Навеялось по следам курса про AD

[Павел Гарбар]

АД в ад! NDS рулит! Пусть МС купит Новелл, и выкинет нафиг свой вин-сервер с АД (как SCO забила на свой Unix, купив у Новелл UnixWare), забьет на линух и сделают нормальную NetWare 7 (или хоть NetWare 2013) и раскрутят ее своим маркетингом. Ораклу со своим Саном уже не придется даже с ними тягаться - снова сделают Оракл на NW и будет мир во всем мире!

[Clericos]

А чем AD собственно плох? Вполне достойный и зрелый продукт.
Кроме того (IMHO), при прочих равных имеет ещё и ряд достойных преимуществ:
1. родная поддержка клиентской линейкой windows.
2. групповые политики
3. поддержка третьими сторонами (1С v8 например).
4. продукт имеет будущее, а не прошлое (AD можно разворачивать, не боясь что через 2-5 лет его в приказном порядке заменят и ты окажешься не у дел).

В чем собственно преимущества NDS (eDir)???
IMHO AD полный эквивалент eDir просто более коммерчески успешный => более перспективный. Не это ли главное?

[Алексей Судариков]

"Недостаток у меня один - много вру" ':D'
Это я к тому, что деревья и леса в AD не столько облегчают жизнь, сколько осложняют - на мой личный взгляд. М.б. я такой "везунчик", но встретил уже 4 фирмы, к-рые после сооружения развесистого дерева AD со скрипом и матюгами перелезали обратно в единый домен. 3 конторы среднего калибра - неск. сотен юзеров, одна - побольше, международная IT (!!!) компания. И чем тогда вся эта AD лучше домена NT4? Некоторая косметика в виде OU и только, имхо.

[Сергей Дубров]

"Недостаток у меня один - много вру" ':D'
Это я к тому, что деревья и леса в AD не столько облегчают жизнь, сколько осложняют - на мой личный взгляд. М.б. я такой "везунчик", но встретил уже 4 фирмы, к-рые после сооружения развесистого дерева AD со скрипом и матюгами перелезали обратно в единый домен. 3 конторы среднего калибра - неск. сотен юзеров, одна - побольше, международная IT (!!!) компания. И чем тогда вся эта AD лучше домена NT4? Некоторая косметика в виде OU и только, имхо.

Я уже тут не раз говорил, что могу провести, пожалуй, наиболее полное и всестороннее сравнении AD vs eDir, потому что очень много и глубоко разбирался с обеими технологиями. Увидев пост Clericos-а, хотел отреагировать, но поначалу передумал - жаль потраченного времени, много придётся писать. Но на ваше сообщение решил всё-таки ответить, ответить в поддержку.

Если коротко, AD - это грубовато слепленные, до конца не притёртые друг-к-другу разношёрстные технологии. Слеплены довольно коряво и неуклюже. Н-р, кто там может быть принципалом безопасности в AD? Правильно: юзер, группа, компьютер. Фсё. А как же OU? А никак. А для чего же их тогда придумали? А для групповых политик в основном. И какой наименьший объект для применения политики в AD? А всё тот же OU. А мельче можно, н-р, назначить индивидуальную политику одному конкретному пользователю? Можно, но придётся комбинировать GP с ACL, расставляя правильный порядок(!) ACL-ей. Причём ACL назначить на OU нельзя, потому что OU - не принципал безопасности (см. выше). Офигенно "логично", "удобно" "прозрачно". Сравните с раздачей тех же групповых политик через eDir - их можно назначать на OU, на группы, на пользователя. Чем "ближе" к конечному пользователю, тем политика приоритетней. Просто, понятно, наглядно. Группы стройность путают? Так можно их вообще выключить из групповых политик. Грамотный дизайн, грамотное, понятное решение. В AD не дизайн, а тихий ужас.

