AbcLinuxu:/ Poradna / Linuxová poradna / Samba, Windows XP a 7 na základní škole bez domény

Štítky: domény, Google, hesla, heslo, Samba, server, sítě, software, Windows

Dotaz: Samba, Windows XP a 7 na základní škole bez domény

1.9.2010 08:04 Jindra_S
Samba, Windows XP a 7 na základní škole bez domény

Přečteno: 2778×

Odpovědět | Admin

Dobré ráno, dělám správce na ZŠ. File server je postaven na Debianu a Sambě, stanice jsou Windows 98 (výjimečně) a Windows XP (většina). Do této chvíle jsem sambou simuloval doménu a celkem to fungovalo (celkem = občas problémy s profily, s nastavením aplikací apod. V podstatě výhod domény (cestovní profily apod.) nikdo nepoužíval, spíše naopak to přinášelo věčné problémy s nastavováním tiskáren, sjednocováním profilů pro dětičky apod.). Kámen úrazů jsou Windows7, které mi nyní do sítě přibyly a nejdou lehce zapojit do domény (je potřeba upgradovat sambu o kus výše, mimo oficiální stable Debianu, nastavit nějaké parametry ve Windowsech, pohrát si s nastavením samby). Nejde mi o radu, jak je připojit do domény (nešťastlivců jako já je dost, odpovědi google hledá v kvantech), ale způsob, jak doménu vůbec nepoužívat, pro její neznámý přínos. Napadalo mně následující řešení: - Windows stanice s plnými právy bez přihlašovacího dialogu (obnovu stroje mám zvládnutou, i když žáci konfiguraci rozdrbou, je to otázka 10 minut běhu Norton ghosta) - Nějaké dialogové okno, které po startu windowsů dovolí zadat jméno a heslo a napojí síťové disky dle zadaného jména a hesla.

Zatím mé snahy ztroskotaly na neexistenci software pro to dialogové okno. A možná existuje ještě jiné, elegantnější řešení - neznáte ho?

Nástroje: Začni sledovat (1) ?

Odpovědi

1.9.2010 08:49 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Elegantnější řešení je použít přihlášení do domény. Vymýšlet, jak realizovat přihlášení do domény bez přihlášení do domény mi nepřipadá rozumné.

Jinak ta komponenta, která ve Windows realizuje přihlášení uživatele, se jmenuje GINA a existují i jiné implementace, než ta pro přihlášení do domény Windows (třeba pro přihlášení k síti Novell). Ale podle mne se zprovozněním budete mít stejně práce, jako se zprovozněním domény.

1.9.2010 11:28 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Já právě chci doménu úplně odstranit - prostě jen připojit síťové disky a nastavit oprávnění podle jména a hesla. Doména je/byla opravdu nutné zlo a rád bych se ji zbavil. Takže dotaz je jak se připojit k sambě bez domény a autorizaci udělat nějak rozumně.

Nehledě na to, že kvůli doméně se musí kupovat Proffesional edice Windows = nemalá částka za ušetřené licence.

1.9.2010 11:37 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Na ten dotaz jsem vám taky odpověděl. Nejrozumnější způsob autorizace je přihlášení k doméně, k hledání méně rozumných způsobů, které prakticky nikdo nepoužívá, jsem vám dal odkaz na Wikipedii, co máte hledat. Jestli si dobře pamatuju, existoval nějaký GINA modul pro autentizaci přes LDAP, určitě existují i další.

1.9.2010 12:20 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Za odpověď a navedení samozřejmě děkuji a omlouvám se, pokud to vyznělo jinak, pouze jsem upřesňoval dotaz. Podívám se ještě a ještě zvážím možnosti, je možné, že nakonec skončím u konfigurace domény. 8-)

1.9.2010 09:05 NN
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Sambu leze preci pouzivat normalne i bez domeny..

1.9.2010 12:22 alanos | skóre: 24 | blog: alanos
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

U sebe domenu nemám , v průzkumníkovi má uživatel připojenou siťovou jednotku která je na samba serveru , pokud k ní nemá práva nepřipojí se. Šmytec a je to bez domény. Klienti nemájí admin práva tudíž ani nemohou nic měnit./klineti v siti WIN98 /1ks/, WIN2000/1ks/, XP /moc/, VISTY/1 ks ,hnus nejvetsiho zrna/ , WIN7 /1ks/.

