Андрей Кисляков писал(а):Групповые политики БЕЗ домена майкрософт, управляемые Зеном могут быть ? Тоесть Зен их организует на базе НДС? Или Зен это прилага новеловская для доступа к доменным майкрософтовским политикам ?
Вполне ( то есть домен не нужен - нужны только рабочие станции, поддерживающие Group Policy ( Win 2K или XP Pro ). Собственно
файлы политик хранятся, к примеру, на сервере Netware ( но могут и на виндовом, очевидно - был бы доступен доступ к этим файлам ). Зен - это прилага, эти файлы скармливающая рабочим станциям при их старте и/или логине пользователя ( в NDS ). Сами станции ( т.е. Винда на них ) при этом думают, что они логинятся в домен. GP вы будете править в M$-овской же обычной MMC - только запускается она из новелловской ConsoleOne.
Аналогично с локальными пользователями. Например, при помощи Зена можно заставить Винду при логине пользователя в NDS каждый раз создавать временного локального пользователя ( в виндозном смысле ) на этой самой раб.станции ( или пользоваться неким уже имеющимся локальным пользователем ). А после логаута его удалять. Называется Dynamic Local User. При этом его можно включать в состав определенных локальных групп ( в виндозном смысле ). Которые уже каким-то образом имеют права на виндозные ресурсы ( шары там, принтеры ) - но Зен этим не занимается ( т.е. управлением прав на виндозные ресурсы ). При логине средствами Зена локальному пользователю можно подсунуть профиль ( хранящийся либо на сервере - Netware, Винда, либо на локальном диске ).
Андрей Кисляков писал(а):Большая идея состоит в том, чтоб спасти Новелл и не уходить на майкрософт ради централизованного управления сетью ...
Немного непонятно, какой именно сетью вы хотите управлять. Управлять микрософтовской сетью из-под Новелла не получится - если вы хотите управлять M$-овскими шарами, в т.ч. на локальных машинах, M$-овскими же расшаренными принтерами. Т.е. в лучшем случае вы сможете пользователей делать членами локальных групп, но вот на что они ( эти группы ) способны - Новелл никак не волнует. Грубо говоря, если вы хотите взять и "Сеть Микрософт" со всеми ее прелестями засунуть в NDS, то не выйдет.
Кроме того, ИМХО сабж сформулирован некорректно. К "единой аутентификации" это не имеет отношения - вы смешиваете средства управления ресурсами в кучу, а вот аутентифицировать пользователя по логину лишь в одну из сетей как раз в принципе возможно. Но это совсем не значит, что этой сетью можно будет рулить из другой ( неважно, Новелл -> M$ ли это или M$ -> Новелл ).
Помимо описанного выше в Зене есть еще пара фич, которые использовать необязательно - доставка приложений ( т.е. вы хотите, к примеру, чтобы такой-то группе были видны только иконки для Ворда и Экселя, а такому-то пользователю еще и Аксесса - я сильно упрощаю, конечно ), раздача принтеров ( новелловских ), управление образами рабочих станций ( Norton Ghost знаете ? вот еще NDS добавьте ).