Призываю админов или околоадминов в тред, нужна помощь.в /s/ ничего не отвечают, поэтому спрашиваю у /б/.Первый вопрос:Пытаюсь воткнуться в active directory, и никак не могу понять, как правильно назначить политику на группу.Я понимаю, что GPO привязывается к OU, и ко всем её подкаталогам, если не отключить наследование.Также я понимаю, что в параметрах безопасности GPO можно выставить права на группы и пользователей которые её будут применять или исключены из неё.Тут вопрос в том:1. как правильно делать это на продуктивных моделях. Ведь ни один бородатый админ не будет создавать десятки OU с десятками групп и политик?2. Что бы при добавлении пользователя в группу к нему добавлялась политика, достаточно связать GPO с группой, или она также должна быть связана с юзером? То есть политики достаточно находиться в одном OU с группой, а пользователю находиться в другой OU, на которую действие политики не распространяетсяИли что бы применить политику к заданному пользователю или группе пользователей, эти пользователи должны быть непосредственно привязаны к OU с политикойВторой вопрос:Как реализуют дублирование сетевых устройств, например роутера, или коммутатораВот, например у меня есть два маршрутизатора, и для примера, один интернет провайдер, с одним IP-адресом.Как правильно делается переключение между оборудованием на резервный, при отказе основногоЯ предполагаю, что WAN-портам, обоих маршрутизаторов, прописываются один внешний IP адрес, дальше через VLAN осуществляется подключение двух роутеров к оборудованию провайдера. Но как тогда поступать с локальной сетью, насколько я помню внутри одной локальной сети нельзя писать два раза один IP адрес, так как это приведет к конфликту. или нет?
1
2
3
4
>Я предполагаю, что WAN-портам, обоих маршрутизаторов, прописываются один внешний IP адрес, дальше через VLAN осуществляется подключение двух роутеров к оборудованию провайдера. Хуйню написал. Настрой, например, пробы IP SLA (у разных вендоров она по разному называется) и при недоступности ресурса заруливай через роут-мапу траффик на резервного ISP.
>>134597845Я про недоступность самой железки, а не сайта. Оборудование ведь резервируется. Просто, например, у меня есть два роутера, один сломался, как заставить резервному роутеру взять на себя роль первого, или так не делается? Я так полагаю, что на уровне пакетов никак, только скриптом, что бы второй роутер постоянно проверял доступность первого, и при недоступности, например, больше минуты применил скрипт с настройками уровня:# ifconfig ethO 1.1.1.2 && ifconfig eth1 192.168.0.1 && route add 1.1.1.1честно говоря не силен, на данный момент, в цисках
>>134597181 (OP)Бамп, где виндусовые админы
>>134598315гугли HSRP, VRRP, GLBP один из них общий а не цисковская проприертарщина.
Сажи спермоблядкам.
>>134598880эммм, а на чем ты строить LDAP собрался? Ну только не говори, что на lightLDAP, не поверю
>>134598848>VRRPОт души, брат.Я теперь надо найти того, кто подскажет про групповые политики
>>134598848Слушай, если ты еще тут, по идее как можно подружить CARP от Ubuntu-server, с той же циской, и заставить их работать как единый маршрутизатор?Протокол - это набор правил, и рас он един, значит они должны друг друга понимать
>>134597181 (OP)> Ведь ни один бородатый админ не будет создавать десятки OU с десятками групп и политик?Бородатый, возможно, и не будет, а вот компетентный - запросто. Желательно, вообще, делать на группу связанный политик свою группу, прости за тавтологию. Легче будет разбираться в них через пару лет. Подразделения создаются сообразно инфраструктуре организации, например, каждое подразделение соответствует отделу.> Или что бы применить политику к заданному пользователю или группе пользователей, эти пользователи должны быть непосредственно привязаны к OU с политикойВот так.> Как правильно делается переключение между оборудованием на резервный, при отказе основногоРуками провод перетыкаешь, лол.
>>134599856Именно, один протокол - одни правила, если все будет настроено верно то будет у тебя логика переключения. Как единый, т.е. одновременно, это уже лоад балансинг, прямо вот лоад балансинг из коробки между никсовым гейтвеем и цисковским ты не сделаешь. Поочередно работать - VRRP. НО есть хитрость, ничего не мешает тебе скинуть на виртуальный общий адрес обычных хостов, а нужные железки закидывать на другой гейтвей принудительно. Условно у тебя 10.10.10.0/2410.10.10.1 - циска10.10.10.2 - бубунта10.10.10.3 - их общий виртуальный адресв DHCP ты говоришь что ваш гейтвей - 10.10.10.3 таким образом фейл овер есть, при должной логике переключения стандбай и актив гейтвея, в то же время никто не мешает тебе, зная какой провайдер сейчас основной, своей машине указать другой гейтвей и качать себе цп с торрентами не загружая общий рабочий канал. По политикам - вот этот правильно написал>>134600051у меня в домене овердофига ою, правила политик стараюсь не объединять в одни, если только по логике подходят. Да, много, зато можно всегда во всем разобраться и применить что то хоть точечно, хоть глобально, хоть на любую группу логических объектов. Алсо бородат.