30.9.2010 18:36 Zdeněk
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Mám na to úplně stejný názor a používám to ve škole stejně.

1.9.2010 13:24 geon | skóre: 18 | blog: bavaria
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Nevím, jestli jsem správně pochopil, ale já to mám tak, že doménu nemám, v Po spuštění mám baták, která dělá net use h: \\server\sdileni /SAVCRED a některé další věci (moje vlastní aktualizační řešení - hromadné kopírování, registry, tiché instalace, ...)

Poprvé při spuštění batáku si to řekne o jmeno a heslo a pak již nikdy, takže uživatel ani neví, že tam něco takového je.

1.9.2010 14:33 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

To je přesně ono, takhle to mám na druhé spravované lokalitě - jenže tam se nestřídají uživatelé a dá se použít tato autorizace "na počítač" Chtělo by to ještě to dialogové okno. Zatím jsem našel aplikaci MyLogon ( http://www.iwrconsultancy.co.uk/mylogon/ ) - tak jí dneska vyzkouším.

1.9.2010 15:51 geon | skóre: 18 | blog: bavaria
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

to vypadá zajímavě. Dost by mi zajímalo, jak se tam spouští MyLogonScript, jestli mají ošetřenou nepřerušitelnost nebo je to hidden proces. Protože já něco takového mám udělané a na w7 bojuji s tím, že to uživatelé zavírají, protože můj cmdow.exe na w7 nefunguje :-(

1.9.2010 21:28 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Mně spíše zní zajímavě ta utilitka - to je něco pro Windows XP a nižší? Dá se to někde otestovat? Proč je tam třeba to riziko zavírání? Mám za to, že stačí pouze připojit disky a skončit. A pak maximálně kliknout podruhé na odhlášení.

2.9.2010 13:29 geon | skóre: 18 | blog: bavaria
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Na pomalých strojích stihnou netrpěliví uživatelé okno zavřít ještě i před připojením disků ;-)

Ale to se mi stává málokdy, spíše se mi stávalo, že mi to zavíraly v době, když již běžela moje aktualizační utilitka. Je to obyčejný script v Pythonu, který prohledává síťový adresář s různými dávkami a pokud zjistí, že na dané mašině tak které dávka ještě neproběhla, tak ji spustí. Podobně to dělá i pro každého uživatele - také adresář s dávkami a pokud to pod daným uživatelem neproběhlo, tak se spustí. Využívám, jak jsem psal, na kopírování, zálohování, zápisy do registrů, tiché instalace, apod. Nikomu jsem to zatím neukazoval, trochu to vyladím a okomentuji a někam to dám.

2.9.2010 13:38 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Pro řešení skriptu na aktualizace se lze inspirovat OSS projektem WPKG. Mají to řešené tak, že po startu systému se zobrazí zvláštní dialog s informacemi o průběhu instalace, a systémové přihlašovací okno se zobrazí až po skončení aktualizací.

2.9.2010 14:11 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Okno se da zavrit, kdyz je cim, seber jim krizek a menu a od vetsiny bude pokoj :-)

3.9.2010 09:49 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Předem, bo mám N notebooků s 'HOME' edicemi Windows v síti, tak zatím na doménu kašlu, a připojuji disky rúčo baťákem, který může být klidně přihlašovacím skriptem. Podobné řešení jako vy jsem chtěl implementovat, ale bohudík všechny víceuživatelské jednoprofilové PC mám pod linuxem, takže jsem v pohodě a ani nevím jak bych to řešil v multijazyčném prostředí (Cz, En, Es, De, Hu, Ru) - tedy vím, ale to by bylo peněz za „Ultimate“.

K tématu, stačí Vám jeden dialog který se dotáže na jméno a heslo, a předá jej universálnímu baťáku jako dva parametry a přes NET USE to připojíte - to lze udělat během ½ hodiny, nebo jak je zde již uvedená hezká utilitka.

