winnt: Re: Pytanie o Active Directory

Autor: RadosĹaw SokĂłĹ <Radoslaw.Sokol_at_polsl.pl>
Data: Fri 22 Apr 2005 - 11:22:00 MET DST
Message-ID: <d4afnp$l3m$1@polsl.gliwice.pl>
Content-Type: text/plain; charset=UTF-8; format=flowed

Franc napisaĹ(a):
> No wlasnie tak jest. Czy wtedy, po jednorazowym przeniesieniu zasobow,
> najlepiej (prosciej, logiczniej?) tworzy sie katalogi poszczegolnych
> uzytkownikow sie je juz potem przydziela odpowiednim uzytkownikom w domenie?

Przyznam, Ĺźe nie rozumiem, co powyĹźej napisaĹeĹ ;)

W AD moĹźesz dalej udostÄpniaÄ zasoby na stacjach
roboczych czy tworzyÄ osobne zasoby na serwerze nie
zwiÄzane z konkretnym uĹźytkownikiem. AD zmienia
jedynie to, Ĺźe konta uĹźytkownikĂłw sÄ scentralizowane.

Warto trzymaÄ jednak wszystkie zasoby na serwerze
-- Ĺatwiej zarzÄdzaÄ bezpieczeĹstwem takiego magazynu
(ustalanie praw dostÄpu, tworzenie kopii zapasowych).

JeĹźeli takich "udostÄpnieĹ" masz duĹźo, moĹźe lepszym roz-
wiÄzaniem bÄdzie szybkie i hurtowe przeniesienie wszystkich
kont i zasobĂłw na maszynÄ, ktĂłra ma byÄ kontrolerem AD
(musi byÄ tak dobrana, by nie padĹa pod obciÄĹźeniem --
w zasadzie serwer plikĂłw powinien byÄ osobnym komputerem,
ale przy 100 userach jedna szybka maszyna powinna sobie
poradziÄ).

> I jeszcze jedno. Na czym polega wieksze bezpieczenstwo pracy w domenie niz z
> wykorzystaniem grup roboczych?

Na tym, Ĺźe konta uĹźytkownikĂłw sÄ zarzÄdzane centralnie miÄdzy
innymi. Na maszynach nie masz osobnych kont, nikt nie ma praw
administratora (poza wyjÄtkowymi przypadkami i wtedy tylko
lokalnie na konkretnej maszynie). Ludzie nie wepnÄ siÄ
dowolnym komputerem do domeny nie znajÄc hasĹa administra-
tora domeny. Komputery same siÄ katalogujÄ przez DHCP/DNS.
MoĹźesz narzucaÄ polisy odgĂłrnie na poszczegĂłlne maszyny
oraz na pojedynczych uĹźytkownikĂłw. Po prostu niebo a
ziemia, a to tylko czÄĹÄ moĹźliwoĹci.

Tylko Ĺźeby to wszystko dziaĹaĹo, musisz wymusiÄ na uĹźytko-
wnikach, Ĺźeby korzystali z nadanych im ograniczonych kont.
To czasem budzi opĂłr po miesiÄcach czy latach pracy na
koncie admina z prawami robienia wszystkiego i instalo-
wania wszystkiego. Poza tym musisz posiedzieÄ dĹugo nad
polisami i poustawiaÄ je tak, Ĺźeby poobcinaÄ dostÄp do
narzÄdzi i opcji, ktĂłrych ludzie mieÄ nie mogÄ.

-- 
|""""""""""""""""""""""""""""""""""""""""""""""""""""""""""|
| RadosĹaw SokĂłĹ  |  mailto:Radoslaw.Sokol@polsl.pl        |
|                 |  Administrator systemĂłw komputerowych  |
\................... Politechnika ĹlÄska w Gliwicach, RE ../

Received on Fri Apr 22 11:25:14 2005

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 22 Apr 2005 - 11:42:07 MET DST