio bill, ma per me hanno fatto un bel
giochino con AD...
quel tipo di problematiche le hanno risolte veramente bene... poi è
ovvio che per i servizi di rete puoi tranquillamente fare a meno di
microzoz.. però il vantaggio di AD è innegabile.
Sensei
2006-04-28 17:25:06 UTC
Permalink
Post by ribbed
Secondo me sbagli...
non mi piace la "robba" di zio bill, ma per me hanno fatto un bel
giochino con AD...
Non lo metto in dubbio.
Post by ribbed
quel tipo di problematiche le hanno risolte veramente bene... poi è
ovvio che per i servizi di rete puoi tranquillamente fare a meno di
microzoz.. però il vantaggio di AD è innegabile.
Dico che semplicemente puo` risparmiare in ambienti cosi`. 100 utenti
sono pochi pochi pochi.

Basta Samba 3 e un bel po' di disco, magari scsi tipo un tera, costa
poco ormai (dell fa buoni prezzi, noi compriamo molto da loro), ci gira
debian (gratise).
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
THe_ZiPMaN
2006-04-28 19:22:57 UTC
Permalink
Post by ribbed
Secondo me sbagli...
non mi piace la "robba" di zio bill, ma per me hanno fatto un bel
giochino con AD...
AD in sè non è nulla di nuovo, NDS esisteva da qualche anno.

Ciò che hanno fatto di bello con W2K, che dipende anche dalla
disponibilità di AD e che per il momento vedo come unico handicap di
Linux rispetto a Windows per il mercato desktop aziendale, è la
raffinata implementazione delle group policy.
--
Flavio Visentin

Membro del CICAP
Comitato Italiano per il Controllo delle Affermazioni di P4
Sensei
2006-04-27 16:47:51 UTC
Permalink
Post by GdG
Post by Sensei
AD e` comodo e grafico. Se non capisci nulla di SASL, Kerberos, di
LDAP e schema, lascia perdere e usa AD. Altrimenti metti a posto i
pezzettini che non e` un bagno di sangue.
E' peggio :-).
Lui deve gestire 200 postazioni di lavoro Windows.
Vogliamo dirgli che HA NECESSITA' ASSOLUTA di AD e delle GPO
se non vuole morire?
200 postazioni, direi allora che serve un semplice file server. Ma puo`
darsi che voglia far autenticare gli utenti ovunque. Insomma non ho
compreso quanto vuole integrare il tutto e a che livello (mail/web?).
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
GdG
2006-04-27 19:17:33 UTC
Permalink
Post by Sensei
200 postazioni, direi allora che serve un semplice file server. Ma
puo` darsi che voglia far autenticare gli utenti ovunque. Insomma non
ho compreso quanto vuole integrare il tutto e a che livello
(mail/web?).
Mmmm, secondo me non hai capito a che serve AD.
Sensei
2006-04-28 17:28:58 UTC
Permalink
Post by GdG
Post by Sensei
200 postazioni, direi allora che serve un semplice file server. Ma
puo` darsi che voglia far autenticare gli utenti ovunque. Insomma non
ho compreso quanto vuole integrare il tutto e a che livello
(mail/web?).
Mmmm, secondo me non hai capito a che serve AD.
Io parlo di ambienti eterogenei. Per 100 postazioni spendere soldi per
AD non mi pare sensato. Non fa nulla che non faccia samba a quel
livello, a patto di modificare le 2 chiavi del registry di xp
professional.

Ho evitato AD, e t'assicuro che nulla di AD e` strabiliante a tal punto
da non potersi fare con sw a basso costo (gratis) che sono
ultra-necessari in ambiti universitari dove 100 euro sono una grande
spesa alcune volte.
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
GdG
2006-04-28 19:14:20 UTC
Permalink
Post by Sensei
Ho evitato AD, e t'assicuro che nulla di AD e` strabiliante a tal
punto da non potersi fare con sw a basso costo (gratis) che sono
ultra-necessari in ambiti universitari dove 100 euro sono una grande
spesa alcune volte.
Si vabbè, ciao.
Sensei
2006-04-29 07:33:33 UTC
Permalink
Post by GdG
Post by Sensei
Ho evitato AD, e t'assicuro che nulla di AD e` strabiliante a tal
punto da non potersi fare con sw a basso costo (gratis) che sono
ultra-necessari in ambiti universitari dove 100 euro sono una grande
spesa alcune volte.
Si vabbè, ciao.
AD non e` il massimo quando hai a che fare con unix vari.
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
GdG
2006-04-29 07:47:21 UTC
Permalink
Post by Sensei
Post by GdG
Post by Sensei
Ho evitato AD, e t'assicuro che nulla di AD e` strabiliante a tal
punto da non potersi fare con sw a basso costo (gratis) che sono
ultra-necessari in ambiti universitari dove 100 euro sono una grande
spesa alcune volte.
Si vabbè, ciao.
AD non e` il massimo quando hai a che fare con unix vari.
Ma tu devi gestire 100 client
Sensei
2006-04-29 09:28:00 UTC
Permalink
Post by GdG
Post by Sensei
AD non e` il massimo quando hai a che fare con unix vari.
Ma tu devi gestire 100 client
*LUI* :)

