Samba und Gruppenrichtlinien

Hallo,

eine Frage, gehen mittlererweile schon Gruppenlinien?
Laut meinem Wissensstand sollen die glaube ich in der Version 4 umgesetzt werden.
Wie löst ihr diese Problem, ich könnte mir momentan keine GPO´s wegdenken. Mit poledit geht doch nicht alles, oder?
Hat einer schon eine Lösung, welche den WSUS von Microsoft auf Samba nachspielen kann?

mfg
NaCkHaYeD

Bis jetzt gibts nur eine kostenpflichtige Lösung aus dem Hause Nitrobit. http://www.nitrobit.de/GroupPolicy.html

Hi NaCkHaYeD!

Wieso willst du denn den WSUS (Windows Server Update Services) auf Samba nachspielen?

Der WSUS ist wirklich was feines, denn Updates können bequem von einem Server auf die Clients verteilt werden,
und dass können bei MS schon mal einige Hundert sein... //Schleichwerbung ;-) //


.ciu.
x-shell

Hallo x-shell,

das liegt wohl daran, dass ich dies privat für mich treibe und ich nur einen Computer 24h an haben möchte.

Ich laufe momentan mit einem Windows 2000 Server. Meine Ansprüche sind momentan ADS, IIS, WSUS, Hamster Mailserver und Fritz Fax Server, Raid 10 über vier Platten. Dieses System läuft wunderbar stabil, nur halt die Lizensierung ist das Problem. Ich komme zwar über den Sportverein an eine 5er Lizens mit nur €250 ran, aber 100% koscher ist dies leider nicht, da es nicht der Verein sonder ich nutze. WSUS deswegen, weil mir die ständige updaterei meiner 4 Clients auf die Nüsse geht. Ich hab zwar eine Flat, aber ist ein Unsinn bei einem Neu installierten System sich alles per I-Net zu holen, das geht im Intranet wesentlich schneller.

Wegen des Lizens Thema möchte ich auf jedenfall auf Linux umsteigen. Mailserver ist kein Prob. Fax Server in Verbindung mit Fritz Card scheinbar auch nicht. Intranet sowieso nicht. Raid 10 oder 5 geht bei mir nur per Kernel, da der Raid Controler seit Kernel Version xyz meine Treiber nicht mehr mag. WSUS könnte ich vielleicht mit einem gezielten Proxie erledigen, welcher alles von update.microsoft speichert, hab ich noch nicht getestet. Aber auf Gruppenrichtlinien möchte ich nicht verzichten. Es ist eine einfache effektive Möglichkeit, Clients zu administrieren. Da ich Eltern und Frau hab die im I-Net sowieso ohne Rücksicht auf Verluste klickeln, ist dies auch nötig.

mfg
NaCkHaYeD

Also mir wurde von kompetenter Stelle bestätigt, daß ein WSUS auf Linux nicht geht, da ein solcher ActiveX benötigt und das nur ein Windowsserver bringt.

Hi,
also erstmal:

Warum wollen alle ihre Computer 24h am Tag laufen lassen?
Bei mir ist es Standard, dass sich Server über die Nacht ausschalten. ^_^
Wozu sollte man zum Beispiel einen Schulserver von 21:00 bis 5:00 laufen lassen?
Auch für viele kleine Firmen machen diese 8 Stunden keinen Sinn - die Stromkosten wären zu hoch!

Aber nun...
Ich find es toll, dass du auf einen Linuxserver umsteigen möchtest - das meiste ist darüber auch realisierbar (ADS teils vis OpenLDAP).

@rolle: Stimmt!
Das mit dem WSUS kannst du vergessen!
Leider benötigt diese "Software" DLL's und den BITS-Service aus dem Hause MS, und das nützt dir unter Linux recht wenig.

Aber nicht verzagen!

