Domain Controller erstellen

  • Wobei es dafür meine ich nicht zwangsweise einen DC bedarf

    Nein, ohne einen DC hat jeder Windows-PC und Benutzer keine einheitliche SID (PCID/UserID/GruppenID).
    Dies ist jedoch für eine zentrales serverbasiertes Profil notwendig, daher kommt man hier nicht ohne eine zentrale Benutzerdatenbank (AD / LDAP ) weiter.

  • Hmm, bin mir hier nicht ganz sicher. Meinte anno Schnee mal was ohne DC gemacht zu haben - wohl ein finsterer Hack :) . Allerdings war das vor Vista und ohne Samba. Kann sein, dass dies nicht mehr möglich ist.
    Für Firmenumgebung auf jeden Fall kein Thema.

  • Ich hatte das aber tatsächlich schonmal ohne AD und LDAP im Einsatz.


    AD kann ich zu 100% ausschließen, weil wir keine MS-Server im Einsatz hatten. Und LDAP sollte ich irgendwann aus einem anderen Grund Nachrüsten, da lief das mit den Profilen aber bereits. Ich weiß noch, dass ich mich damals auch darüber gewundert habe, dass das ohne LDAP funktioniert.


    Die hatten das dort tatsächlich irgendwie über SAMBA am Laufen, wobei ich auch meine, dass noch irgend ein anderer zweiter Dienst beteiligt war. Ich bin mir aber Sicher dass es nicht LDAP war.


    Für Firmenumgebung auf jeden Fall kein Thema.

    Aber wenn du an einer Hochschule arbeitest, durch aus. ;)


    Aber vielleicht hast du recht und es war irgend ein finsterer Hack.


    Da gab es auch noch ein VPN über ein doppelt genattetes Netzwerk, da habe ich auch nie verstanden wie das funktioniert. Aber es hat nachweißlich funktioniert. Das hatte ein Student als Abschlußarbeit irgendwie hinbekommen.


    Ich war heilfroh, dass ich daran nichts machen musste.

  • Wie nutzt ihr die Domäne? Worin besteht für euch der Vorteil gegenüber ohne DC ?

    Wenn du mehrere PC hast und darauf auch wechselweise mehrere Personen mit eigenen Benutzernamen anmelden sollen.
    mit einer Domäne verwaltest du dann die Benutzer zentral nur einmal, bzgl. Passwortänderungen, Benutzer anlegen oder löschen und wie schon genannt Gruppenrichtlinien.
    In einem MS-AD kannst du über eine Gruppenrichtlinie das installieren von Software steueren,
    ob dies auch mit einer SAMBA-AD funktioniert, da hier die Anpassung der Gruppenrichtlinien nur über MS-Software möglich ist, weiß ich nicht.
    Zudem benötigt die AD-Domäne einen DNS-Server, der das SAMBA-AD von Haus aus mitbringt, welchen man im LAN auch für den Web-Server (virtuelle Hosts) nutzen kann.

  • Sorry Lukas, aber ich denke nicht das der DC auch die Funktionität des DNS übernimmt.
    Deshalb frage ich mich ob die DNS Einstellungen hier richtig beschrieben sind.
    Woher ist die Info von dir bzgl des DNS?

  • SAMBA stellt mit dem ADDC auch einen DNS-Server, da für den Betrieb einer AD ein DNS-Server Voraussetzung ist.
    Somit steht mit dem Aktivieren des DC auf dem QNAP auch ein DNS-Server zur Verfügung.

  • Hallo,


    ich bin (auch) an dem Punkt verzweifel, daß der DNS foreward zur Frizbox nicht gesetzt wurde.
    Somit entweder Domänenlogin oder Internetverbindung möglich war.


    Seit dem FW upgrade auf 4.3.3.0210 funktioniert es aber einwandfrei.
    Nun wird im smb.conf der DNS forwarder auf die Gatewayadresse (also die Fritzbox in meinem Fall) gesetzt.


    Gruß


    Kai

  • Wie vorher schon mal irgendwo geschrieben: wenn der DNS Forwarder noch auf die NAS selbst zeigt ( getcfg -f /etc/smb.conf global "dns forwarder" ), kann man mit setcfg -f /etc/smb.conf global "dns forwarder" [ROUTERIP] die IP des Routers eingeben. Anschließend per DHCP die NAS-IP als DNS verteilen und gut ists... habe ich jetzt produktiv im Einsatz und keine Probleme (52 Clients).

  • Habe ich das richtig verstanden, es wird nur eine DC von dem NAS bereitgestellt mit DC-Join und Zugriff auf SMB / Rechte / etc.?


    Wie sieht es mit GPOs aus? Scripts beim An- oder Abmelden oder servergespeicherten Profilen? Ich denke hier wird es keine (zentralen) Einstellungsmöglichkeiten geben?



    Danke und Gruß
    Mike

  • Ein ganz normaler Domain-Controller, nur eben auf Basis von Samba4. GPOs und Netlogon etc. sind kein Problem, einfach die Microsoft Remote-Tools auf einen Windows-PC (ggf. VM auf QNAP) installieren und schon kann die Domäne (zentral) ganz normal gepflegt werden.


    (Mein nächster Schritt ist eine zweite QNAP als BDC, aber das erst nächste Woche)

  • Wenn du das mit dem BDC gemacht hast, würde mich interessieren, wie es ausgegangen ist und ob dabei etwas zu beachten ist?


    Ich habe (privat) zwei Standorte und möchte gerne an beiden Orten immer die selben Daten und die selbe Konfiguration vorfinden. Den ersten Teil (die selben Daten) habe ich bereits realisiert. Ich habe an beiden Standorten je ein QNAP-NAS (TS-853A u. TS-259 Pro+) und synce die Inhalte mittels unison über ein VPN. Das funktioniert soweit ganz gut.


    Für den zweiten Punkt brauche ich wohl Roaming-Profiles und damit einen DC.
    Allerdings gehe ich davon aus, dass ich zusätzlich zum DC (auf dem TS-853A) einen BDC (auf dem TS-259 Pro+) brauche, weil die Verbindung über das VPN mit ca. 1,5 MByte/s nicht gerade schnell ist. Dann könnte der BDC alle lokalen Anfragen des zweiten Standortes beantworten (incl. Roaming-Profile etc.) und im Hintergrund werden (entweder über DC-eigene Mechanismen oder über unison) die Daten synchronisiert.

  • Ich habe meinen QNAP NAS als Domänencontroller eingerichtet. Das klappt auch alles soweit.


    Nur jetzt habe ich bei den Workstation (Windows 10 pro) das Problem, dass ich keine Software installieren kann, oder auch keine Verknüpfungen vom Desktop löschen kann. Es wird immer nach einem Passwort vom Admin gefragt. Ich habe schon alle möglichen Varianten probiert: Domänen-Admin, NAS-Zugangsdaten, Benutzer mit Adminrechten etc. Es klappt nicht. Kann man auf dem NAS irgendwo die Rechte der Workstation einstellen? Also so in der Arti wie bei einem Windows Server?

  • Das Löschen von Desktop-Verknüpfungen benötigt dann immer Admin-Rechte, wenn die Verknüpfung nicht im Profil des jeweiligen Benutzers ist, sondern im allgemeine All-User liegt. Üblicherweise werden Verknüpfungen von Programmen von Installationsprogramm hierher erstellt, damit alle Benutzer diese auf dem Desktop haben. Löscht Du diese mit Admin-Rechten vom Desktop, verschwindet die Verknüpfung bei allen Usern vom Desktop, deshalb sind auch Admin-Rechte notwendig. Dies ist auch bei einem Windows-DC so. Wenn Du diese für Deine Benutzer nicht willst beim Installieren einfach keine Desktop-Verknüpfungen erstellen lassen oder alle löschen.

    Ich würde grundsätzlich keinen PC so einrichten, dass unter Windows ohne Admin-Passwort Software installiert werden kann. Das ist heutzutage sicherheitstechnisch nicht mehr sinnvoll.

    Willst Du beides trotzdem Umsetzten - wobei von ich beidem abraten würde:

    Wenn das Zuweisen des Benutzers zur Domänen-Admin-Gruppe nicht reicht, wirst Du dies sehr wahrscheinlich mit den Gruppenrichtlinie und -Preferences (GPO / GPP) machen müssen. Welche und wo genau in den Tiefen der tausenden Einstellungen der GPO/GPP die zu finden sind kann ich Dir leider auch nicht sagen. Da muss ich auch immer suchen. :(

  • Wenn ich einen dc nach dieser Anleitung erstelle und dann einen pc in die Domäne hole, was passiert mit den bereits installierten Programmen und den vorhandenen Dateien? Bleibt alles erhalten? Ist dann auch alles auf einem anderen pc in der Domäne verfügbar? Lg

  • Okay. Vielen Dank. Lediglich das nutzerprofil ist auf allen Geräten verfügbar.... Der Rest bleibt wie es ist...

  • Moin,
    hier läuft noch immer ein alter 2003 als DC. Gibt es eine Möglichkeit den durch dei QNAP zu ersetzen ohne alle Clients neu zu konfigurieren? Unter Windows geht das, aber das wollenn wir ja loswerden.

  • könntest versuchen den DC in die bestehende Domain zu joinen...


    Ob das allerdings geht?

  • MatthiasJ

    Dir ist schon bewusst, dass bei Windows 2003 das Support Ende seit Mitte 2015 ist und Du somit auch seit dieser Zeit keine Sicherheitsupdates mehr erhalten hast?

    Ich nehme auch an, dass niemand mehr versucht hat einen Win2003 DC auf einen aktuellen QTS DC zu migrieren.


    Lediglich das nutzerprofil ist auf allen Geräten verfügbar

    Aber nur wenn die Richtlinien entsprechend konfiguriert sind. Entsprechend können auch Daten / Ordner in das Profil ein- oder ausgeschlossen werden.

  • Gibt es eine Möglichkeit den durch dei QNAP zu ersetzen ohne alle Clients neu zu konfigurieren

    Ja, geht: Joinen und herabstufen...