И это только очень небольшой штришок против AD, у меня таких - вагон и маленькая тележка. А репликации в AD? Кошмар просто. Паша именно по этому поводу тут сгенерил первый пост . Единственная правда в посте Clericos-а - AD на сегодня действительно коммерчески более успешна. Но технологически она сильно уступает eDir.

В поддержку Алексея Сударикова - как вы думаете, сколько доменов во внутренней сети микрософт? Угадайте с трёх раз. Правильно - один. Потому что создавать развестистое DNS-дерево - очень неудобно, завязка на DNS - грубая и фатальная ошибка. Не зря M$-у пришлось сильно "рихтовать" классический DNS, чтобы подтянуть его к своему видению каталога. А OU - это суррогат, а не древовидная структура (M$-домен - плоская структура, несмотря на все OU).

А слова про "продукт имеет будущее" сильно напомнили мне относительно недавнюю историю из немного другой области. Жила-была операционная система MAC OS X 10.4 Tiger. И была в ней штатная переключалка языка, индивидуальная для каждого приложения (т.е., каждое приложение может в каждый момент иметь текущим свой собственный язык). В общем, как в венде, как в линухе. И вот пару лет назад выходит MAC OS X 10.5 Leopard. Система хорошая, спору нет (вот сейчас с неё пишу ), но вот та самая переключалка языка в ней по воле разработчиков стала... глобальной. Т.е., вот пишу я сейчас на русском из Safari, потом переключаюсь в другое приложение, а там - тоже русский язык включён, а он мне там не нужен. Переключаюсь на английский, ввожу английский текст, возвращаюсь обратно в Safari - ч-ч-ёрт, надо обратно на русский переключаться. Короче стало так, как в Windows 3.1 было когда-то. Неудобно? Однозначно. Но - вот тут самое интересное - мак-фаны с пеной у рта стали "доказывать" и "обосновывать", что глобальная переключалка - это удобно, полезно и правильно. Фаны, что с них взять, чистый пеар. И про "светлое будущее AD" - это такой же пеар - навязанный, назойливо распространяемый, усердно продвигаемый. И вот так вот, легко, оказывается, что AD - "вполне достойный и зрелый продукт". Хотя ни достоинства ни зрелости при ближайшем беспристрастном рассмотрении там отродясь не было. Напор слона в посудной лавке - вот и все "достоинства" AD, по сути.

[Timur Kazimirov]

К сожалению мне сейчас приходится переползать с eDirectory+NDPS (даже без iPrint)+ZEN на AD+SCCM (в причины вдаваться не буду). Так вот - второй связке до первой, как протоплазме до динозавра.
Перечисление минусов займет слишком много времени, поэтому закругляюсь...

[Павел Гарбар]

АД - не продукт, а фактически часть ОС Windows Server. АД неотделим и не может работать на других платформах, как это может NDS/eDir. Так что нет у него коммерческого успеха - это успех маркетологов МС в продавливании вин-серверов, а не АД как таковой.
1С - работает по принципу МС давно - продукт написан плохо, но маркетингом продавливают. 1С большой партнер МС, но даже их иногда достают - поэтому и пытались выпустить 1С на линухе, но я не вижу коммерческого успеха этого направления. Потому как хорошо писать программы в 1С практически никогда не умели, а завязли на МС сильно, перенести код - сложно. Казалось бы - сделай авторизацию тупо по LDAP'у и ходи в любой каталог...
Групповые политики. ZEN умел управлять DOS- и Win3.1-станциями, еще до того, как об этом подумала MS. И ЗЕНом до сих пор удобнее делать те самые групповые политики. ПО ЗЕНом устанавливается лучше и удобнее. CCM 2007 - почти как ZEN 6, только похуже.
Про 2-5 лет будущего. Для ИТ мира это очень много. Уверен ли ты в своем завтра? (кстати, сокращения все еще происходят) А у меня серверы NW и NDS/eDir нормально работают по многу лет и еще столько же проработают.
Ну и напоследок про зрелость технологий.
В конце 2006 года я проводил в Москве курсы по eDir, ZEN и Identity Manager. А потом сразу полетел на Дальний Восток внедрять проект по АД, с миграцией, групповыми политиками, Identity Manager от МС (продукт они также назвали, а функционал убогий). Переплевался.
Масштабируемость. АД в 2008 по одним сведениям может содержать до 30 млн. объектов, по другим - до 60 млн. объектов. NDS в 199х году (точно не помню) показывали с 1000 млн. объектов (тогда на 8 Sun'овских серверах развернули). Почувствуйте разницу.