Nicméně:
<joke>
»Správně« by jste to měl udělat scriptovacími vyspělýmí technologiemi M$, aby to bylo čisté:

 Dim objIE
 Set objIE = CreateObject( "InternetExplorer.Application" )
 objIE.Navigate "about:blank"
 objIE.Document.Title = "Password"
 objIE.ToolBar        = False
 objIE.Resizable      = False
 objIE.StatusBar      = False
 objIE.Width          = 320
 objIE.Height         = 250

 With objIE.Document.ParentWindow.Screen
     objIE.Left = (.AvailWidth  - objIE.Width ) \ 2
     objIE.Top  = (.Availheight - objIE.Height) \ 2
 End With

 Do While objIE.Busy
     WScript.Sleep 200
 Loop

 objIE.Document.Body.InnerHTML = "<DIV align=""center""><P>" & "Prihlas se" _
                               & "</P>" & vbCrLf _
                               & "<P><INPUT TYPE=""text"" SIZE=""20"" " _
                               & "ID=""Username""></P>" & vbCrLf _
                               & "<P><INPUT TYPE=""password"" SIZE=""20"" " _
                               & "ID=""Password""></P>" & vbCrLf _
                               & "<P><INPUT TYPE=""hidden"" ID=""OK"" " _
                               & "NAME=""OK"" VALUE=""0"">" _
                               & "<INPUT TYPE=""submit"" VALUE="" OK "" " _
                               & "OnClick=""VBScript:OK.Value=1""></P></DIV>"
 ' Make the window visible
 objIE.Visible = True
 ' Wait till the OK button has been clicked
 Do While objIE.Document.All.OK.Value = 0
     WScript.Sleep 200
 Loop
 Dim passwd
 Dim usrnm
 usrnm = objIE.Document.All.Username.Value
 passwd = objIE.Document.All.Password.Value
 objIE.Quit
 Set objIE = Nothing


WScript.Echo "Uziv: " & usrnm & " Heslo: " & passwd
'Misto tohoto se da pripojit disk pomoci

'Dim objNetwork, strDriveLetter, strHomeServer
'strDriveLetter = "S:"
'strHomeServer = "\\server\home\"
'
'Set objNetwork = CreateObject("WScript.Network")
'strUserName =objNetwork.UserName
'objNetwork.MapNetworkDrive strDriveLetter, strHomeServer, usrnm, passwd

PS: vlastní připojení je zakomentované a neodzkoušené - jen to zobrazí jméno a heslo :)
</joke>

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

1.9.2010 13:28 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Takhle jsem taky kdysi uvažoval - mít pro všechny 1 Windows účet a profil. Při přihlášení nějakým dialogem potom zadat jméno a heslo a připojit síťové disky. Přesně takhle funguje Novell Netware klient. Má to určité výhody, problém je (nemusí to být ale vždy na škodu) to společné nastavení - zrovna ve škole pak pokaždé řešíte nastavené bílé písmo na bílém pozadí a podobné vychytávky od nudících se uživatelů.

Žádný hotový nástroj jsem na to nenašel, ale nebyl by vůbec problém si na takový dialog udělat skript např. ve Visual Basic Scriptu (.vbs). Spustil by se po přihlášení "univerzálního účtu", který by byl bez hesla, a po zadání login+heslo by se připojily definované síťové disky. Po skončení práce by se každý normálně odhlásil. Rozhodně bych ten účet nedělal s administrátroskými právy. Naprostou většinu aplikací jde dnes používat pod uživatelským účtem, který moc škody udělat nemůže. Nemusí se pak nahrávat celý image disku, ale stačí nahrát zálohu toho profilu do C:\Documents and Settings. Dokonce MS dodává nějaký nástroj "Shared Computer tolkit", který umí změny po restartu vrátit zpět.

Ale i ta doména se dá provozovat bez větších problémů, a využít její výhody. A to i ve škole, kde může určitá část uživatelů z nudy "škodit". Jde např. využít v určitých případech pro doménové uživatele lokální profily, které se nekopírují ze serveru, a lze se případně přihlásit i bez dostupnosti doménového serveru. Něco lze řešit pomocí tzv. povinných profilů (mandatory profile), do kterých se neukládají změny, a lze je mít pro více uživatelů společné.

