AD vs NDS יתרונות, חסרות ומסביב

[antidot]

../images/Emo41.gif AD vs NDS יתרונות, חסרות ומסביב

היום בזירה: בפינה הימנית, במשקל של $27.02 למניה, הדורס מרדמונד הלא הוא Active Directory בפינה השמאלית, במשקל של $6.23 למניה, שועל עתיר קרבות מוותיקי הספרנים, גולת הכותרת של נובל, ה-NDS החוקים פשוטים: אין לקלל, לשרוט, לירוק, למשוך באוזניים וכמובן להרביץ מתחת לחגורה. בינתיים, אנחנו ננסה לבחון את שתי הטכנולוגיות ולהבין איך ומתי (עם או בלי מלח) אוכלים כל אחת מהן.

 

[antidot]

הפניות לשירשור אחר

אני לא יכול לפרק שירשורים, כך שאני מצטט את frolik מכאן: http://www.tapuz.co.il/tapuzforum/main/Viewmsg.asp?id=956&msgid=37145353 "בתור אחד שמקושר לאנשי נובל אני אנסה לצרף לדיון מספר אנשי נובל בכירים. התרומה שלי לעניין: יה אנטי- הסיבה שלא מוכרים (ולפי דעתי הסיבה העיקרית ואם לא היחידה) ז נובל ישראל שזה גוף אנמי לחלוטין. בעולם, הנובל הרבה יותר נפוץ. אין מה לעשות ואי אפשר להתעלם מהאגרסיביות של מיקרוסופט בכל מה שקשור לשיווק (ולפי דעתי הם אלופי העולם בשיווק). לגבי נתונים טכניים: • NDS הוא היררכי לחלוטין - יען כי אפשר להגדיר אותו משתמש ב-OU שונים. • הרכבת סכימה נוחה יותר וניתן למחוק הרכבות בלי להתקין מחדש. • עובד על רוב מערכות ההפעלה – יש לי ניסיון בסביבת מיקרוסופט ולינוקס. • כל הנושא של רפליקות של העץ ושליטה על סינכרונים טוב יותר. • בשילוב עם ZEN יש שלטה מלאה על הרשת (ואני מכיר מקרוב HELPDESK ששולט על תחנות בכל הסניפים בעולם !!! בלי לקום מהכיסא ובלי לטחון בטירוף את הקווים), כולל נעילת תחנות התקנה מחדש של תחנות מרחוק והפצה ותיקון תוכנה בלחיצת עכבר. וזה עובד ועובד טוב ! זהו לכרגע אני אשתדל לצרף אנשים שמכירים יותר טוב נובל ו- NDS."

 

[antidot]

בא נראה...

• NDS הוא היררכי לחלוטין - יען כי אפשר להגדיר אותו משתמש ב-OU שונים. מה שחייב להיות ייחודי זה רק הsAMAccountName ,User Principal Name ו-kerberos principal. יש לי הרגשה שאתה מתייחס לעובדה ש RDN נבנה אוטומטית מdisplayName, ז"א CN=Surname,FirstName. ההתנהגות ניתנת לשינוי: http://support.microsoft.com/?kbid=250455

הרכבת סכימה נוחה יותר וניתן למחוק הרכבות בלי להתקין מחדש. ייתכן. בכל זאת ראוי לציין שבAD ניתן להרוג classSchema וattributeSchema תוך שימוש באטריבוט isDefunct: http://msdn.microsoft.com/library/en-us/ad/ad/disabling_existing_classes_and_attributes.asp בAD הobjectClasses מחולקים לשניים: Category1 - אלה שמרכיבים את הגרעין שבלעדיו AD לא יכול לתפקד - החלק הזה של הschema לא ניתן להמתה Category2 - כגון inetOrgPerson (אם אני לא טועה) שבלעדיו הAD יכול להסתדר - אלה ניתנים ל"ביטול".

עובד על רוב מערכות ההפעלה – יש לי ניסיון בסביבת מיקרוסופט ולינוקס אאוצ' !!!

כל הנושא של רפליקות של העץ ושליטה על סינכרונים טוב יותר. אנא פרט ! כי יש לי כמה דברים להגיד גם כאן

בשילוב עם ZEN יש שלטה מלאה על הרשת (ואני מכיר מקרוב HELPDESK ששולט על תחנות בכל הסניפים בעולם !!! בלי לקום מהכיסא ובלי לטחון בטירוף את הקווים), כולל נעילת תחנות התקנה מחדש של תחנות מרחוק והפצה ותיקון תוכנה בלחיצת עכבר. וזה עובד ועובד טוב ! זהו לכרגע אני אשתדל לצרף אנשים שמכירים יותר טוב נובל ו- NDS תהייה: כמה זה עולה לנו ? כאן אני חייב להסכים שAD אינו פתרון כולל ובארגונים גדולים נפוץ להטמיע מערכות שו"ב. מצד שני זהו מוצר נפרד שמתומחר בנפרד. אני לא רואה סיבה לכך שמייקרוסופט יהיו חייבים לתת פתרון כולל, למרות שהם מנסים להכנס גם לתחום הזה.

