Active Directory suger

[StefanLarsson]

Eftersom jag dagligen jobbar med Novell Netware nätverk och NDS så var ju min nyfikenhet stor nu när Microsoft äntligen släppt sin efterlängtade katalogtjänst Active Directory, så under en veckas tid har jag nu försökt fördjupa mig lite i det hela och kommit fram till följande mogna åsikt: Det suger stort!

 

Det känns som om Microsoft nästan missat hela idén med en katalogtjänst, att man ska arbeta med katalogerna. Om jag nu inte är helt ute och cyklar så är det enda du styr på katalognivå utdelandet av möjligheten för andra att administrera den delen av trädet, samt utdelningen av policypackage som styr rättigheterna på användarens arbetsstation. Rätta mig om jag har fel. Man kan alltså inte på katalognivå ge ut behörighet till fysiska resurser på nätverket till exempel en skrivare, en specifik filkatalog eller liknande utan måste fortfarande arbeta med grupper som man ger behörigheten.

 

Och enligt mig så var ju NT4 hantering av detta rörig, man gjorde en global grupp medlem av en annan global grupp för att sedan göra denna medlem i en tredje global grupp och göra denna till medlem av en domänlokalgrupp som hade den specade behörigheten för en specifik nätverksresurs. Detta behövde man ju i och för sig inte göra, men det är väl Microsofts rekommendationer. Nu har dom ju bara för att röra till det EXTRA mycket lagt till en grupp, en universiell grupp där man kan samla användare från globala grupper över hela skogen (olika träd men som ändå är sammankopplad) och sedan göra den universiella gruppen till medlem i den domänlokala gruppen som har behörigheten till resursen.. Ja, ni förstår själva. Herregud!

 

Detta retar jag upp mig absolut mest på, sen att man inte kan lägga upp andra objekt i trädet än typ användare, skrivare, servrar och grupper är väl kanske nåt som kommer kanske att jobbas bort så småningom.

 

Men en annan sak som retar mig är att man inte kan prtionera upp replikeringen av AD databasen. Utan HELA måste finnas på varje domänkontrollant. Skapar en massa onödig synkroniseringstrafik, MS rekommenderar 512Kbits länkar för att AD:n ska kunna synka ordentligt. Inte mycket kanske, men har man en sajt i Sverige och en i Kambodja eller nåt är det inte det lättaste att få till en sån förbindelse.

 

Finns en massa annat jag retar mig på också, som till exempel att det krävs att man har en DNS för att kunna köra AD med mera med mera.. Men hugg på mig nu så får vi se vart det leder era datorkrigsjävlar!

[54321]

Tjena Stefan!

 

Det finns en del annat man styr med AD, framför allt på användarnivån, och dessutom går det att förändra schemat och därmed lägga in andra objekt och attribut precis som i NDS.

 

Begreppet partitionering finns visserligen inte, men istället finns siter som man definierar för att styra replikeringen mellan olika platser där man inte har så snabba länkar. Alternativt använder man skogar som har har separata databaser som inte replikeras mellan varandra.

 

Du har rätt i att t ex filrättigheter inte sätts i trädet. Men du kan ha en länk till en share i AD och via den sätta rättigheter, effekten för administratören blir nästan den samma som i NDS.

 

Men i stort sett håller jag med dig. NDS är mycket snyggare än AD. Microsoft har lagt stor vikt vid bakåtkompatibiliteten så att det ska vara lätt att uppgradera från NT4. Säkert är många kunder glada över detta och det är vad de flesta förväntar sig från Microsoft - att det är lätt att uppgradera från föregående version - men resultatet är ett AD som är mycket rörigare än om det hade designats från scratch.

 

[StefanLarsson]

Jo, det var ju i princip det jag menade, att man blir tvungen att styra det på användar eller gruppnivå istället för att kunna sätta rättigheter direkt på en container.. Till exempel: Alla i OU=Teknik ska ha samtliga filrättigheter i katalogen \\filserver1\dokument\teknik

 

Schemat förresten, hur är det med det? Replikeras det ut eller? Har för mig att det låg på nåt som kallades för global domänkontrollant, i alla fall det kompletta schemat och att bara vissa delar av det replikerades?!? Rätt/fel?

