NetWare+ZEN или Windows Server, выбор.

[Танин Виктор]

Это преодолимо. Не очень красиво, не очень удобно, но вполне себе Когда-то этот документ был доступен свободно: http://searchwinit.techtarget.com/tip/0 ... 04,00.html - сейчас там просят пройти регистрацию, чтобы к нему добраться. У меня этот документ есть, в полном объёме, если кому интересно, могу сюда выложить, он небольшой. Непонятно, зачем было это так запрятывать

Сергей, выложите.

[Сергей Дубров]

Это преодолимо. Не очень красиво, не очень удобно, но вполне себе Когда-то этот документ был доступен свободно: http://searchwinit.techtarget.com/tip/0 ... 04,00.html - сейчас там просят пройти регистрацию, чтобы к нему добраться. У меня этот документ есть, в полном объёме, если кому интересно, могу сюда выложить, он небольшой. Непонятно, зачем было это так запрятывать

Сергей, выложите.

Сейчас попробую скопипастить сюда содержимое doc-файла, который, в свою очередь, был создан копипастом исходной html-страницы :

ACTIVE DIRECTORY ADMINISTRATION TIPS
Control your Group Policy, don't let it control you

Laura Hunter, Contributor
09.20.2005



If you've worked with Active Directory for any length of time, you've certainly done at least a certain amount of work with Group Policy Objects (GPOs). On the off-chance that you've never worked with them before, GPOs allow you to apply various configuration settings to an entire group of user and computer objects by linking one or more GPOs to an Active Directory container (you can link Active Directory GPOs at the site, domain and OU level). By default, once you've linked a GPO to an AD container, every user and computer object within that container will receive the settings configured in that GPO. The reason for this is that a GPO, like anything else within Active Directory, is an object that you can apply permissions to using its Access Control List (ACL).
In addition to the usual Read, Write, and Full Control permissions, you can also grant or deny the Apply Group Policy permission to a GPO. It is this permission in conjunction with Read that controls whether a particular GPO will apply to a particular user or not. The default ACL for a newly-created Group Policy Object grants the Read and Apply Group Policy permissions to the Authenticated Users group. This is a special security group that applies to all users (including administrators) who have successfully authenticated against your Active Directory domain. That parenthetical is a fairly important point to keep in mind, because if you're not careful in testing your Group Policy settings before deploying them to a production environment, you can inadvertently lock your own administrative and support staff out of portions of the Windows operating system.
As you might imagine, you can use these ACLs to exert really fine control over how Group Policy is applied in your organization (and of course leave yourself open for troubleshooting issues if you're not careful).
Let's say that you administer a smallish network where you've placed all of your users in a single OU, and now you want to use Group Policy to lock down certain operating system features. So you create a GPO called Global-Settings that mandates a number of settings. One of the settings included in the Global-Settings GPO disables access to the Settings tab in the Display Control Panel applet, to cut down on support calls from users who have "fooled around" with their display settings and rendered their screens unreadable. However, after you deploy this policy, you learn from your web developer and graphics designers that this is hindering their ability to do their jobs, since they often switch to different screen resolutions to test how your company's web applications appear at lower and higher settings. Since you don't want to roll back this GPO restriction entirely, you can use security filtering to apply a different setting to this small subset of users.
The steps involved in this process are as follows:
1. Create a security group called WebDev that contains all of the users who should be held exempt from this setting.
2. Create a second GPO called WebDev-Display-Settings containing a setting that explicitly enables access to the Settings tab of the Display applet.
3. Remove the entry for the Authenticated Users group in the ACL for this new GPO. Add the WebDev security group you created in Step 1 to the GPO's ACL, and then grant the Read and Apply Group Policy permissions to the WebDev-Display-Settings GPO.
4. Link this second GPO to the OU containing your user accounts, and make sure that it appears first in the list of GPOs, also referred to as the link order.
That last step deserves a bit of additional explanation. When multiple GPOs are linked to a single OU, they are processed in order from the bottom of the link order to the top. If any settings conflict, like access to the Settings tab in our example, the setting that is applied last will be the one that is applied. (Think of it as having an argument in which the person who gets the last word in is the one who wins.) So, in our example, when a web designer logs onto Active Directory, Group Policy processing happens in the following order:
1. The Global-Settings GPO is applied first, and access to the Settings tab is disabled.
2. Since this user is a member of the WebDev security group, the WebDev-Display-Settings GPO is applied second (and last), and access to the Settings tab is enabled.
Since only the members of the WebDev security group have the Read and Apply Group Policy permission to the WebDev-Settings GPO, a user who isn't a member of the WebDev group will only have the Global-Settings GPO applied, and will therefore have his or her access to the Settings tab disabled.
As you can probably guess, we've only just scratched the surface of the ways that you can control Group Policy behavior on your network. In future articles, we'll discuss other ways that you can customize how GPOs are deployed within an Active Directory environment.
________________________________________
Laura E. Hunter (CISSP, MCSE: Security, MCDBA, Microsoft MVP) is a senior IT specialist with the University of Pennsylvania, where she provides network planning, implementation and troubleshooting services for business units and schools within the university. Hunter is a two-time recipient of the prestigious Microsoft "Most Valuable Professional" award in the area of Windows Server-Networking. She is the author of the Active Directory Field Guide (APress Publishing). You can contact her at laurahcomputing@gmail.com.