>>134600051А как реализуется, что при добавлении пользователей в группу, к нему автоматически применяются политики? Только за счет того, что политика изначально никуда не распространяется, кроме как на эту группу?>делать на группу связанный политик свою группуНе понял, поясни пожалуйста>Подразделения создаются сообразно инфраструктуре организации, например, каждое подразделение соответствует отделу.Это я понимаю, и следовательно на каждое подразделение, или на общую OU надо применять групповые политики? >Руками провод перетыкаешь, лол.Пытаюсь прийти к том, что любой процесс требующий больше двух минут нуждается в оптимизации.
>>134600824Политика применяется на объект. Есть у тебя ОУ с названием "жирные бухгалтерши"В ней ты создаешь 10 учеток, по учетке на каждую жирную бухгалтершу.Далее ты придумываешь групповую политику, которая дефолтом заменяет десктоп картинку на еду и не дает менять картинку юзеру. Цепляешь правило на ОУ Жирные бхгалтерши и вуаля. Потом, если ты и ОУ маркетинг перекинешь полнеющую бабу в ОУ жирных бухгалтерш, то после политика будет применена в соответствии с тем, как быстро они у тебя врубаются и все. Ребутаешь комп ( ну или gpupdate /force) и все. Объекты могут быть компы, группы юзеров, сами юзеры и тд.
>>134600737Ни разу не задумывался, спасибо, а как называется протокол виртуальных адресов?
>>134601230Так, а если есть OU-отделы--OU-жирные бухгалтерши----бух 1----бух 2----бух 3---- (ГРУППА БУХГАЛТЕРИЯ)--.........на OU-жирные бухгалтерши добавляю GPOЕсли я добавлю юзера из другой OU в (ГРУППАХ БУХГАЛТЕРИЯ), я так понимаю, он не получит политику, если сам не будет находиться в "OU-жирные бухгалтерши"верно?Просто мне интересно, так как видел, что при добавлении юзера в группу к нему применяются политики, а без добавления не применяются.Или это связано с тем, что сама по себе политика делегирована только на группу (ГРУППА БУХГАЛТЕРИЯ), а остальные члены в OU не получают от неё настройки
>>134601279https://en.wikipedia.org/wiki/Category:First-hop_redundancy_protocolsНекоторые циско онли, если у тебя не два циско роутера то тебе не подойдут. VRRP умеет хитро работать через два адреса а не три, т.к. один из адресов и становится виртуальным. Есть другие ньюансы.
>>134601690Для начала по структуре, я отдельно храню группы и юзеров. Т.е.OU - отделы-OU - жирные бухгалтерши-- бухгалтерша NOU - группы группа бухгалтерш группа маркетологов группа червей-пидоровТаким образом я могу закидывать правила как на тех, кто в группе именно в группе отдела, так и на всех юзеров отдела, как правило, конечно, состав группы и состав OU с юзерами зеркален но некоторые бенефиты есть.>Если я добавлю юзера из другой OU в (ГРУППАХ БУХГАЛТЕРИЯ), я так понимаю, он не получит политику, если сам не будет находиться в "OU-жирные бухгалтерши"верно?В этом примере, будет, т.к. у тебя группа жирные бухгалтерши находится в одном OU с самими юзерами. Как раз зависит от, т.е. ты мог бы сделать OU Черви пидоры, при условии отсутствия такого отдела и точечно кидать туда юзеров, при этом в группе они бы оставались хоть бухгалтерши, хоть маркетинг, и к ним применялись бы правила группы. Конечно это дефолтно, способов включить наследование, отключить, раскидывать приоритеты GPO, в зависимости от того что у тебя и как уже.
>>134602375А если я создам, опять для примера:company.local-OU Users--user1--user2--user3-OU GROUPS--GROUP1В GROUP1 включу User1 и User2, и к OU GROUPS добавлю GPO, то User1 и user2 Смогут получить данную политику или нет, так как они находятся в другом OU?
>>134601864Спасибо, обязательно почитаю на досуге.Просто есть старенькая Cisco 18xx, и роутер на убунте, хочу попробовать поэкспериментировать и сделать одну заменой второй, при необходимости, при этом без вмешательства.
Поясните за ADНемного щупал его на ws12, есть ли на линуксе какая-нибудь подобная йоба, плюсы\минусы, по хардкору?