Gruppenrichtlinien mit OpenLDAP
Chrissicom 22.10.2009 - 02:39 5100 6
Chrissicom
Rise of the Ryzen
|
Hallo, kennt jemand ein kostenloses Tool mit dem ich Gruppenrichtlinien mit Hilfe von OpenLDAP implementieren kann?
Ich kenne nur ein kostenpflichtiges Tool und das kostet bei mehr als 20 Rechnern mehr als eine Windows Server Lizenz.
Samba4 soll ja vollständig AD kompatibel sein, afaik gibt's davon aber noch keine finale Version und auch kein Releasedatum oder irre ich mich da?
Will paar Sachen mit einem OpenLDAP Server testen. Voraussetzung ist aber, dass alle Teile des Systems kostenlos sind.
|
COLOSSUS
AdministratorGNUltra
|
Ich hab keine Ahnung, was eine "Group Policy" auf technischer Ebene ist, aber so lange man die in einer solchen enthaltenen Daten in ein LDAP-Schema quetschen, in einem LDIF serialisieren und ueber LDAP abfragen kann, dann kann OpenLDAP das natuerlich. Samba 4 wirbt damit, GPOs zu unterstuetzen. An deiner Stelle wuerde ich mich, nach einer kurzen Google-Suche vielleicht, an die Mailinglisten des Projektes wenden. Ein Blick auf http://wiki.samba.org/index.php/Sam..._samba_4_domain hilft vielleicht auch schon ein wenig weiter.
|
nexus_VI
Overnumerousness!
|
Mit Samba3 kannst du scheinbar System Policies implementieren, AD Style GPO wird erst ab Samba4 unterstützt. Ob du dann LDAP als Backend nutzt oder nicht ist mehr oder weniger egal. Siehe: http://wiki.samba.org/index.php/Imp...cies_with_SambaAber ist eine Gruppenrichtlinie nicht eigentlich auf ein .reg File reduzierbar? Das könnte man dann ganz einfach per loginscript verteilen.
|
Chrissicom
Rise of the Ryzen
|
Nein eine Gruppenrichtlinie ist leider nicht auf einen .reg File reduzierbar. Administrative Vorlagen sind im Prinzip nichts anderes als Registry Settings. Wenn es um Sicherheitseinstellungen und ähnliches geht wirds aber schon komplizierter. Werde mich mal im Samba4 Wiki umschauen.
|
COLOSSUS
AdministratorGNUltra
|
Was ist eine Gruppenrichtlinie denn genau? Wie wird die auf dem Server und on the wire dargestellt, wie auf dem Client angewandt?
|
Chrissicom
Rise of the Ryzen
|
Gruppenrichtlinien bestehen aus einer Gruppenrichtlinienvorlage (GPT) die auf der Festplatte gespeichert ist (im SYSVOL\%domain%\Policies\<GUID> Ordner). Dazu gibt es noch den Gruppenrichtliniencontainer (GPC) der in Active Directory gespeichert wird (ntds.dit), selbst aber keine Einstellungen enthält. GPTs sind im wesentlich lesbare .ini Files die man theoretisch auch von Hand editieren kann. Da das aber viel zu kompliziert und unübersichtlich ist, tut man gut daran die Gruppenrichtlinienverwaltungskonsole (gpmc.msc) zu verwenden. Auf dem Client verarbeitet ein Gruppenrichtlinienclient die GPOs. Computerkonfigurationseinstellungen beim hochfahren des Rechners, Benutzerkonfigurationseinstellungen beim anmelden eines Benutzers.
Voraussetzung für einen sinnvollen Einsatz eines OpenLDAP Servers wäre es also, dass ich AD kompatibel GPOs speichern und publizieren kann (d.h. der Gruppenrichtlinienclient der Clients muss die GPOs auch verarbeiten können), außerdem muss ich die GPMC über RSAT (Remote Server Administration Tools) weiter von Windows 7 Clients aus benutzen können, da es wie gesagt keine Option ist Gruppenrichtlinienvorlagen von Hand zu erstellen.
Man sollte außerdem auch wie gewohnt mit gpupdate arbeiten können.
Bearbeitet von Chrissicom am 22.10.2009, 19:15
|
COLOSSUS
AdministratorGNUltra
|
Naja, prinzipiell laesst sich jedes Dateiformat irgendwie auf LDIF (und bijektiv auch wieder zurueck) mappen; die Frage dabei ist halt, wie flexibel sich die Windows-Seite dabei zeigt. Wenn da nicht grade LDAPv3/LDIF ueber die Leitung fliegt, wenn solche Group Policies verteilt werden, dann wirst du wohl nicht viel Glueck haben mit OpenLDAP. Alles eine Frage dessen, ueber welche Schnittstellen die Windows-Verwaltungsinfrastruktur kommuniziert bzw. kommunizieren will/kann.
|
Anmeldung