как перейти с SAMBA на Windows
4844
13
Как перейти с Linux SAMBA (любой версии) на любой Windows домен, без потери информации о пользователях и т.п.?

Т.е. как сохранить SID домена и пользователей при переходе с Samba на Windows?

Там обсуждали, обсуждали, ответа не нашли SysAdmins.ru
nhps
Максим, а не проще ли, если работает - не трогать. ;-)

Хотя лучше напрячь на эту тему Пашу - он же перетащил домен на линух, путь он же и перетаскивает обратно:улыб:
mdv
Максим, а не проще ли, если работает - не трогать. ;-)
Не хватает многих возможностей... но это уже другая тема ... Кстати, установленная на отдельном компьютере SAMBA 3 может, если что, быстро подменить то, что работает...

Хотя лучше напрячь на эту тему Пашу - он же перетащил домен на линух, путь он же и перетаскивает обратно:улыб:
Дело в том, что домен он туда не перетащил, а просто создал новый. И мы бегали и перенастраивали все компьютеры на новый домен... :безум:

Мои планы такие - поставить AD на отдельный компьютер, почистить лишних, насоздавать групп, может быть активно использовать LDAP (записать полную информацию о пользователе...) потом уже, как созрею, может быть перейду на SAMBA 3...
nhps
Каких возможэностей тебе не хватает?
Попробуй просто скрестить ту самбу, что есть с LDAP'ом... я думаю тебе хватит.... а samba3... оно ж бета пока что.

Кстати, а таки как он аргументировал свой переход с винды на линух, без меня же уже было? или это был экшн сродни(я так думаю) твоему планируемуму, под девизом "чем умею - тем рулю"?

В [там где ты работаешь], имхо, ничего особо наворочанного не надо. а секюьрити на файлы прекрасно и самбой раздается...
mdv
Ну вот. Скатились к обсуждению достоинств и недостатков...
Неразрешенные проблемы:
1)Как отключить подключение локальных дисков пользователей в сеансе работы с терминальным сервером? (сейчас это большинство юзеров!)
2)Как в САМБА 2 создать группы пользователей, которые видно через (net groups)?
3)Мне не нравится рулить пользователями из командной строки и лазая по текстовым файлам. Предпочитаю, например, как у Windows... А если еще и LDAP к SAMB'е прикрутить, то совсем не интересно...
4)Та самба, что стоит не поддерживает нормально русские имена файлов. Например, 'я' и еще что-то...

Переход с винды на линух был аргументирован, мол винда глючит, тормозит, а там столько возможностей... как выяснилось не все так здорово.

Права на файлы, лежащие на самбе раздавать может только админ, рулящий самбой. Это недоступно обычному юзеру, желающему самостоятельно раздавать права на свои файлы.

Итог всему, в настоящее время администрировать под линуксом получается дольше, чем под виндой.

Все-таки меня интересует subj.
В [том месте, где я раньше работал] в одном из мест стоит Windows Adv Server Active Directory на P200MMX и не требует к себе внимания и не тормозит, не глючит, админов не загружает...
nhps
Как отключить подключение локальных дисков пользователей в сеансе работы с терминальным сервером?
на терминальном сервере:
terminal server connection configuration ->
ica-tcp (например) ->
client settings ->
connect client drives at logon выключить.
а чем это плохо собственно?
hidden
на терминальном сервере: [...] а чем это плохо собственно?
Немного неточно сформулировал вопрос. Выключить нужно не всем, а некоторым...
Плохо тем, что часто пользователь из кучи дисков не может найти свой. А так у него будут только локальные и один сетевой, куда и можно сохранить данные...
nhps
Ну вот. Скатились к обсуждению достоинств и недостатков...
неее, не про достоинства/недостатки, а про вечную народно-профессиональную мудрость "работает - не трогай" А еще про протребности/возможности.
Я вполне представляю IT-потребности в сетевых сервисах в $your_work
Неразрешенные проблемы:
1)Как отключить подключение локальных дисков пользователей в сеансе работы с терминальным сервером? (сейчас это большинство юзеров!)
1) Start->programs->administrative tools->terminal services configuration->$used_protocol->>Clent Settings. Ага.
2) RTFM(RTFH) F1->Search('connect client drives at logon terminal') и читать, читать, читать...
3) Книжку в зубы. :-) У вас же там топ-книга под рукой.
2)Как в САМБА 2 создать группы пользователей, которые видно через (net groups)?
=== console dump begin ===
C:\>net groups
This command can be used only on a Windows 2000 Domain Controller.

