Active Directory, скрыть объекты от Authenticated Users?

CityCat4, каким образом лучше это делать? Просто забирать права на read/list objects этого OU (и всех дочерних объектов) у всех Domain/Authenticated Users ?

Active Directory, скрыть объекты от Authenticated Users?

Ну, это может быть случайно засвеченные креденшиалы. Не обязательно крот, может просто обиженный/замотииврованный на определенные действия сотрудник (как почему, это уже дискуссионный вопрос, как мне кажется, не относящийся непосредтвенно к основному вопросу)

Как вы решили для себя этот вопрос и вообще смущал ли он вас?

Active Directory, скрыть объекты от Authenticated Users?

Владимир Юрченков, он, скажем, на этапе построения. Но да, будет внутри сети компании

Active Directory в облаке и филиалы через VPN?

К сожалению, да нужны именно персональные пк, т.к у пользователей телефония (webrtc через собственную crm) + использование целого ряда ПО доступного только под MacOS

Active Directory в облаке и филиалы через VPN?

elbrus56, Благодарю за ответы!
Вероятно, то что вы описывали это правильный путь для дальнейшего развития. Наверно мы к этому и придем, но не сразу

Active Directory в облаке и филиалы через VPN?

Alexey Dmitriev Andrey Barbolin , благодарю за ответы!

Active Directory в облаке и филиалы через VPN?

Если у вас юр лицо в штатах - заводите ABM

это уже. Сейчас в процессе выбора MDM. Поэтому ваше мнение и спрашивал об jamf vs ws one

Я думаю, что вы на разбитые залитые устройства больше потратите.

Вы о суммарной стоимости лицензирования jamf connect + okta? Но в месяц столько на залитые устройтства не было =)
Я просто насчитал от $1500 /месяц только за это. И только пока юзеры и маки в офисе. А парк растет, юзеры новые приходят.
А еще и без MDM никак - он тоже вылетает в такую же (или чуть меньшую сумму). Тут вылезают + 300 девайсов вне офиса
Отдельно траты на облако под AD (но тут хоть более-мнее постоянная величина)

Поправьте ,может я неправильно оценил порядок сумм, но у меня вышло именно так.

Меня могут начать упрекать (выше уже ругали за Miktotik вместо Cisco) мол компания маки купила, раскошеливаейтесь на все остальное, но обычно какие то лимиты все же есть (безлимитные бюджеты только в сказках).

Active Directory в облаке и филиалы через VPN?

И опять же, вам все равно понадобятся знания и Windows, и macOS.

Увы, они все таки понадобятся. Есть еще нюанс, он напрямую к вопросу не относится. Есть ремоут-сотрудники. Они в, основном, юзают Windows (у них, как раз доля Mac OS мала) и это их персональные девайсы. В домен их вводить никто не будет. Но их тоже надо контролить, устанавливать обновления, применять политики. Тут вообще я не смог найти альтернативу лучше UEM (ну как бы видел какие-то связки Jamf + Intune, но почему то отзывы были в основном отрицательные на Intune)

Насколько я понял, Okta даже может предоставить LDAP как услугу. Можно и AD не разворачивать. Почитал детальнее - да концепция великолепная, на самом деле , особенно при условии комбинации с такими вещами как Jamf Connect. Спасибо за объяснения. В любом случае, стоит держать в голове, что такое решение есть и может закрыть требования бизнеса, когда они возникнут.

Только 2 момента омрачают

Цена выходит, конечно, солидная. Если я правильно понял, то продукт SSO - это минимум $2 за юзера в месяц. Прибавить MFA - это еще минимум $3 в месяц. Добавить Jamf Connect - это еще $2 в месяц за устройство. Даже на 300-350 человек примерно 300 девайсов (не учитывая пользователей с собственной техникой)

Apple Business Manager к сожалению не умеет работать с Okta (до сих пор только Azure AD). Или юзать azure, но он еще дороже Okta , если правильно понял. Или не получить управляемые apple ID, подтягивающиеся из IdM (мне показалось удобной штукой)

Active Directory в облаке и филиалы через VPN?

Alexey Dmitriev а что потенциально может не работать, без обратных зон?

Active Directory в облаке и филиалы через VPN?

Andrey Barbolin, понял. И правда, ведь это вполне логично, но мне не пришло в голову. Спасибо за совет! =)

Active Directory в облаке и филиалы через VPN?

Насчет юр лица - это не есть проблема (есть юр лицо в US)
Но немного запутался в их продуктах:
SSO, Authentication, Multifactor-Authentication
User management vs Universal Directory

Насчет 2(M)FA, да этот момент тоже интересен (для части сотрудников)

С Workspace легче не будет.

имете ввиду, что он более громоздок? (визуально мне показалось, что больше настроек в интерфейсе)

Офтоп ли, но что вы скажите насчет NoMAD и NoMAD Login ?

Active Directory в облаке и филиалы через VPN?

elbrus56, я так понимаю, у вас есть опыт реального использования MDM-систем, интеграций с Identity Managers.
Можете ли поделиться мнением что сами используете?

jamf vs workspace one UEM
Azure AD vs Okta

Active Directory в облаке и филиалы через VPN?

Andrey Barbolin, подскажите пожалуйста

На микротике можно фильтром разделить запросы, все запросы для домена направить в VPN, остальное сразу в мир.