Věci jako tiskárny a společné změny nastavení elegantně řeší logon skripty. Pomocí nich lze udělat hodně věcí, ale je třeba si s tím pohrát. I ve Windows lze všechna nastavení a změny skriptovat, jen je někdy problém se slabší dokumentací těch nástrojů.

1.9.2010 17:15 f.
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

http://www.pgina.org http://www.pgina.org/index.php/Plugins

Pokud bezite POP3/IMAP, tak navazete overovani proti POP3/IMAP a mate vystarano. Otestovane to mam proti LDAPu. V konfiguraci pginy si nastavite jake disky chcete pripojit pri prihlaseni. Pokud chcete aby se profil smazal po kazdem odhlaseni uzivatele, tak musite pouzit posledni 2.0 build, protoze posledni verze ma bug a profil nemaze (alespon ne vzdy). Udelate ikony pod default userem, ktery se uzivateli pri prihlaseni vzdy nakopiruje, pgina pripoji disky a hotovo. Problem muze nastat pokud je uzivatel prihlasen a vypadne elektrina anebo pocitac natvrdo vypne. Pak zustane profil i uzivatel vytvoren a muze to udelat problem pri znovu prihlaseni uzivatele, pod kterym tato udalost nastala.

1.9.2010 17:29 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Z dotazu jsem pochopil, že autor chce mít pro všechny "síťové" uživatele jednoho "lokálního" a tedy pořád stejný 1 profil. Takto se chová např. Netware klient. Pgina je takový hybrid mezi tímto a doménou. Spíš se chová stejně jako doména s lokálními profily.

1.9.2010 21:38 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Ano, 1 lokální, mnoho síťových to je IMHO ideální řešení. Nicméně z popisu vyplývá, že Pgina by vždy kopírovala defaultní lokální profil a pak ho mazala, což je sice zbytečné, ale je to zatím nejblíže mému požadavku. Mimochodem - rozdíl mezi Winy Homy a Proffesionals jsou skoro 1800Kč na jednu instalaci - to je jeden - dva PC do učebny navíc na každých 10 strojů! Jak to, že podobný problém už neřeší někdo přede mnou? 8-)

1.9.2010 21:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Protože to vaše „ideální“ řešení znamená, že všichni ve škole používají vlastně jeden účet, přes který se lze dostat i k těm síťovým datům ostatních (stačí si počkat, až se přihlásí). Studenti a učitelé dohromady… Málokdo asi považuje něco takového za použitelný stav.

1.9.2010 22:51 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Hmm, tomuhle nerozumím nebo mi něco nedošlo. Proč by se měli dostat k síťovým datům někoho jiného? Vždyť disk lze připojit bez toho, aniž by si příště pamatoval heslo => uživatel bude muset heslo a jméno zadat vždy po startu windows. Čili každý uživatel sám za sebe - tak jako kdysi na Win98 a (pravděpodobně) jako u Nowell klienta.

1.9.2010 23:00 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Novell klient nahrazoval GINA knihovnu a předpokládám, že různí Novell uživatelé pak byli různí uživatelé i z pohledu Windows.

Pokud je to pořád stejý lokálí uživatel, může si třeba do registru vložit záznam o automatickém spuštění programu. Ten se pak spustí i při přihlášení dalšího uživatele – a stačí, aby si ten program počkal na to, až si třeba učitel připojí síťové disky.

1.9.2010 23:37 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Já viděl Novell v několika nasazeních a vždy se po zadání login+password do Novellu objevil zjednodušený dialog pro Windows - předvyplněný nějakým účtem a heslem, takže stačilo odkliknout. V tom prvním Novell dialogu byla myslím i volba, aby se tenhle pomocný dialog přeskočil. Možná to šlo i jinak, ale takhle jsem to viděl na různých místech. Jednu dobu jsem tohle řešení považoval za ideální (pro určité nasazení, třeba ve škole), ale výhody Windows domény převážily, když člověk zjistí co a jak udělat. Ono když se používá třeba takový AutoCAD, u kterého je nastavení v profilu, a je dost složité, tak se hodí mít ho pro každého uživatele zvlášť. Při společném nasavení pak různí chytráci začnou nastavovat naschvál nesmysly jako černý kurzor na černém pozadí. Možnost je vždy při přihlášení načíst "čisté" prostředí, ale to je k vzteku, když si člověk musí pokaždé všechno nastavení upravovat znovu.