 

[Teo Toriatt]

לגבי הסעיף האחרון

"בלי לערב חברים" אם ל NDS מותר להביא את ZEN - הואו נשווה ל AD עם SMS 3.0.... אבל זה יפתח השוואה בין המוצרים האלה - שזה נושא טוב אבל לשרשור אחר.

 

[Guys33]

הייתי שמח להגיב יותר אבל ...

אני באילת לשם שינוי ללא מחשב נייד כן כן בחופשה אמיתית ללא מקלדת וכד' יש כאן אינטרנט בלובי אז מידי פעם אני דוגם את הפורום אולי כבר חשבת על זה אבל ניתן לעשות דיון מעניין עם פורום NW ... מקווה שתסתדרו בלעדיי ד"ש חם מאילת החמה

גיא

 

[frolik]

OK

מה שחייב להיות ייחודי זה רק הsAMAccountName ,User Principal Name ו-kerberos principal - בנובל ה- CN באותו OU צריך להיות שונה יען כי שם שמתמש antidot יכול להיות תחת OU מכירות וגם בשרות ..... ב- AD ממש לא לגבי העובדה ש RDN נבנה אוטומטית מdisplayNameFull שטות מפגרת של מיקרוסופט דבר שגורם לבעייה, מכיוון שאתה צריך ליצור משתמש עם full name סתם,ואז להכנס לאובייקט ולשנות ... לא נורא אבל מעיק ומעצבן. כאשר מדברים על directory גלובלי סביר להניח יותר משם משתמש אחד לא?

 

[antidot]

הםםם...

מזה שהמגבלה היחידה היא CN יחודי בOU אני מסיק שNDS לא עובד עם Kerberos - מבחינתי זה חסרון. וברגע שאתה עובד עם kerberos אתה חייב kerberos principal ייחודי. מכאן שהמגבלה (לכאורה) היא תוצאה ישירה של שימוש בטכנולוגיה שלא (?) נתמכת בNDS. לזה אתה קורא חסרון של AD ?

 

[antidot]

לאחר קצת חפירה בספרות

קטגוריות של קבוצות: בAD יש 2 סוגי קבוצות: security, destribution NDS - רק סוג אחד שיכול לשמש עבור שתי המטרות יכולת קינון קבוצות: NDS - בלתי אפשרי AD - כמות לא מבוטלת של אפשרויות קינון סוגי קבוצות: NDS - סוג אחד הדומה לקבוצות אוניברסליות בAD AD - שלושה סוגים: domain local, domain global, universal רפליקציה מבוססת על: NDS - שעון (השעון חייב להיות מסונכרן על כל הרפליקות) AD - לפי USN - מספר סידורי של האובייקט - סטיה של שעון לא תגרום לשינויים בהתנהגות של רפליקציה. שרת יכול להחזיק יותר מרפליקה אחת: AD- לא יכול NDS - כן יכול ניתן לתת הרשאות לOU על אובייקט: AD - לא NDS - כן ניתן למזג עצים: NDS - כן AD - לא Policies: NDS - לא מובנה - דורש את ZEN כתוסף AD - מין הסתם הGPO מובנה תמיכה בפרוטוקול LDAP: AD - מובנת NDS - בעזרת gateway אתם מוזמנים להוסיף.

 

[erandd]

מיזוג עצים

אם אני זוכר נכון לא צריכה להיות בעיה למזג 2 עצים בAD.

 

[Teo Toriatt]

ב2003 אפשר

 

[antidot]

---->

אני חושש שאתם מדברים על יכולת יצירת Kerberos transitive trust בין הforest-ים. אני דיברתי על יכולת למזג שני עצים לעץ אחד, ז"א יכולת לעביר אובייקט מforest בו הוא נוצר לforest אחר וכאן לAD יש בעיה.

 

[עדיבן25]

היי, לא הבנתי שני סעיפים

שרת יכול להחזיק יותר מרפליקה אחת: AD- לא יכול NDS - כן יכול -- אפשר דוגמא לשתי רפליקות על שרת אחר? ניתן לתת הרשאות לOU על אובייקט: AD - לא NDS - כן --- מה הכוונה הרשאות ל OU על אובייקט?