 

Siterna tror jag att jag känner till, definieras väl upp via subnät om jag inte missminner mig där. Ska typ representera en fysisk del av nätet där det finns snabba länkar mellan samtliga resurser. Men det är ju inte riktigt det jag är ute efter, då styr man endast hur OFTA AD:n ska synkas, inte vilka delar av den som ska synkas.

 

Nå, jag har bara hållit på o grottat i en vecka så jag är absolut ingen expert på något vis, det är bara ett typ första intryck jag har fått, men jag är gärna med i diskussionen! Alltid lär man sig nåt.

[Mr Karbas]

Jag visste väl att jag hade rätt...

 

AD=Active Desktop/Directory=Active and Dirty (Shit)

 

Mr Karbas

 

 

 

[54321]

Håller med dig om att det är skumt att man inte kan tilldela rättigheter till en container i filsystemet. Eftersom en GPO bara kan applicerar på en container och en filsystems-ACL bara på en grupp vill man antagligen ha en grupp för varje OU med samma medlemmar som OUn har. Det kan man förstås ha också, men man får uppdatera den manuellt (suck).

 

Schemat måste replikeras ut till varje DC, annars kommer DCn så småningom sitta med objekt den inte har något schema för.

 

Förresten kan man bara lägga till saker i schemat, inte ta bort så där gäller det att tänka sig för. Jobbigt att installera om företagets alla servrar för att nån klantade till schemat. :-)

 

[Benjamin]

 

"Men i stort sett håller jag med dig. NDS är mycket snyggare än AD. Microsoft har lagt

stor vikt vid bakåtkompatibiliteten så att det ska vara lätt att uppgradera från NT4.

Säkert är många kunder glada över detta och det är vad de flesta förväntar sig från

Microsoft - att det är lätt att uppgradera från föregående version - men resultatet är ett

AD som är mycket rörigare än om det hade designats från scratch."

 

 

Onödigt att dom gjorde det bakåtkompatibelt med NT4 ändå, eftersom dom flesta som kör NT4 använder ju Novell.

 

 

[StefanLarsson]

Ja, det är inte bara skumt, det är OERHÖRT korkat IMO Man tappar ju lite av idén med att ha en katalogtjänst redan där.

 

Okej, hade för mig att det kompletta schemat låg centralt på en Global Domain Controller och att sen alla schemaobjekt replikerades ut till samtliga DC men inte samtliga attribut.

 

Aaaaah, just ja. Kan ju få lite roliga konsekvenser. Bästa att ha lite gamla backupper liggandes då kanske

[Dobroslaw Krawczynski]

Fast till skillnad från de två personer som diskuterar ovan så vet du inget om vad du pratar om

 

 

 

[54321]

"Onödigt att dom gjorde det bakåtkompatibelt med NT4 ändå, eftersom dom flesta som kör NT4 använder ju Novell."

 

Fast det är lite bakåtkompatibelt med Novell också. Iaf såpass att man kan tanka in sin NDS-struktur i AD och köra.

 

Det är ju ett annat av MS varumärken, att de kör det lätt att uppgradera från konkurrentprodukten.

 

[StefanLarsson]

"Fast det är lite bakåtkompatibelt med Novell också. Iaf såpass att man kan tanka in sin NDS-struktur i AD och köra."

 

Fast då är ju frågan, hur fan går det med alla rättigheter och resurstilldelningar man satt på containernivån? Och expanderar den automatiskt schemat med de objekt som finns i NDS:en men saknas i AD:n? Hur går det med NDPS skrivarna? Jag skulle nog göra tvärtom jag, tanka in AD:n i NDS:en och köra

[54321]

Filrättigheterna lär man inte få med sig. NDPS och sådant vet jag inte, har inte testat själv. Såg en demo på en Microsoft-mässa och där fungerade det felfritt. :-)

 

 

 

[StefanLarsson]

Det brukar ha en tendens att fungera felfritt på mässor eftersom:

 

1. Dom förberett demonstrationen hur länge som helst.

2. Dom utesluter sånt dom vet inte funkar.

3. Det dom visar speglar oftast inte verkligheten.

 

Dom knökade säkert in nåt träd som byggde på en gammal version av NDS och endast innehöll användare och grupper eller nåt. Det är min teori Måste testa att göra tvärtom nån dag, slänga in ett AD träd i NDS:en, bara jag oooorkaaaaaar! Återkommer med rapport.

[54321]

"Det brukar ha en tendens att fungera felfritt på mässor eftersom:"

 

Jovisst, därav smileyn.