Ten vytoužený program může být triviální skript třeba ve VBS (možná by stačil i cmd.exe). Nastaví se mu spuštění při přihlášení, síťové disky budse připojovat v režimu "neukládej heslo, při příštím přihlášení nepřipojovat", po ukončení práce se uživatel odhlásí, a je to.

Složitější řešení na bázi GINA by bylo nutné, pokud bychom chtěli zajistit, aby se nedalo pracovat bez zadání správného jména a hesla pro síťové disky. Tj. ten dialog by nějak musel blokovat spouštění dalších programů, zobrazení plochy apod. Takový požadavek tu ale nevidím, a myslím, že to není ani cílem.

2.9.2010 07:48 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

K výhodám domény - aby to zase nevyznělo špatně. Ano, pokud máte různé profily a osobní nastavení, je to perfektní a přináší to pozitiva. Na ZŠ se potýkám s tím, že všem žákům chci nastavit stejné prostředí a občas ho kompletně obnovovat pro všechny - a v tom jsou profily bohužel překážkou.

2.9.2010 11:38 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Tak můžete použít ten povinný (mandatory) profil. Připravit si odladěné prostředí, NTUSER.DAT přejmenovat na NTUSER.MAN, a v smb.conf pomocí proměnných nastavit pro konkrétní počítače tento profil tak, že se aplikuje pro všechny uživatele. Právě tak jsem to použil na jedné základní škole. Dokonce pro účel spouštění výukových programů nebyly třeba ani žádné uživatelské disky, takže na to byl 1 univerzální účet s NTUSER.MAN. Když ten účet má jen "user" práva, je to skutečně nezničitelné. Měl jsem takhle 15 PC s Windows 2000 dokonce bez antiviru (byl na HTTP proxy), a běželo to 3 roky bez jediného problému.

Nebo lze "obnovu" profilu do nějakého výchozího stavu řešit prostým rozkopírováním pomocí skriptu do adresářů "profile" v ~ každého uživatele. Hodně problémů lze řešit skriptováním na straně linuxu. Já takhle třeba mažu všem bordel, který se kumuluje v některých adresářích cestovního profilu.

2.9.2010 11:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Pro úpravu profilů je pak možné použít skupinové politiky, kdy se po přihlášení aplikují změny v registrech. Pokud si ale dobře pamatuju, rozchodit to na Sambě nebylo jednoduché, ale možná už se to změnilo.

2.9.2010 12:13 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Samba 3 se chová jako Microsoft NT doména, kde jsou možnosti politik velmi omezené. Vůbec nemá smysl se tím zabývat, protože v případě Samby to pořádně nefunguje a je to silná magie.

Lepší možnosti poskytuje Active Directory, jehož ekvivalent má být Samba 4. Poslední dobou to vypadá, že už je to celkem funkční, ale pokud s tím někdo nechce trávit týdny studia a noci bez spánku, tak bych to zatím k nasazení nedoporučil.

Ty politiky jsou v podstatě jen šablony na úpravu regirtrů, i když mocné a snadno použitelné. S určitým úsilím lze všechno řešit v rámci přihlašovacího skriptu, který na Sambě samozřejmě funguje, a který může dělat úpravy registrů, spouštět libovolné pomocné programy, kopírovat soubory, ...

5.1.2011 07:39 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Protože jsem měl pár mailů, jak jsem situaci vyřešil, popíšu po čase své řešení + zkušenosti:

Nakonec jsem sedl k Visual Basicu a sepsal jednoduchý prográmek - dialogové okno, které mi po spuštění windows požaduje jméno a heslo, se kterým se program snaží připojit disky ze serveru. Lokální uživatel je administrátor. Odporuje to všem bezpečnostním zásadám na lokálním PC, ale proti doméně to 1,funguje spolehlivě a nemusím mazat profily 2,instalace programu je jednodušší a vím, že všem uživatelům pojede 3,Nastavení plochy, tiskáren - jednotné a funkční 4,Rychlost spuštění je cca 2x rychlejší.