[Музалёв Николай]

Коллеги!

Существует ли по ZEN'у документация популярного уровня?
Не руководства алмина, пользователя и тд, а именно описание, которое могло бы быть понятно руководителям?
(в идеале - нечто среднее между БелыеCтраница+Overview и независимым анализом )

Интересует в первую очередь Endpoint Security Management и ZEN Config Manager, ZEN Identity Manager

Спасибо.

[Иван Иванов]

если я не ошибаюсь, в Windows групповые политики можно назначить на минимальную единицу OU, даже не на группу. отсюда возникают проблемы создания каких то "левых" OU только чтобы назначить разные политики разным группам.
в ZENe можно назначать политики так же как и ACL вплоть до пользователя. Причем как обычно более низко назначенная политика имеет преимущество перед верхним уровнем. Я, например, так потихоньку убираю права локального админа у людях на компьютере. Всех сразу приводит к проблемам, на которые у нас не хватает людей. поэтому политика типа AdminOnLocalComp ассоциирована со всеми OU предприятия, и я потихоньку добавляю людей по одному в список ассоциации к политике UserOnLocalComp.
так что политики в ZENe более гибкие чем в самой винде

Времена меняются http://novell.org.ru/forum/viewtopic.php?t=10724
Раньше можно было делать финты ушами в виде фильтров.
По теме - кмк сейчас для маленькой организации чистый WIN намного выгоднее. Возможности зена побогаче встроенного функционала винды но без мелких удобств в небольшой конторе можно обойтись. Неудобства в виде вэбморды на ZCM тоже присутствуют:).
Например организация из 25 ПК. По хорошему нужно два 2008 сервера и 25 калов из которых 10 идет в комплекте с сервером в деньгах это 657 у.е.*2+15*27=1719$
Зен же 69 у.е. за пользователя. для 25 ПК 69*25=1725$ и еще для него нужна платформа. Например слес.
69 у.е. это редакция стандарт в которой нет патч менеджмента - соответственно нужно докупить еще и это или винсервер с WSUS. Почти везде есть приложения работающие на винде и нужно городить городульки по их скрещиванию с едиром.
Глюки и подвисоны на винсерверах я видел последний раз несколько лет назад и то их виной было десктопное железо и кривые руки.
Одним словом на данный момент при существующей ценовой политике в малых сетях новэл идет лесом. непонятно с чего они берут такие цены.

[skoltogyan]

Сейчас ничгео по ценам не скажу.
Хочу оточнить:
ZSC stanadart edition включает в себя
- средство РАСПРОСТРАНЕНИЯ ПРИЛОЖЕНИЙ и управления приложениями на станциях
- средство инвентаризаци ПО и хардваре на станциях
- распространение политик на станции и пользователей ( это могут быть как локальные так и AD-ые политики)
- удаленый доступ к рабочим столам и станциям.

Если необходимо сравнивать -следует сравнивать типа так:
Есть 25-ть станций.
Необходимо иметь возможности описаные выше + общее файловое хранилище с разграничениями (тут опять-таки разные требования могут быть, равно как и возможности).
После этого спрашиваем у гуру (MS и Novell) - а на каких продуктах ваших фирм такое можно реализовать и сколько оно будет стоить единовременно и буду-ли какие-либо требоваться платежи в дальнейшнем.. Вот после этого сравнивать.

