Илья лук, протоколы TCP и IP - это наиболее распространенные протоколы использующиеся на 3-4 уровнях модели OSI. Если почитаете немного подробнее - приведены примеры как с затрагиванием второго уровня, так и прикладных уровней модели OSI, которые не имеют отношения к TCP/IP.
Если описанное выше для вас сводится к модели TCP/IP, мне кажется, вы пока не поняли ни модель OSI, ни что такое TCP/IP, ни их взаимосвязь.
Сергей Горностаев, возможно вы и правы. У нас генерили удобные вьюшки, и лазили уже в них. Получилось довольно элегантно. Но это уже нюансы реализации)
Если говорим об Azure - Azure AD DS, это сервис который максимально похож на классический AD. Azure AD - это другой продукт, который имеет с классическим AD DS только название и то, что это база юзеров для настройки прав и аутентификации, это важно понимать.
Опять повторю - вам нужно выяснить, для чего нужна миграция в облако, и какой функционал должен быть сохранен в процессе миграции? Если вы решите использовать сервис Azure AD DS, то будьте готовы к тому, что политики вы потеряете, объекты компьтеров так же, забудьте про расширения схемы (здравствуй эксчендж)) ) и т.д. Т.е. как по мне - не стоит юзать это, если вы не поднимаете с нуля свежий домен в Azure (и тут опять же ограничения). Если вы хотите использовать все то же, что и имеете в полноценном онпремном AD, без головной боли, то стоит делать как я и писал выше, просто на машинках облачные контроллеры, и реплицироваться туда.
Немного дополню - данные пользователя может принять любой не read-only домен контроллер (в большинстве случаев, это будет ближайший к вам, который вас авторизовал), записать их в базу LDAP (AD), и остальные контроллеры, увидев свежие изменения, стянут их себе.
Alexey Dmitriev, его можно открыть, якобы, "на редактирование" - но изменения в УЗ нельзя сохранить. Для меня это эквивалентно "нельзя поменять", или под "вполне можно поменять" вы вкладываете другой смысл? Sevastoporn, такого свойства у УЗ нет - возможно вы имеете ввиду какое то отображение в графической оснастке - в этом случае, это вычисляемое поле от pwdLastSet и срока истечения, согласно политикам. Соответсвенно и меняется оно вышеописанными способами.
sflyer, а что в настройках скопов у вас в опции 006 - там должны быть адреса ДНС-серверов, на них ДХЦП и будет пытаться завести записи. В секурити у группы DnsUpdateProxy на ДНСах права не отобрали?
Antonio Solo, вам кажется)
Авторизация в домене происходит посредством керберос - т.е. вам выдается билетик на получение билетика на доступы к различным ресурсам домена на основе вашего логина и хеша пароля, которые вы вводите локально. При этом эти логины и хеши в винде хранятся локально для десяти последних залогинившихся пользователей. Конечно они не лежат в открытом виде, они лежат в секретном хранилище лсаса - но, как вы догадываетесь, при наличии прав локального админа, поломать можно все независимо от системы. Ну и дальше развивайте вектор атаки)
АртемЪ, CityCat4, согласен, что если "для дела" - то разобрать бук не проблема. Если в организациях даже биос не паролят - то, при наличии прав локал админа - получение доменного еще меньшая проблема. По сути, получение доменного админа - напрямую связано с получением локального в подавляющем большинстве вариантов получения контроля в организации, а в ответах на пост рассказыввают о том, что локального легко получить - а доменного сложно. Хотя весь ответ - контроль локальных - прямой путь защиты доменного админа.
stratosmi, ммм - вы про получение локального админа? Лок биоса на корп устройствах - это по дефолту в корп среде, сидящей на железе должно быть.
Константин Антонов, во первых, добраться до батарейки во многих буках и сбросить биос - это далеко не самое тривиальное действие, даже для рукастых сотрудников. Во вторых - буки на гарантии практически всегда, т.е. разбор = вы приобрели личный девайс за свой счет, если вы еще с нами, то минус премия на квартал.) Не думаю, что человек в здравом уме будет демонтировать выданный корпоративный ноут (если конечно вы не шпиен конкурента и у вас задача "во что бы то ни стало")) ). Потому этот вариант я не беру в расчет (хотя возможно спрашивающий и хочет защититься от шпиена, а не просто избавить себя от головной боли из-за шаловливых ручек продвинутых юзеров).
Хорошо и лаконично расписано, только насчет последнего - можно спокойно использовать в локальной сети хоть 8.8.8.8, хоть 195.168.0.1. Вы просто отрежете сами себе часть ресурсов интернета, смаршрутизировав сети с диапазоном для данных адресов на внутренние ресурсы.
Luminerys, sssd будет пожалуй самым универсальным вариантом. effko32, кому как) да и центосом одним жив не будешь, плюс нюансов хватает, которые будут вылазить со временем. Что еще больше осложняет - что даже на том же центосе на других версиях могут быть вопросы) Конечно все решаемо, но если у вас не было под управлением подобной среды, и вы не универсал по осям - это огого как не просто))
А что значит - нет затрат на лицензии?? Что значит нет затрат на обрудование??? Все в облаке бесплатное???))) Удобство в том, что не нужно делать капитальных вложений в оборудование сиеминутно - да, но то что бесплатно... Вы работаете не вместе с господином Сергей Горностаев ?)
Если описанное выше для вас сводится к модели TCP/IP, мне кажется, вы пока не поняли ни модель OSI, ни что такое TCP/IP, ни их взаимосвязь.