[Timur Kazimirov]

Переплевался.

Вот-вот... Ну фиг с вами, как говорится, был eDir, стал eDir+AD - второе особо не мешало, разве что умиляло. Но теперь кому-то (пальцем тыкать не буду) красная буковка N как красная тряпка для быка стала...

[egoncharov]

По поводу AD и доменов. Сам Microsoft рекомендует использование как можно более простой структуры (экзамен 70-297). А использование нескольких доменов и/или лесов - это вопрос уже больше организационный, чем технический.

Группы и разрешения. Группы Microsoft задумывал не для того, чтобы на них политики применять, а для предоставления разрешений пользователям на различные объекты Microsoft. Политики - это всего лишь набор параметров конфигурации. В этом, на мой взгляд, политики Novell и Microsoft отличаются. Разные цели использования, соответственно, и разная реализация.

Насчет будущего. Как мне кажется, пиком деятельности Microsoft стала линейка продуктов, ориентированная на Windows Server 2003 (сюда же входят SC 2007, Exchange 2007, может быть SharePoint 2007). Дальше будут только подводиться так называемые штрихи к портрету. Линейка Windows 2008 ничего кардинально нового миру ИТ не дала (корзина AD - вряд ли, супер-пупер защищенность - тоже большие сомнения), кроме, может быть, виртуализации. Я уже молчу о том, что Microsoft все больше идей подбирает из мира Linux (те кто видел рабочие столы GNOME, KDE еще в 2005 году и рабочие столы Microsoft Vista, 2008, 7 в 2008 году, меня поймут. Сюда же относится недоразумение в виде PowerShell)))

[Музалёв Николай]

Почувствуйте разницу.

Паш, миллиард.

Была статья.
Описывалась не столько само Дерево и тд, а технология, ПО, организации окружения и тонкости процесса именно генерации миллиарда пользователей.
По времени заняло это толи пол-суток, то ли полторы суток ( не помню сейчас точно...).

Меня улыбнуло заключительное замечание автора статьи в конце, типа "когда мы загнали в Дерево все 1000000000 объектов, ОНО ПРОДОЛЖАЛО РАБОТАТЬ!!!..."

[Павел Гарбар]

Коля! 1 000 млн - это как раз миллиард и есть Просто чтоб разницу было видно 30-60 млн и 1000 млн.
А загонял я в тестовое дерево на виртуалке (мало места для тома SYS выделил).

[skoltogyan]

Хоть ветка и флейм...
Кто может пост от egoncharova компетентно прокоментировать ?

Евгений говорит, что MS не говорит использовть AD так-же (с теме-же подходами) и eDir.
Коллеги именно это кто-то услышал в посте Евгения ???

Что есть такого, что требуется во всех предприятиях (говорим сейчас за Украину и Россию) и нельзя сделать на решениях от MS, а можно сделать только на решениях от Novell ?

Что затраты на покупку ТОЛЬКО СОфТА от Novell и только СОФТА от MS для решения задач отличаются в разы ? - нет. речь идет о 10..30..40(редко) % Однако с учетмо того, что если таки менять, то прйдется конкретно переучивать админов (ии вообще менять) , переучивать пользователей, искать другое ПО (не для ВИНдовс), то эта экономия рискует перейти в перерасход..

Что существуют какие-либо системы и приложения, не от MS которые взаимодействуют с MS менее глючно, чем аналогичнй софт от MS ?