[leonid]

Например организация из 25 ПК. По хорошему нужно два 2008 сервера и 25 калов из которых 10 идет в комплекте с сервером в деньгах это 657 у.е.*2+15*27=1719$
Зен же 69 у.е. за пользователя. для 25 ПК 69*25=1725$ и еще для него нужна платформа.

А не проще ли купить Novell Open Workgroup Suite Small Business Edition
Это...

Код: Выделить всё

Полный набор приложений для совместной работы

    * Open Enterprise Server
    * ZENworks Configuration Management
    * ZENWorks Linux Management
    * GroupWise
    * OpenOffice.org (Novell Edition)
    * SUSE Linux Enterprise Desktop

http://www.novell.com/ru-ru/products/openworkgroupsuite/
5-User 1-Year Priority Maintenance в Совтлайне стоит 4869.18 руб
5-User 1-Year Standard Maintenance там же 4468.15 руб
Итого 5*4869.18=24345.9 рубликов

[Иван Иванов]

А не проще ли купить Novell Open Workgroup Suite Small Business Edition

IMHO для нескольких десятков ПК в одном здании не проще в большинстве случаев т.к. все-равно скорее всего для чего-то придется покупать сервер на вин (хотя-бы для всус) и цена возрастает. Потом может понадобится скрестить ад с едир. Вот с несколькими площадками становится намного интереснее. МС явно уступает.

5-User 1-Year Priority Maintenance в Совтлайне стоит 4869.18 руб

прошлой весной годичная поддержка была в прайсах но недоступна в заказах. возможно сейчас что-то изменилось. Я никак не могу понять - обновления доступны через год или нужно продлевать подписку? Если второе - у микрософта тоже есть варианты аренды ПО и покупки в рассрочку... правда интересно.

[skoltogyan]

Надеюсь в форуме ответят на этот вопрос Иванова те, кто владеют знаниями по лицензированию продуктов Novell

[Boris Morozov]

в одном автопарке. Наш старый, престарый клиент, у них около сотни компов в сетке и к ним сейчас присоединили другой автопарк вместе с автобусами и работниками, в том числе с тем админом. У тех была виндовая сетка. Мальчик толковый и он смотрел, как все это происходило. Увидев процесс вливания, переноса информации и прав, веб интерфейсы управления, он был просто в шоке. Одно слово было, "я не представлял, что это так изящно можно сделать". Работа сети была остановлена два раза на 15 минут при переключении на новые диски.

Спорить не о чем, виндовс-сервер система НЕДРУЖЕСТВЕННАЯ к администрированию. Даже если отвлечся от глюкавости.

[Иван Иванов]

А это не спор а поиск оптимального решения. Заказчику в лице хозяина бизнеса "дружественность" неинтересна. Он же видит что вокруг все и всё на венде. На первом плане деньги и функционал с точки зрения пользователя. С появлением 2008 сервера целесообразность новых инсталяций, особенно в небольших сетях, новэловских продуктов мне кажется сомнительной , особенно если смотреть с точки зрения работодателя, хоть есть определенные придирки и с технической стороны.

[Иван Левшин aka Ivan L.]

Вопросы "выгодности" - штука интересная. Тут уже совершенно справедливо заметили, что есть NOWS Small Business Edition - 5 лицензий со стандартной подпиской стоят 631 доллар (рекомендованная цена). 25 машин - умножаем на 5, получается 3150. За эти деньги контора получает, помимо файлового сервера, систему управления десктопами и почтарь (SLED считать не будем). Дороже, чем виндовый сервер, пример которого привел Иванов, но и функционал поболе. Докупать Patch Management - да, придется. Рекомендованная цена - 18 долларов за виндовый девайс (т.е. плюсом 450 долларов). WSUS, насколько мне известно, пока бесплатно не раздают
До кучи - давайте не будем забывать о "побочных эффектах" в виде обязательной антивирусной защиты на виндовом сервере. Оно, в общем, тоже стоит денег.
До кучи предлагаю подумать над одним интересным казусом, который я имел удовольствие наблюдать у коллег (там, правда, много больше 25 машин) - во время эпидемии одного из вирусов (наименование не помню - у меня на линухе и с ОЕС2 проблем таких нет в принципе, потому предпочитаю голову не забивать) они смогли спасти корпоративную АД только тем, что зарубили на свитчах 139 порт - локализовали сегменты, из которых шло распространение, после чего сели ждать вакцину, которой на тот момент не было ни у кого. На их счастье - основным каталогом был (и, насколько мне известно, остается) еДыр, потому катастрофы не произошло. Что было бы, если бы у них была только АД - предлагаю додумать самостоятельно