A pár poznámek, byť jsem je tady už uvedl: Toto řešení rozhodně nepovažuji za lepší než správně nakonfigurovanou Sambu a domény v prostředí firmy, ale pro účely a zvyky na ZŠ to vyhovuje a po pár měsících provozu s tím nebyly problémy.

2.9.2010 11:19 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Já viděl Novell jen v pár nasazeních, ale vždy se přihlašovalo jenom jménem a heslem do Novellu, žádný druhý dialog tam nebyl. Takže asi existují obě varianty.

2.9.2010 07:44 Jindra_S
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

V tomto způsobu hacku máte samozřejmě pravdu, v tomto bude doména bezpečnější. Bohužel, v současné době školní programy vyžadují dosti silná práva pro lokální stroje, takže díry k hacku by se našly i zde (Jeden software (zábavná matematika?) vyžadoval zápis a mazání v adresáři Windows). Možná podceňuji žáky a učitele na ZŠ, ale myslím, že rychlejší sehnání hesla od disků by získali například odkoukáním hesla.

2.9.2010 11:24 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Mnohem víc, než záměru, bych se bál chyby – jeden student si stáhne nějaký vir, a za chvíli ho máte všude, i na síti. Se školním software, který by vyžadoval taková práva, jsem se naštěstí nesetkal. Vždy jsem se snažil mít síť nastavenou tak, ať si student klidně sám zaviruje nebo zničí svůj profil a svoje data na síťovém disku, ale nikdy nesmí mít možnost ovlivnit prostředí někoho jiného, tedy zejména žádné změny na lokální stanici (mimo vlastní profil).

2.9.2010 14:35 f.
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

pGina udela to, ze pri prihlaseni uzivatele overeneho pomoci napr. LDAPu udela tomu uzivateli konto ve windows s vlastnim SID, da ho treba do skupiny USERS, vygeneruje mu profil a pak (pokud se to nastavi) pripoji treba ze SAMBY disky tomu uzivateli - pokud budou vysharovany disky na heslo, tak pouzije heslo, kterym se uzivatel prihlasoval a tak pripoji ty disky. Kdyz se uzivatel odhlasi, odpoji disky, smaze profil, smaze uzivatele. Kdyz se pripoji dalsi uzivatel, vytvori mu konto s vlastnim SID, da ho do skupiny, vygeneruje profil, pripoji disky, pokud jsou na heslo, tak pouzije heslo...a pak smaze vsechno pri odhlaseni. Takze problem, ze se prihlasi jeden uzivatel a pak druhej a ze by se mohli hrabat v sitovych discich, kam ma pristup jenom ten co ma pristup pro svoje konto nenastava. Samozrejme muzeme vest spekulace o tom, jak moc bezpecne je delany prenos hesla pri overovani, kdyz se ty disky ze samby pripojuji a pod. V tom pripade ale muzete zacit uvazovat o nasazeni Kerberos domeny....

2.9.2010 15:49 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Já jsem ale psal právě o případu, kdy se nepoužije GINA ave Windows jsou všichi přihlášeni pod jedním uživatelem.

1.10.2010 01:00 Zvedavec
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Vim, ze je to starsi vlakno, nahodou jsem na nej narazil, ale neodpustim si poznamku - cele je to o skrabani se pravou rukou za levym uchem. Na taliri lezi resenim, ktere velmi elegantne, spolehlive a pomerne jednoduse obslouzi, nastavi, zupdatuje win stanice vcetne uzivatelu, ve skole navic za relativne zanedbatelny peniz, coz je Win server + AD, jak nekdo vzpominal a vy budete hodiny a mozna dny sveho zivota travit nad jak to udelat "sloziteji". Pochopim vetsi pocet Linuxovych stanic, pak jo, ale jestlize je vicemene cele skola na windowsech...

