如果我想设置几台 Windows 7 或 8 PC 以仅允许使用域帐户登录,我必须为此花钱购买 Windows Server 吗?或者像 Apache DS 这样的 LDAP 服务器或甚至内置于我的 QNAP NAS 中的 LDAP 服务器可以吗?
如果我还想在 PC 上应用策略(例如禁止用户更改 IPv4 属性设置),是否可以在不使用 Windows Server 的情况下在每台 PC 上本地应用该策略?
答案1
您可以使用 SAMBA 软件将 Linux 设置为域控制器。因此,您无需仅为域登录而购买 Windows Server 许可证。
然而,普通的 LDAP 服务器是不够的。
AFIK,您甚至可以使用免费软件应用组策略,SAMBA v4 肯定支持组策略,但我不清楚您是否仍然应该授权客户端访问许可证。我认为诸如 Likewise Open 和 Centrify Express 之类的工具声称可以做到这一点,尽管这两个网站似乎在我上次引用后已经继续前进或关闭。我实际上没有这样做过,所以我不能确定它有多容易。同样开放现为 BeyondTrust 的一部分。
这桑巴维基也有一些基本说明,尽管它们看起来有点过时,并且只要您使用 v4,看起来您就可以纯粹使用 SAMBA 完成大多数事情。
更新:
回答为什么仅使用 LDAP 是不够的。虽然 Active Directory 确实部分基于 LDAP 标准,但它有很多特定于 Windows 的专有附加功能。您必须拥有非 LDAP 服务来响应客户端登录、处理组、许可证、组策略等。
另一方面,LDAP 是 X.500 的一个标准和协议,旨在为基于 X.400 的电子邮件系统提供企业级(实际上是全球级)用户和相关资源目录。对于大多数事情来说,X.500 都是过度的,并且需要一个非常复杂的客户端,而这个客户端对于当时的大多数 PC 来说太重了。因此 LDAP(轻的目录访问协议 (Directory Access Protocol) 诞生了。但本质上,它仍然只是一种从非常大的目录中查找用户和类似数据的机制。它所做的只是以标准方式进行标准查询并返回结果。当然,它还有更多内容,但这就是它的本质。
答案2
Samba 4 域控制器应提供您描述的所有功能。特别是,只要您坚持使用单个服务器,它就会开箱即用地支持您提到的组策略和身份验证。只要您遵循文档,设置就不太难。
然而,正如前面提到的,标准 LDAP 服务器无法解决问题。Windows 对于域控制器上的 LDAP、Kerberos 和文件服务的组合相当挑剔,它们都与标准化略有不同。
人们经常谈论的限制主要是设置复杂性,而不是实际限制,所有这些限制只有在您研究的不仅仅是单个服务器时才会发挥作用。在这种情况下,Samba 4 缺少内置策略复制复制的部分,因此您需要一个脚本来解决这个问题。另一个问题是 NTP 和 Kerberos 身份验证是单独的服务,需要配置为匹配您的第一台服务器。我想说,一旦您运行了前两台服务器,管理它就不会太麻烦,但设置多服务器 Samba 4 环境的初始曲线可能相当高。
当然,商业发行版(例如我们的 UCS)可以使 Samba 4 更轻松地运行和管理它,但它的底层是我们在 10000 个用户环境中运行的相同软件。