 

"Måste testa att göra tvärtom nån dag, slänga in ett AD träd i NDS:en, bara jag oooorkaaaaaar! Återkommer med rapport."

 

Yeah! Sen kan du ringa Computer Sweden. :-)

 

 

 

[johan pålsson]

>Säkert är många kunder glada över detta och det är vad

>de flesta förväntar sig från Microsoft - att det är lätt att >uppgradera från föregående version - men resultatet är ett AD >som är mycket rörigare än om

>det hade designats från scratch.

 

Personligen tror jag att nästa version av AD (2.0 ?) som kommer blir betydligt mer lik NDS.

 

Jag tror att MS blev tvungen att göra AD mer domänlikt och lätt att uppgradera än vad som var menat i och med att de inte sitter i samma goda sits som Novell gjorde när de rullade ut 4:an och kunde i kraft av dominans lansera något som var helt nytt (i och för sig är bindery en enklare struktur än NT:s domänhantering vilket även det hjälpte till vid uppgraderingarna).

 

Det gäller alltså att få företagen att migrera till AD och sedan införa nyheterna..

 

Sedan får man ju tänka på att de människor (MCP:r, MCSE:e osv..) som skall göra själva uppgraderingen måste hinna läsa in sig.

 

Det finns ju faktiskt folk som inte ens startat MMC på en NT4:a, än mindre sett en katalogtjänst "live" eller funderat hur en DNS-struktur är uppbyggd.

Det vanligast felet är väl vad jag förstår att man gör sig själv till ROOT-DNS vid installationen.

 

Jag håller med om att för en NDS-kunnig person så ser AD ( i sin nuvarande version) lite futtigt ut (få objekttyper, ingen DSTRACE osv, osv..), men för en som endast är van domäner är det ju en del nytt att sätta sig in i..

 

 

 

Mvh

 

/Johan

 

[Whistler]

Johan,

 

"Personligen tror jag att nästa version av AD (2.0 ?) som kommer blir betydligt mer lik NDS."

 

Spela inte på lotto denna vecka - ett tips från en som bryr sig.

 

"Sedan får man ju tänka på att de människor (MCP:r, MCSE:e osv..) som skall göra själva uppgraderingen måste hinna läsa in sig."

 

Är faktiskt benägen att hålla med, AD är långt ifrån lika pedagogiskt och (till en början) lika logskt som NDS på något plan.

 

"Jag håller med om att för en NDS-kunnig person så ser AD ( i sin nuvarande version) lite futtigt ut "

 

Rättelse : Du menar "för en NDS kunnig person som *inte kan* AD ser det futtigt ut.

 

"men för en som endast är van domäner är det ju en del nytt att sätta sig in i.."

 

Ouch - straffslag.

 

Mer om AD vs NDS imorgon när jag nyktrar till

 

Salute tills dess !

 

 

[johan pålsson]

>Mer om AD vs NDS imorgon när jag nyktrar till

 

Det blir intressant, kan tyvärr inte delta i diskussionen så aktivt som jag önskar i och med att jag inte arbetat yrkesmässigt med NDS sedan slutet av 97 och har glömt en hel del detaljer.

Ska dock ta och plocka fram betakursmaterialet runt AD som vi som gick kurs på QA i våras fick och försöka följa med.

 

 

>Salute tills dess !

 

Desamma :-)

 

Mvh

 

Johan

 

[StefanLarsson]

>Personligen tror jag att nästa version av AD (2.0 >?) som kommer blir betydligt mer lik NDS.

 

Det största problemet för MS är imo att dom (som du själv påpekar längre ner) fortfarande väljer att jobba med domäner som utgångspunkt för hela strukturen. Inget nytt under solen egentligen med andra ord. Ett annat problem, tycker jag i alla fall, är kravet på minst en DNS server. De flesta mindre företag idag köper ju trots allt den tjänsten från nån extern leverantör och har sin domän registrerad hos dessa. Kan medföra vissa bekymmer i vissa situationer.

 

>Jag tror att MS blev tvungen att göra AD mer >domänlikt och lätt att uppgradera än vad som var >menat i och med att de inte sitter i samma goda >sits som Novell gjorde när de rullade ut 4:an och >kunde i kraft av dominans lansera något som var >helt nytt

 

Visst, visst. Men kolla på dagens NDS (version 8) som trots allt går att integrera till i princip 100% på ett otal plattformar, däribland windows 2000. Finns egentligen ingen anledning tycker jag, att köra en SÄMRE katalogtjänst än vad som är nödvändigt bara för att det står Microsoft på den.