1.10.2010 01:31 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Staré vlákno, ale už bylo vytaženo, tak zareaguji. AD oproti Sambě (pokud ji už člověk dostatečně zná, a nemusí trávit dlouhé noci laděním) nemusí být nějak zásadní výhoda. Jediné, co stojí za řeč jsou Group Policy + naklikatelnost všech věcí. Updaty softwaru jsou špatný vtip - Windows Update lze pohodlně udělat i bez AD a ostatní SW lze instalovat jen přes MSI, to už je lepší udělat si vlastní skript, nebo použít WPKG.

Cena pro školu skutečně není zásadně rozhodující, licence CAL i serveru jsou relativně levné. Mám Samba doménu ve škole pro nějakých 150 PC, a žádnou funkcionalitu nepostrádám. Z Group Policy nevím, co by mi nějak zásadně pomohlo, a nešlo velice snadno řešit jinak. Naopak na Sambě oceňuji absolutní stabilitu, spolehlivost a "průhlednost". Ne náhodou jsou k vidění instalace o mnoha tisících PC, kde AD je využita čistě pro integraci s externím Kerberosem, a vše ostatní včetně fileserverů se řeší jinak.

Poznámka nakonec - jak Sambě/Linuxu, tak AD je potřeba pro spolehlivé nasazení celkem dobře rozumět. Na Windows Serveru vše nakliká i někdo, kdo o tom skoro nic neví. Jenže to je spíš na škodu - velice pravděpodobně s tím budou neustálé problémy a dokonverguje to k neopravitelnému stavu. Takových scénářů už jsem viděl několik. Takže je to na preferenci správce - co už umí, nebo co se chce naučit. Dokumentace a dostupné materiály k AD jsou asi lepší, Samba vyžaduje trochu víc experimentování. Druhá, a velmi významná, část práce ale spočívá v konfiguraci stanic (často pomocí určité magie) aby v doménovém prostředí vše fungovalo OK a nevznikaly nevysvětlitelné situace. Např. všude důsledně zakázat nástroj "Soboury offline", jehož funkcionalita je převážně destruktivní.

1.10.2010 01:55 Zvedavec
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Moment, netvrdim, ze to nejde. Jen to muze byt jednodussi, zejmena kdyz vidim ty snahy o "univerzalni" ucet, ktery univerzalni neni. Co se tyka aktualizaci, myslel jsem WSUS a update win, ktery samozrejme jde pouzit i bez domeny, nicmene s ni je to zase jednodusi. GPO jsou opet vyhodnejsi s domenou. Vzhledem k tomu, ze jste odbornik na domenu a nastaveni stanic, predpokladam, ze veta "Např. všude důsledně zakázat nástroj "Soboury offline", jehož funkcionalita je převážně destruktivní." byla pouze ilustrativni, neb to zaridi prave velmi snadno a jednoduse nastaveni v GPO na serveru. Jinak diky GPO moc nevysvetlitelnych situaci nepozoruju a o magii bych taky nemluvil. Pokud (jak spravne pisete) vite, co mate kde a proc nastavit, neni magie treba. Jinak kvuli serveru samotnemu pochopitelne domena ve skole tak nutna neni (a uz je jedno jestli Linuxova nebo Windowsova), ale jde prave o ty stanice a uzivatele. Momentalne mam ve dvou domenach asi 180PC + 700 lidi a rozhodne to nejaka traga neni.

1.10.2010 02:01 Zvedavec
Rozbalit Rozbalit vše Re: Samba, Windows XP a 7 na základní škole bez domény

Mimochodem: "Lepší možnosti poskytuje Active Directory, jehož ekvivalent má být Samba 4. Poslední dobou to vypadá, že už je to celkem funkční, ale pokud s tím někdo nechce trávit týdny studia a noci bez spánku, tak bych to zatím k nasazení nedoporučil. Ty politiky jsou v podstatě jen šablony na úpravu regirtrů, i když mocné a snadno použitelné. S určitým úsilím lze všechno řešit v rámci přihlašovacího skriptu, který na Sambě samozřejmě funguje, a který může dělat úpravy registrů, spouštět libovolné pomocné programy, kopírovat soubory, ..."

Nevim, ale myslim, ze nejsme az tak ve pri.

Založit nové vlákno • Nahoru

Tiskni Sdílej: