Dotaz: Bezpečnostná politika v doméne

Co se tyka security fixu, tak tam je to snad jasny. V unixi to distribuce resi za tebe pro veskery nainstalovany software. A udelat neco podobnyho na windows by bylo velmi, velmi slozite. Pokud se mylim, budu rad, kdyz me nekdo orpavi.
A zbytku otazky nerozumim :)

Doménou je předpokládám myšlena doména MS Windows. Samba na Linuxu umožňuje chovat se téměř jako plnohodnotný NT 4.0 server, AD neumí. Tzn. bezpečnostní politika vám dovolí nastavit to, co vám dovolil nastavit NT 4.0 server.

Osobne bych nevolil MS SBS pro firmu s peti pocitaci s Win. XP bez perspektivy dalsiho nakupu pocitacu. Kdyby se jednalo o firmu s dvaceti pocitaci, tak bych se ptal, jake serverove aplikace budu potrebovat a k cemu me budou nutit dodavatele. Pokud bude nejoptimalnejsi informacni system pro vasi firmu behat pouze na MS SQL, tak asi neni co resit. Pokud je vam filosofie spravy MS systemu blizsi, nez filosofie Linuxu, tak se do Linuxu nenutte. Pokud jsou Windows XP na pracovnich stanicich jedinym pouzivanym systemem ve firme, pak je pro ne MS SBS vic optimalizovan, nez jakykoliv Linux. Nicmene, kdybych byl ja postaven pred podobnou otazku a nevedel z dalsich pozadavku, co je optimalni, tak bych zacal na Linuxu a teprve kdyz bych prisel na to, ze mi nevyhovuje, tak bych nasadil reseni od MS. V kazdem pripade nedoporucuji prilisny optimismus ani v jednom z obou reseni. U MS mi vzdy nektere funkce, ktere jsem potreboval, bud chybely nebo fungovaly jinak a nebylo jednoduche/neslo je dodelat. U Linuxu vas obcas rozbehani funkci, ktere mate v MS SMS nachystane na par kliknuti, stoji docela dost casu. Nejlepsi je mit k dispozici oba systemy a optimalne je vyuzivat.

Muzete zkusit pouzit iPlanet Directory server, Red Hat Directory server nebo Fedora directory server...

Je dulezite rict o jake pocty PC a serveru se jedna. Musite si uvedomit, ze domeny windows pomoci AD jsou urcene pro spravu mnoho serveru a uzivatelu. Bohuzel se stale casteji setkavam s tim, ze mala firmicka s 10 PC ma server ktery pouziva AD, protoze jim to nejaky chlapik z nejmenovane IT spolecnosti vnutil. (Horsi priklad je kdyz, linuxovy fanda tuto firmicku resi pomoci Samby a cpe tam i AD, protoze si mysli, ze to tak ma byt) Proc? protoze on potrebuje vydelat a proc to delat jednoduse, kdyz to jde slozite a uzivatel to zaplati. Muzete mi rict jedinou smysluplnou vlastnost pro pouziti Domen pomoci AD ve firme s 50 PC? - mluvite o SBS takze jste asi mala firma. SBS je opravdu balik programu za docela dobrou cenu, ale musite si uvedomit, ze ma i sve omezeni, co se tyka poctu klientu a hlavne jak je napr. omezeny SQL server co se tyka vyuziti RAM a velikosti databaze.

Jak vypada bezna firma do 100PC? - uvedu muj priklad

Router + firewall: Linuxova distribuce k tomu urcena (proc vymyslet znovu kolo) - u mne IPCop

File server: protoze desktopy jsou vetsinou Windows, tak Samba BEZ DOMENY (security=user) - jmena a hesla uzivatelu ulozena v /etc/password. Ono i pouziti LDAP nema moc smysl - proc si komplikovat zivot.

SQL server - u nas musi byt kvuli ekonomickemu systemu MS SQL server. Bezi na nem MS SBS 2000 - to SBS je nainstalovano tak ze jsou tam jen hola Windows + SQL server - funkce SBS se nepouzivaji. Uzivatelske ucty ve windows nejsou - uzivatele jsou nadefinovani jen v databazich. Protoze v soucasne dobe chystame upgrade hardware tohoto serveru ktery ma 2x dual core a 8GB RAM, tak musime prejit na pravy Windows server + pravy SQL server, protoze SBS ma limity ve velikosti pouzite RAM (jen 2GB), velikosti databaze (mame uz jednu databazi vetsi nez 1GB - SBS podporuje snad max. 2GB?) a mozna i poctu procesoru. SBS tam bylo proto, ze financne to bylo vyhodne, ale za 3 roky jsme narazili na tyto limity SBS a samordrejme to pekne zaplatime.

Email server: ja jsem porad nazoru, ze tak male mnozstvi uzivatelu nema firma resit svym e-mail servrem, ale vyuzivat server sveho providera, nebo verejne dostupne sluzby.

Desktopy uzivatelu: Win 3.11, 95, 98, 2000, XP, Linux - cca 70PC

SBS umoznuje vsechny tyto zminovane servery (router, file server, SQL, email) sloucit do jednoho. Myslite si ale ze je to vhodne? Ze to bude bezpecne? Jaky smysl ma pouziti AD u tohoto serveru? Jakou bezpecnostni spravu chcete delat u tohoto serveru pomoci AD? Co pouzitim AD ziskate? - vetsi podporu pri zabezpeceni Windows klientu? Hmm, nevim. Jestli mate "zlobive" uzivatele pomoci AD jim v tom moc nezabranite.

JAk jsem psal, domeny pomoci AD jsou nutne pri sprave velkeho poctu uzivatelu a serveru, tam to proste nejde delat jinak a AD je velmi dobrou sluzbou. Ale komplikovat si zivot pouzitim techto technologii ve firme o 50 PC? No nevim.

PS: Linux samozdrejme ma alternativu k AD - viz Novell ZENworks, ale jak rikam pri tomto poctu PC je pouziti techto technologii nesmyslne.

PS2: ja si stejne nedovedu predstavit nasazeni Windows jako file serveru - to jako kazde prvni utery v mesici (nebo kdy Microsoft vydava zaplaty) zavolam 70 lidem stop prestante pracovat, potrebuji nahrat updaty a restartovat server?

Na http://www.sweb.cz/samba/samba/index.htm me zkusenosti se Sambou, stranky jsou sice aktualizovane v roce 2004, ale ja tam fakt nemam co napsat, krome toho, ze server funguje.

Kefalín,a čo vy si představujete pod takým slovom "bezpečnostná politika v doméne"?