 

>Sedan får man ju tänka på att de människor >(MCP:r, MCSE:e >osv..) som skall göra själva >uppgraderingen måste hinna läsa in sig.

 

Som daglig NDS knackare hade jag inga problem att sätta mig in i hur skiten fungerade, i alla fall på ett ungefär, på typ en vecka. Och konstaterade naturligtvis att det var en milsvid skillnad till NDS fördel. Så det finns två alternativ för att lösa problemet. Sätt en snubbe med katalogtjänstkunnskaper på skolbänken i två veckor så fixar han det eller skit helt i AD och kör NDS istället (jag förordar alternativ nummer två)

 

>Jag håller med om att för en NDS-kunnig person så >ser AD ( i sin nuvarande version) lite futtigt ut

 

NÄHÄ? :-)

 

Men det är ju inte bara antalet obejkttyper som är irriterande. Det är ju främst strukturen man retar upp sig på. Det skönaste med ett bra uppbyggt NDS träd är ju i och för sig möjligheten att administrera allt (i princip i alla fall) från katalogen. Routrar, skrivare, användare, filrättigheter, UPS:er, whatever. Men det ska väl funka i AD också bara tillverkarna stödjer det, och det lär dom ju göra.

 

[inlägget ändrat 2000-09-22 10:52:53 av StefanLarsson]

[54321]

"Ett annat problem, tycker jag i alla fall, är kravet på minst en DNS server. De flesta mindre företag idag köper ju trots allt den tjänsten från nån extern leverantör och har sin domän registrerad hos dessa. Kan medföra vissa bekymmer i vissa situationer."

 

Jag tycker det underlättar om man tänker på DNSen som en ersättning för WINS och inte som en extern DNS, att den sen kan slå upp externa namn är något man får på köpet.

 

Problem blir det lätt om man kallar sin domän "foretaget.se" och sen ska man koppla ihop det med sin web som ligger nån annanstans. Döper man istället domänen (i sin interna kontorsmiljö) till "foretaget.local" krockar det inte med webservrar eller externa DNS-tjänster.

 

Bara ett tips alltså.

 

 

[johan pålsson]

>Ett annat problem, tycker jag i alla fall, är kravet på minst en >DNS server.

 

Du har rätt, dessutom är det ju illavarslande att den DNS som bör användas inte är BIND utan MS DNS.

Det vanligaste installationsfelet verkar tydligen också vara att man sätter sin DNS till att bli ROOT-DNS.

 

>Så det finns två alternativ för att lösa problemet. Sätt en >snubbe med katalogtjänstkunnskaper

>på skolbänken i två veckor så fixar han det

 

Finns risk för att folk blir sura ;-), att mecka med AD är nog inte vad en CNE vill göra (särskilt inte i dess nuvarande version).

Men du har rätt, för den som kan katalogtjänster (och DNS) på sina fem fingrar är AD enkelt.

 

>Men det är ju inte bara antalet obejkttyper som är irriterande. >Det är ju främst strukturen man retar upp sig på. Det skönaste >med ett bra uppbyggt NDS träd

>är ju i och för sig möjligheten att administrera allt.

 

AD "kan" mer än vad som går att nå ifrån administrationsverktygen, lösningen är att scripta.

Oops, där har vi en grej till som kan vara bra att ha när man kör administrerar AD, programmeringskunskap..

 

Hursomhelst, det tog ett bra tag innan folk fattade hur man skulle skriva program "NDS aware" men nu har det ju tagit fart riktigt bra.

Orsaken till det (min personliga åsikt, har varit med i Novell developer connection) är att SDK:erna till Netware har varit betydligt mer komplexa än vad "kreti och pleti" velat lära sig, detta är ju någonting som Novell åtgärdat de senaste tre-fyra åren i och med att man kommit ut med mer lättanvända API:er samt komponenter för till exempel Visual basic.

 

AD är betydligt mer lättillgängligt för programmerare redan från början via ett gränssnitt som heter ADSI.

Sen kan man ju fråga sig om det är bra att glada amatörer får möjlighet att sno ihop VB-Script som modifierar schemat ;-).

 

 

Mvh

 

Johan