А разве будут какие то, другие запросы в мир, которые мы может не адресовать контроллеру домена? Вроде как ip контроллера как основной DNS сервер в настройках клиента это обязательное условие нормальной работы домена?

Active Directory в облаке и филиалы через VPN?

А не подскажите конкретные решения? Интересно детали почитать.Я встречал одно такое - Jamf MDM. Там был отдельный продукт Jamf Connect и вот он вроде как подменял Login Window своим агентом. Но он был и есть заточен только под Mac Os

Так то да, чем меньше запчастей (туннели к AD, ввод компов в домен) тем лучше.

Active Directory в облаке и филиалы через VPN?

Суть вопроса - получиться ли стабильная работа с AD, размещённого в частном облаке, на филиалах, подключённых через VPN, без размещения локальных DC, собственно.

Остальной текст - это те условия/переменные, которые, очевидно, надо дать, что бы можно на такой вопрос вообще что то ответить.

Active Directory в облаке и филиалы через VPN?

Подскажите пожалуйста, имеете ли вы ввиду, что можно решить вопрос аутентификации на локальной машине при помощи какого-либо IdM (Okta, Azure AD)? Я смотрел эти варианты, но насколько смог понять, они все решают проблему аутентификации на веб- ресурсах (и решают ее хорошо, да). Но как юзер должен сначала разлочить комп и добраться до условного браузера, где он достучаться до какого нибудь IdM и получит свой токен для аутентификации в других системах? Получается, на компах должна быть какая то одна, локальная всем известная учетка, чтобы юзеры могли получить доступ к рабочему столу, а потом уже шли дальше (открывали браузер и т.д). Или есть изящные варианты решения этого вопроса?

Active Directory в облаке и филиалы через VPN?

Алексей Черемисин, тут такой момент, изначально его не расписывал детально, ибо не был как основной вопрос "...+ плюс еще ряд систем, которые могут интегрироваться с LDAP/AD". Одна из таких систем это Apple Business Manager, коротко говоря, позволяет более тесно интегрировать систему управления маками (MDM), создание корпоративных apple ID, накатывать настройики на устройства еще на этапе покупки. Так вот эта штука интегрируется только с Azure AD и единственный вариант сохранить концепцию SSO - это связать наземную (ну или в нашем случае облачную) AD DS c Azure AD, а уже из Azure пользователей засинкать в Apple Business Manager. И тогда они смогут использовать одни и те же креденшиалы как при локальной авторизации на машинках, так и для корпоративных apple ID.

Ну и есть еще причина для сомнения. Тут конечно, сугубо мое мнение. Active Directory хоть и очень сложный продукт (хотя никто не заставляет юзать все его возможности), но по нему гораздо больше документации, готовых кейсов и специалистов, в конце-концов, если уж совсем не выходит разобраться/реализовать какую то вещь или починить (например, AD сломали). А вот с другими реализациями LDAP (OpenLDAP, Apache DS) все куда нетривиальнее, и наверное, даже порог вхождения сильно выше. По крайне мере, в той схеме, которую я примерно описал. Поправьте, если ошибся

Active Directory в облаке и филиалы через VPN?

ru6ak, каждой задаче - свои инструменты. Зачем брать cisco, если в разрезе тех задач, где микротиков CCR класса с головой хватало (и пока хватает)?

По azure не понял. Вы про Azure AD? Ками образом возможна реализация локальной аутентификация на не Window 10 машинках? Да и насчет цены, тоже стоит обратить внимание, решение весьма не дешевое. $6 или $9 в месяц за юзера, когда юзеров сотни - ну такое себе. Тогда можно смело ставить на филиалах локальные DC , выйдет гораздо дешевле.

Шардинг и резервное копирование/восстановление?

Насчёт подхода с вынесесеним "горячих" данных и архивных это больше с точки зрения написания самого приложения, а я больше интересуюсь с точки зрения администрирования (построения, обслуживания)

Попробую сформулировать.
Используются, к примеру, dedicated сервера у хоcтера. И модифицировать их можно только на этапе покупки. Т.е докинуть диск потом уже не выйдет(такова у них философия нужен сервер с другими характеристиками, пожалуйста, заказывайте новый). После покупки оптимизуруем СУБД так, что бы, например, вся база умещалась в память, тюним, радуемся. Но время идет, база растет (и да, деление крупных таблиц на мелкие части, наверно, будет эффективно до какого-то момента) а потом наступает момент, когда лучше (правильно) оставлять ее (выросшую таблицу, пускай и разбитую на кусочки) одну на выделенном сервере, а остальные таблицы начинать разносить по другим серверам? Или такой подход не используют?
Если так делают, тогда у меня вопрос как раз о эффективном резервном копировании/восстановлении парочки-другой таблиц, одной базы, лежащих на разных физ серверах.Какие инструменты, подход в таком случае?

Шардинг и резервное копирование/восстановление?

Saboteur т.е лучше разбивать таблицу на кусочки в пределах одного физ сервера, а если она действительно выросла уж очень сильно(так что шарды одной этой таблицы занимают ресурсы сервера), то лучше (правильно) оставлять ее одну на выделенном сервере а остальные таблицы начинать разносить по другим серверам?