TheUnreal 0 Geschrieben 15. März 2018 Melden Teilen Geschrieben 15. März 2018 Hallo zusammen, ich hoffe auf Hilfe zu einem Verständnisproblem. Vorab : Ich bin Wald und Wiesen-Admin. Das bedeutet für mich : OneManShow im 60 Mann Betrieb : Ich kann alles, aber nix richtig :) . Nun habe ich aufgrund der DSGVO gedacht, hey, setzen wir mal eben eine AD auf. Als Linux-Fanboy wurde dasnatürlich kurzerhand mit Samba erledigt. Ich kann User und Gruppen verwalten und GPOs aus Richtlinien erstellen und anwenden (zugegeben, ich muss schon eine Menge dazu lesen^^) Soweit funktioniert auch alles schon ganz toll - aber : Ich habe im Gruppenverwaltungseditor keinen Zugriff (mehr) auf die Einstellungen in der Computer und Benutzerconfig. Nachdem ich die AD frisch aufgesetzt hatte, konnte ich bei meinen ersten Schritten ein Netzlaufwerk-GPO anlegen. Allerdings funktionierte dies nicht - von meiner eigenen Inkompetenz der korrekten Zuordnung überzeugt, probierte ich erst andere Richtlinien aus, die funktionieren aber. Als ich nun mit neuen Erkenntnissen erneut eine GPO zum mappen erstellen wollte - tadaaa - kein Zugriff mehr auf "Einstellungen". Ich kann mir durchaus vorstellen, dass ich irgendwo eine Berechtigung entfernt haben kann, da ich einen Fehler 0x8007052e und die MEldung "Unbekannter Nutzer oder falsches Kennwort" bekomme. - Google spukt aber nichts dazu aus, außer zur Vista Benutzeranmeldung. Nun bin ich als DA angemeldet und kann am alles Rechner (und der DA) auf den Kopf stellen - nur wünscht sich gpedit da irgendwie noch jemanden hinzu Gruß Unreal Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 15. März 2018 Melden Teilen Geschrieben 15. März 2018 Moin, was hat die DSGVO mit einem AD zu tun? Und wie kommt man auf die Idee, dass die DSGVO mit irgendwas aus der Kategorie "kurzerhand" oder "mal eben" kompatibel wäre? Was dort schief läuft, lässt sich aus der Ferne nicht sagen. Wenn du allerdings mit nativen AD-Funktionen arbeiten willst, warum dann einen AD-Nachbau nutzen und kein echtes AD? Ihr werdet ja kaum eine Umgebung völlig ohne Windows-Server haben, sodass Lizenzkosten nicht das Argument sein können. Ein echtes AD ist supportfähig, ein unechtes nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
TheUnreal 0 Geschrieben 15. März 2018 Autor Melden Teilen Geschrieben 15. März 2018 Hallo Nils, danke für deine Antwort. Naja, was hat die DSGVO mit einem AD zu tun? Es wird durch das PW-Management ein Teil der TOMs. Das muss erstmal reichen ;). Und nein, wir nutzen tatsächlich keinen Windowsserver - würde es nach mir gehen nichtmal ein Windows auf den Clients. Aber Spezialsoftware läuft halt nur selten wirklich in einer Wine-Umgebung. Ich stimme dir zu, sicher wäre eine native Umgebung besser mit nativen Werkzeugen zusammenarbeiten - aber das war nicht der Plan und kann auch nicht die Antwort auf meine Frage sein ;). Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. März 2018 Melden Teilen Geschrieben 15. März 2018 vor 48 Minuten schrieb TheUnreal: Und nein, wir nutzen tatsächlich keinen Windowsserver - würde es nach mir gehen nichtmal ein Windows auf den Clients. Aber Spezialsoftware läuft halt nur selten wirklich in einer Wine-Umgebung. Ich stimme dir zu, sicher wäre eine native Umgebung besser mit nativen Werkzeugen zusammenarbeiten - aber das war nicht der Plan und kann auch nicht die Antwort auf meine Frage sein ;). Erstmal Hallo und schön, dass du uns gefunden hast. Auf der einen Seite verstehe ich dich, das was Nils schreibt ist nur sehr bedingt eien Antwort auf deien Frage. Auf der anderen Seite ist Nils Position valide. Du hast bisher keien Windows Server und verweigerst dich diesen auch hartnäckig. Wie viel Sinn macht es denn da ein Microsft AD als Nachbau zu betreiben? Alle Probleme die du mit dem einem AD auf Samba hast sidn für uns als Menschen mit sehr tiefem Windows Know-How schwer bis garnicht nachzuvollziehen, weil sich ein echtes AD in vielem anders verhält als dein Clone auf Samba Basis. Die Frage ist ob es nicht etwas auf Linus Basis gibt, das dein Problam adressiert. Eien weitere Frage ist ob es nicht tatsächlich mehr Sinn macht ein echtes AD auf Windows Basis zu nutzen. Warum habt ihr euch für diesen Weg und nicht für ein natives Windows AD entschieden? Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 15. März 2018 Melden Teilen Geschrieben 15. März 2018 Hi, zum Einen: https://www.heise.de/security/meldung/Samba-Luecke-Jeder-darf-jedes-Passwort-aendern-3992689.html zum Anderen: Würde ich mir dann sowas wie den Univention Corporate Server (https://www.univention.de/produkte/ucs/) o.ä. angucken. Gruß Jan Zitieren Link zu diesem Kommentar
TheUnreal 0 Geschrieben 15. März 2018 Autor Melden Teilen Geschrieben 15. März 2018 vor 6 Stunden schrieb Dr.Melzer: Erstmal Hallo und schön, dass du uns gefunden hast. ...Alle Probleme die du mit dem einem AD auf Samba hast sidn für uns als Menschen mit sehr tiefem Windows Know-How schwer bis garnicht nachzuvollziehen, weil sich ein echtes AD in vielem anders verhält als dein Clone auf Samba Basis.... Hallo Dr. Melzer, vielen Dank für den freundlichen Empfang. Die Hoffnung mit der ich mich an das msce-Board gewendet habe, ist die Frage nach der Berechtigung in der GPO-Verwaltung für die Windowseinstellungen. Da es nach der Ersteinrichtung funktionierte, könnte ich versehentlich etwas verändert haben - und da hoffte ich auf eure Fachexpertise im (allgemeinen) Bereich der AD. Das kann ja unter MS Server ähnlich sein. Ich verweigere mich dem Windowsserver nicht hartnäckig, aber ich sehe tatsächlich keinen sachlichen Grund für eine Anschaffung eines solchen :) - bis auf die AD haben wir hier nie etwas vermisst - und Lizenzkosten sind ein nicht zu verachtender Faktor. Ein bisschen Glaubenskrieg herrscht ja nach wie vor zwischen der Linux/Windowswelt - dabei ist es ebenso valide die kostenfreie Variante nutzen zu wollen, denn nur weil es nichts kostet heißt es nicht, dass es nichts taugt. Aber ja, da hätte ich vielleicht doch lieber in einem Samba/Linux Forum fragen sollen :). Ob es wirklich so ist, dass sich die Samba AD anders verhält, kann ich einfach nicht beurteilen - ich kenne die MS AD nicht und auch die Samba AD lerne ich grad erst kennen. Ich setze das ganze nun einfach mal mit SuSe 42 statt Debian neu auf - denn ich vermute einen Fehler auf OsiLayer 8. Fällt das Ei des Columbus noch, werde ich hier trotzdem nochmal berichten. Danke für die Beteiligung vor 5 Stunden schrieb testperson: Hi, ... https://www.heise.de/security/meldung/Samba-Luecke-Jeder-darf-jedes-Passwort-aendern-3992689.html .... Ja, die Lücke ist aber bereits gepached Ich schaue mir die univention mal an... - -> okay...ist im Grunde ähnlich wie die SuSe AD Appliance, aber dennoch vielen Dank ! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 16. März 2018 Melden Teilen Geschrieben 16. März 2018 Ich kenne Samba nicht und verweise mal auf dieses Beispiel: https://www.tecmint.com/manage-samba4-dns-group-policy-from-windows/ Samba 4 sollte es schon sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.