More help is available by typing NET HELPMSG 3515.


C:\>net helpmsg 3515

This command can be used only on a Windows 2000 Domain Controller.


EXPLANATION

This command can be used only on a Windows NT Server system.

ACTION

Redo the operation on a Windows NT Server system.
=== console dump end ===

Отсюда понимаем бессмысленость вопроса:улыб:
под линухом группы смотрятся через `cat /etc/group`
3)Мне не нравится рулить пользователями из командной строки и лазая по текстовым файлам. Предпочитаю, например, как у Windows... А если еще и LDAP к SAMB'е прикрутить, то совсем не интересно...
В курсе, что там не обязательно шариться по текстовым конфигам и юзать коммандную строку(хотя это _очень_ удобно)?
Есть такой инерфейс руления системой как linuxconf, к которому есть апплет userconf, очень удобная вещь. если поставить X и vnc-server на машину с самбой, то я думаю, что ты сможешь и как в винде рулить юзерами и группами.
4)Та самба, что стоит не поддерживает нормально русские имена файлов. Например, 'я' и еще что-то...
эээ... версию самбы в студию.... 2.2.5 и 2.2.7 - прекрасно все понимают... апгрейд версии - дело 30 минут, включая выкачивание.
Переход с винды на линух был аргументирован, мол винда глючит, тормозит, а там столько возможностей... как выяснилось не все так здорово.
на месте СВС я бы паше за эту акцию пистона вставил:улыб:акция была под девизом "чем умею - тем рулю" походу.... мдя.
Права на файлы, лежащие на самбе раздавать может только админ, рулящий самбой. Это недоступно обычному юзеру, желающему самостоятельно раздавать права на свои файлы.
man smbconf, ага. и до просветления. на тему nt acl.
я делал так, чтобы можно рулить было... но конфиги той самбы канули в лету.
Итог всему, в настоящее время администрировать под линуксом получается дольше, чем под виндой.
Это просто вопрос привычки... в линухе несколько иная парадигма безопасности, которую стоит понять. :-) После этого и винда понимается проще.
Все-таки меня интересует subj.
В [том месте, где я раньше работал] в одном из мест стоит Windows Adv Server Active Directory на P200MMX и не требует к себе внимания и не тормозит, не глючит, админов не загружает...
Ухх... Единственный тебе вариант - поднять w2k DC на какой-нидь машине и снова пересоздать домен.

вариант с миграцией представляется настолько геморройным... можешь попродбовать поплясать с бубном вокруг самбы и манов по миграции с домена nt4 на ad. у AD есть такая фишка как mixed mode... в общем там сложно, здесь описывать не буду ибо сам не пробовал, поройся на гугле там где-то в конференциях было.

PS: еще раз повторюсь... работает - не трогай. ибо.
своей миграцией ты спровоцируешь _ТАКОЙ_ поток недовольства и лишней, никому не нужной, но обязательной работы, что "повешаешься".
mdv
Ну вот, стоит допустить опечатку, как сразу меня можно порвать и про subj забыть. :спок:
1 вопрос - не для всех юзеров сразу, а для некоторых нужно.

"Работает - не трогай" - в том и дело, что _пока_ работает... и во первых мне там рулить неудобно, во вторых, если все грохнется, то у меня нет готового решения по быстрой замене... кроме как тот же линукс. :безум:

2 вопрос - мне не нужны люниксовые группы. Мне нужно, например, на локальной Win2k машине дать права к файлу группе "Бухгалтерия". Как быть? (т.е Ага...:улыб:
если поставить X и vnc-server на машину с самбой
И я могу с любой Win2k машины пользователя рулить? В случае с Windows NT4 - запускаю с нужными правами usrmgr.exe, лежащий на общедоступном месте и рулю... если AD, то терминальным сервером...