Требования к железу у OES2 скромнее, чем у Windows 2008 - что, опять же, тоже стоит денег
В сухом остатке - если сесть и посчитать, "преимущество" Windows-платформы далеко не так бесспорно, как его пытается описать Иванов.

"Неудобство в виде вебморды" - тут, как известно, кто-то любит бублики, а кто-то - дырки от них. Аргумент, опять же, более чем спорный. Лично мне не нравится MMC - и не потому, что я прямо фанат новеля, просто неудобно лично мне и все тут.

Далее - аренда ПО есть штука прекрасная только на первый взгляд. Такую программу действительно предлагают и MS, и Novell, однако почему-то у заказчиков Novell она ажиотажа не вызывает. Предпочитают по старинке приобретать бессрочные лицензии.

Музалёв Николай - напиши на support-russia@novell.ru, попробую посмотреть, есть ли какие-то материалы именно для презентации руководству.

[Сергей Дубров]

WSUS, насколько мне известно, пока бесплатно не раздают

Да ты что, Иван! WSUS по жизни всегда был бесплатным

P.S. Где пропадал-то? Давно тебя здесь видно не было...

[Иван Иванов]

Дороже, чем виндовый сервер, пример которого привел Иванов, но и функционал поболе.

Так и микрософта есть http://www.microsoft.com/sbs/en/us/default.aspx
В исходном посте речи про почтовик не было а только про управление десктопами поэтому я и взял "чистый" сервер не обремененный ограничениями смолбизнеса.

До кучи - давайте не будем забывать о "побочных эффектах" в виде обязательной антивирусной защиты на виндовом сервере. Оно, в общем, тоже стоит денег.

На винсерверах антивирусы ставят для тех же целей что и на нетварь и никсы - для защиты пользовательских файлов. Для защиты именно сервера никто не ставит (за исключением терминалов). Т.е. это не аргумент.

Требования к железу у OES2 скромнее, чем у Windows 2008 - что, опять же, тоже стоит денег

Соглашусь только в месте с почтовиками. Групвайз и чанга по прожорливости действительно очень разные. остальное несущественно с современным железом. "Легкость" нв клиента и агента зена, клиента ГВ на слабых машинах заметна.

"Неудобство в виде вебморды" - тут, как известно, кто-то любит бублики, а кто-то - дырки от них. Аргумент, опять же, более чем спорный. Лично мне не нравится MMC - и не потому, что я прямо фанат новеля, просто неудобно лично мне и все тут.

Я не про вэбморды вообще а именно про ZCM. В сравнение со старой управлялкой из консольвана неудобная жуть. сама идея хорошая но конкретная реализация не на высоте.

Далее - аренда ПО есть штука прекрасная только на первый взгляд. Такую программу действительно предлагают и MS, и Novell, однако почему-то у заказчиков Novell она ажиотажа не вызывает. Предпочитают по старинке приобретать бессрочные лицензии.

Я не говорил про прекрасность идеи а спрашивал нужно ли продлевать подписку для получения обновлений через год после покупки продукта.

[Dimerson]

WSUS, насколько мне известно, пока бесплатно не раздают

Да ты что, Иван! WSUS по жизни всегда был бесплатным

P.S. Где пропадал-то? Давно тебя здесь видно не было...

Сергей - может я путаю но лицензия на WSUS предполагает наличие лицензий на юзеров Windows Server == числу обновляемых компов.

[Иван Иванов]

Сергей - может я путаю но лицензия на WSUS предполагает наличие лицензий на юзеров Windows Server == числу обновляемых компов.

Да. Но практически у всех калы для доступа к винсерверу есть. Например для терминального сервера с 1С.