Ну да, eDir может держать столько объектов, сколько и не снилось конкурентам.. и что ? Какое украинское предприятие или росийское имеет такое количество побъектов ?

Вопрос/проблема возникает перед заказчиком обычно такого плана:
у них уже есть пар рабочих столов виндовс....
у них уже есть какие-то виндовые сервера под помойк, с 1с или Аксапта или еще с чем такого-же типа, с m-daimon или типа того (почтовик смтп-ый и прокся простая). У них уже есть или специалист или полуспециалисты по продуктам МС...
Их руководители IT читают журналы, в которых ВСЮДУ рассказывается о том, как ИХ вопросы решаются средствами:
MS Exhange, MS Project/SharePoint, MS SMS и так далее..
Им предлагают софт по управлению предприятиями, бухгалтерии, ЛИГА , Тендеры, Расчет затрат при строительстве и прочее - все это ориентировано так или иначе на платформу от МС и интегрируется с АД.

Каких специалистов, пусть и не крутых, но легче найти по продуктам от МС или по продуктам не от МС ?

Как по вашему, что предпочтет Директор ИТ (а он реально делает выбор, а не админ, который пологет, например, freeBSD) ?

Положа руку на сердце, что, каждый из нас ковыряясь и разгребая баги, которые лезут после очередного SP не материм "индусов, траву, бржуев, новелл, снижение качества софта и т.д." ?

Отсюда вопрос - Как ВЫ думаете, ЧТО СЛЕДУЕТ ПРЕДЛАГАТЬ и ЧТО ИМЕННО РАССКАЗЫВАТЬ потенциальным клиентам о решениях от Novell ?

[Михаил Григорьев]

Внесу свои 5 копеек....

Вообще разговоры на тему, что лучше, как правило, к единому мнению никогда не приводят, поэтому спорить и доказывать с пеной у рта, что AD хуже/лучше eDir я не буду.

Просто скажу, да это и не секрет, что у MS направление серверных ОС убыточно, а прибыльно только одно - это десктоп системы, за счет которого и вытягивается все остальное. И чего следует вывод, что на этом поприще есть место для конкурентов. Но т.к. MS лидер на рынке десктоп систем, то они могут диктовать правила и, увы, никогда не будет такое, чтобы MS интегрировала в свои десктоп решения каких-то сторонних клиентов, например Novell Client, ZENWorks или еще что. Вот и получается, что большинству проще работать с нативным клиентом MS и проще поставить домен AD для этих целей, и пофиг что он корявый, ведь главное это удобства для конечного пользователя. А удобство заключается в простоте + огромном количестве софта под решения MS, именно поэтому оно популярно.

[capricious]

короче надо учить и то и другое , чтобы при случае предложить решение на любой платформе

скорей бы уже вышел OES2 SP2 c обновленной Directory Services for Windows

[Boris Morozov]

Проблема с клиентами совершенно надуманная. Стандартный Setup. Пользователям это вообще до фени. Нечего параноится. У MS репутация ниже плинтуса. Как организовывать систмему, вопрос внутреннего убеждения админа. Одного двух виндовых серверов в сети за глаза хватит для работы терминалов, MS SQL и прочего. Без мутностей типа AD они очень хорошо и стабильно работают как сервера приложений. Особенно если их не использовать как файлопомойку и отключить MS сетку. А о том, что у MS продукты интегрированы и стыкуются между собой, так бабушкам на лавочке рассказывайте. Ворд с екселем по макросам и методике работы не стыкуются. А если не дай бог, программировать и влезать в их API, так по сравнению с этим авгиевы конюшни это образец порядка. Нету у MS никакого единства и идеологии. Совершенно разные куски от разных разработчиков.

[Иван Иванов]

скорей бы уже вышел OES2 SP2 c обновленной Directory Services for Windows

Немного не в рамках темы но чем не устраивает существующий дсфв? Очень интересно мнение испробывавшего