Самбу запинать, конечно же можно, но... "чем умею, тем рулю", поэтому сначало домен на Win, а потом, когда все надежно заработает, будем учить самбу...

Переход с nt4 на AD я не вижу для себя проблемным.
ты спровоцируешь _ТАКОЙ_ поток недовольства
Поэтому и хочу незаметно сделать subj.
nhps
ответы:
1: средствами линукс - никак. Остается только пускать юзеров в терминал под локальными именами терминального сервера, а не под доменными. хотя может самбе и можно что-то объяснить на эту тему.
2: сказать своей локальной w2k, что имена и группы нужно брать с DC... не катит? Я просто с _такой_ проблемой не сталкивался никогда, бо некошерно держать рабочие файлы, которые могут кому-либо кроме тебя понадобиться, на ws...

да рули ты виндой, наздоровье...:улыб:я ж против разве?! Я тебя не заставляю вроде орать: "виндовс - сакс, а линух - руль фореверный". Кесарю - кесарево, Богу - богово.

Миграция с nt4 на 2л - безпорблемна, а вот миграция >1 DC домена NT4 на AD гемор тот еще... а тут тебе необходимо смигрировать домен не переставляя DC... в общем гемору там вагон.. кстати, надо еще посмотреть на самбу из последних из ветки 2.*.* там вроде обещали сделать синхронизацию юзверьбазы между доменными контроллерами.

Если ты хочешь сделать это плавно, то подними домен рядом, настрой трасты, сделай зеркало пользовательской базы, пароли то, я думаю, не обломаются себе переставить... и постепенно перегоняй машины в новый домен... токмо так, имхо...
mdv
а вот миграция >1 DC домена NT4 на AD гемор тот еще...
Не вводи людей в заблуждение. :миг:
mdv
1: была такая идея, но локальный юзер не может пользоваться сетевыми ресурсами, печатать на сетевых принтерах. Мне синхронизировать их пароли (доменный и локальный) обломно, а юзеру разные пароли помнить невозможно...
2: сказать своей локальной w2k, что имена и группы нужно брать с DC... не катит?
Нет не катит - нет там групп! А т.к. серверов несколько (терминальный, файловый, интернет...), то и нужны группы. А локальный юзер хочет открывать иногда локальные сетевые ресурсы для... групп.
Если ты хочешь сделать это плавно, то подними домен рядом, настрой трасты, сделай зеркало пользовательской базы
т.е. SID потеряется... К этому все и идет, что будет постепенный переход - часть будут жить в одном домене и постепенно будут переезжать в другой...
nhps
Ну потеряется SID, ну и бис с ним...
ты, главное, трасты настрой, тогда все более-менее прозрачно для всех будет.
mdv
ты, главное, трасты настрой
(Samba 2.2.3a-12.3 for Debian)
Следующие функции не реализованы в выпуске 2.2:
доверительные отношения между Windows NT 4 доменами
репликация SAM с контроллерами домена Windows NT 4.0 (т.е. Samba - PDC, а
Windows NT - BDC или наоборот)
Добавление пользователей посредством User Manager for Domains
Выполнение роли Windows 2000 Domain Controller (т.е. Kerberos и Active
Directory)


Вот и ходим кругами возле этой самбы.
Можно, конечно же загасить эту самбу и поднять ее копию в виде Samba 3 на другом компе, если есть надежды на успех.

Но сейчас у меня самба 3 стоит на том же компьютере, что и Win 2k AD... А чтобы все проделать, получается нужно еще 2 компьютера, т.к. эти 2 системы стоят на моем рабочем компе...
(я всего насчитал 5 серверов, чтобы "не беспокоить пользователей"). :а\?: