Ответы пользователя по тегу Active Directory
  • Почему пользователь остается локальным администратором при добавление в AD?

    @tarasovc47
    Эникей со стажем))
    User Profile Wizard
    потому что это костыль для ленивых, переводи нормально в домен, с полной переустановкой и настройкой с нуля. Да, это дольше, но зато это соответствует Бусидо/Феншую и прочим best practices. В идеале сотруднику новый комп готовишь, потом домен, потом все GPO, потом настраиваешь под юзера, приглашаешь, он приходит осматривает, часик работает говорит "всё ок" - и меняешь компы местами. Я так бухов десять человек перенёс, зато все счастливы, и проблем не возникнет из-за этого костыля, на котором всё это балансирует
    Ответ написан
    9 комментариев
  • Как организовать домен на Kubuntu?

    @tarasovc47
    Эникей со стажем))
    Я сам управлял смешанным доменом (DC - Samba), рулил виндовой оснасткой RSAT, клиентские компы были и виндовые, и линуксовые (тоже к слову Kubuntu, но принципиально разницы вообще никакой, хоть xununtu, хоть mint).
    Короче так:
    1) групповые политики на линуксовых машинах не работают. Ни к доменным юзерам, сидящим за линуксовыми машинами, ни к самим машинам.
    2) лучше выберите RHEL-дистрибутив, сделаете ansible, как правильно посоветовали выше, на ubuntu я его не победил, возможно не те маны курил
    3) назначение пользователям sudo-прав - через /etc/sudoers, добавляете в конец файла группу таким образом %yourlinuxadminsgroup ALL=(ALL:ALL) ALL и добавляете нужного юзера в эту группу, чтобы он мог sudo делать (у меня так было, возможно не самый оптимальный вариант, и возможно на RHEL-дистрибутивах будет работать по-другому)
    4) при помощи PAM-авторизации можно генерировать домашнюю директорию пользователя, который в первый раз логинится на компе, шаблон домашней директории - /etc/skel/ , также при помощи PAM-mount можно сделать автоматическое монтирование нужных сетевых шар (но у меня руки до него не дошли, говорят работает, я монтировал /etc/fstab NFS-ом и CIFS-ом, лучше конечно NFS)
    Ответ написан
    Комментировать
  • Отсутствуют серверы которые могли бы обработать запрос. Как исправить при отсутствии учетки локального админа?

    @tarasovc47
    Эникей со стажем))
    Если администратор домена - вы (что врядли), то
    админ домена - автор вопроса
    Если не будет локальной учётки, то как вы собираетесь авторизовываться на компьютере в случае вывода его из домена? Единственный юзер компьютера, в случае если он не в домене == администратор (в смысле роли, а не логина)

    Вообще в доменных групповых политиках есть возможность отключить встроенную учётную запись "Администратор", переименовать её, сменить ей пароль и т.д., но ошибка, о которой вы говорите свидетельствует о том, что связь конкретного компьютера с контроллером/ами домена нестабильна или отсутствует. По умолчанию кэш учёток хранится локально на компьютере месяц (но это уже те, кто ранее авторизовывался пока был доступен контроллер домена, новые пользователи домена уже не смогут зайти, пока комп не видит домен, а старые пользователи через месяц не смогут зайти)

    Единственный вариант - проверять связь до контроллера домена из вашей сети, и если он недоступен - везти комп туда, где контроллер будет доступен просто по сети, условно в одну локальную сеть.

    Если администратор домена не вы (что скорее всего),
    админ домена - не автор вопроса
    то обратиться к нему, иначе потом получите а-та-та от него и от своего руководителя за вывод из строя рабочего места
    Ответ написан
    Комментировать
  • Polkit policy доменные группы?

    @tarasovc47
    Эникей со стажем))
    Смотря какое действие провоцирует запрос пароля: посмотреть можно в "сведения" в окне запроса, потом пригодится
    Я нашёл мануал , пусть не смущает, что KDE, хотя у вас вроде гном/юнити, не суть важно
    и в директориях /etc/polkit-1/localauthority/xx-xxxx создаём файлы .pkla, само название берём из "сведения".

    Конкретно в моём случае получилось убрать запросы рутового пароля на манипуляции с сетью (включение/отключение PPTP) следующим образом:
    в файл /etc/polkit-1/localauthority/10-vendor.d/org.freedesktop.NetworkManager.pkla
    внёс такое содержимое:
    spoiler
    [nm-applet]
    Identity=unix-group:*
    Action=org.freedesktop.NetworkManager.*
    ResultActive=yes
    ResultAny=yes
    ResultInactive=yes

    можно поиграться со строками Identity=unix-group:*(вместо * любую группу на усмотрение)
    и Action=org.freedesktop.NetworkManager.* (после = должно совпадать с запросом и названием файла)
    после каждой манипуляции с конфигами делай рестарт polkit
    Ответ написан
    9 комментариев