Se riprendi la mia risposta alla questione e` stata ``AD senza dubbio''.
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
GdG
2006-04-29 11:55:18 UTC
Permalink
Post by Sensei
Post by GdG
Post by Sensei
AD non e` il massimo quando hai a che fare con unix vari.
Ma tu devi gestire 100 client
*LUI* :)
Occazzo. Mi sono impappinato :-)

THe_ZiPMaN
2006-04-28 19:29:12 UTC
Permalink
Post by Sensei
Ho evitato AD, e t'assicuro che nulla di AD e` strabiliante a tal punto
da non potersi fare con sw a basso costo (gratis) che sono
ultra-necessari in ambiti universitari dove 100 euro sono una grande
spesa alcune volte.
Il problema è che 100 euro in ambiente lavorativo sono una cazzabubbola.

Se perdo due ore di tempo per far andare qualcosa, ho già buttato più
dei 100 euro risparmiati, e ti assicuro che per mettere in piedi una
macchina con Samba e istruire l'utonto di turno per gestirla ti costa
ben più di quanto spendi in licenza.

In un'azienda, dal punto di vista della gestione del S.I., AD si ripaga
già a partire dai 10 utenti.

Se poi i server Windows non ricadono sotto la mia responsabilità ancora
meglio :-)
--
Flavio Visentin

Membro del CICAP
Comitato Italiano per il Controllo delle Affermazioni di P4
Sensei
2006-04-29 07:40:27 UTC
Permalink
Post by THe_ZiPMaN
Post by Sensei
Ho evitato AD, e t'assicuro che nulla di AD e` strabiliante a tal punto
da non potersi fare con sw a basso costo (gratis) che sono
ultra-necessari in ambiti universitari dove 100 euro sono una grande
spesa alcune volte.
Il problema è che 100 euro in ambiente lavorativo sono una cazzabubbola.
Eh lo so. Per me lo sarebbero anche 1500 per Mathematica perche` mi
facilita il lavoro, ma la verita` e` un'altra.
Post by THe_ZiPMaN
Se perdo due ore di tempo per far andare qualcosa, ho già buttato più
dei 100 euro risparmiati, e ti assicuro che per mettere in piedi una
macchina con Samba e istruire l'utonto di turno per gestirla ti costa
ben più di quanto spendi in licenza.
In un'azienda, dal punto di vista della gestione del S.I., AD si ripaga
già a partire dai 10 utenti.
Ho detto infatti che se e` un ambiente windows di rimanere con MS. Se
si pensa all'eterogeneita` e` tutt'altro.
Post by THe_ZiPMaN
Se poi i server Windows non ricadono sotto la mia responsabilità ancora
meglio :-)
Abe` qui sempre.
--
Sensei <***@mac.com>

The optimist thinks this is the best of all possible worlds.
The pessimist fears it is true. [J. Robert Oppenheimer]
THe_ZiPMaN
2006-04-28 19:30:38 UTC
Permalink
Post by Sensei
Ho evitato AD, e t'assicuro che nulla di AD e` strabiliante a tal punto
da non potersi fare con sw a basso costo (gratis) che sono
ultra-necessari in ambiti universitari dove 100 euro sono una grande
spesa alcune volte.
Il problema è che 100 euro in ambiente lavorativo sono una cazzabubbola.

Se perdo due ore di tempo per far andare qualcosa, ho già buttato più
dei 100 euro risparmiati, e ti assicuro che per mettere in piedi una
macchina con Samba e istruire l'utonto di turno per gestirla ti costa
ben più di quanto spendi in licenza.

In un'azienda, dal punto di vista della gestione del S.I., AD si ripaga
già a partire dai 10 utenti.

Se poi i server Windows non ricadono sotto la mia responsabilità ancora
meglio :-)
--
Flavio Visentin

Membro del CICAP
Comitato Italiano per il Controllo delle Affermazioni di P4
Loading...