Hast du Windows 2000 Professional oder Windows XP Professional? (Diese Frage ist nicht überflüssig


.ciu.
x-shell

P.s. zu den Gruppenrichtlienien sag ich auch noch was...

Frage 1: Sicher muss es nicht sein den Computer 24h laufen zu lassen. Aber wenn der Server ständig rauf und runtergefahren wird, hab ich die Erfahrung, dass mehr schief geht beim Starten. Ein Server ist halt da, um an zu bleiben und nicht wie ein Client ständig an/ausgeschalten zu werden. Und bei gerade mal 0,8 Ampere und 5 Festplatten, ist der Verlust verkraftbar.
Die Zeit ab 24.00 Uhr wird auch genutzt. In dieser Zeit läuft jeden Tag ein Virenscan, da G-Data Antivir mit 2 Scannern doch Leistung benötigt.
Linuxserver: Es ist keine schlechte Alternative, aber benötigt wesentlich mehr Zeit. Es ist einfach noch zu kompliziert. Bei Windows ist mehr oder weniger alles selbständig, bei Linux ist jede Kleinigkeit Haarsträubend.
Was hab ich damals mit meinem Raid Controller gekämpft. Ich gebe ja nicht mal den Pinguin die Schuld, aber es fehlen doch die Treiber.
Die Clients sind 4 mal XP Pro, 1 mal 2k, und meine Kumpels mit XP Homo Edition, die beim Zocken gleich die Gelegenheit nutzen. Falls du mit XP Pro auf den WSUS zielst, dann weiss ich was du meinst. Diese Lösung finde ich nicht so ganz i.O.. Höchstens wenn das XP Pro in einer virtuellen Maschine läuft. Habt gehört es gibt erste Erfolge damit.
Gruppenrichtlinien lassen sich glaube ich auch durch die Polices ersetzen, was aber wieder mehr Umstand ist.

Na ja, ich genemige mir erstmal einen separaten PC und probiere meine c´t Edition pö a pö.

mfg.

NaCkHaYeD

Also, ein "stabiler" Server sollte mehere Startvorgänge/Shutdowns schon verkraften! ;-)
Und Virenscans sollten heutzutage on the fly erledigt werden...

---

Wieso willst du denn den WSUS nicht auf Win XP Pro oder 2k laufen lassen?
Lizenzrechtlich und Gesetzlich gibt es damit keinerlei Probleme!

Denken denn alle MS hat wirklich 3 Systeme (Win XP Home, Pro, 2003) komplett für sich entwickelt?
Das ist genauso wie das Vorurteil, dass Windows XP Home nicht in Domänen integriert werden könne...

Was soll dir denn eine virtuelle Maschine helfen?
Wenn dein Windows die Updates zieht ist das doch auch OK - oder?
Also kann doch ein Win-Rechner die heruntergeladenen Updates auch auf die anderen noch verteilen!

---

Was habt ihr eigentlich alle mit euren Gruppenrichtlinien für probs?

Alles was im Gruppenrichtlinien-Editor (gpedit.msc) an Richtlinien verfügbar ist, kann doch zentral auf dem Sambaserver abgelegt werden.
Man kann doch sogar die Richtlinien per Benutzer, Gruppe oder Computer setzen.

Was gibts da noch für Wünsche? ^_^

.ciu.
x-shell

1. Virenscans on the fly: Wird ja auch erledigt, möchte aber dennoch die nicht genutzte Zeit mit einem tiefen Scan erledigen

2. Es ist mir bekannt, dass ms nicht alles neu erfindet, eine Home läst sich problemlos in eine Pro umwandeln. Darum geht es nicht. Ich brauche eine virtuelle Maschine, da ja der Updatedienst auf dem Server laufen muss und nicht auf dem Client, sonst gibt es keine Updates, wenn dieser aus ist. Da ich keine MS Application im Linux laufen lassen kann, brauche ich eine VM mit einer Windoof installation.

3. Wie geht dies mit dem Gruppenrichtlinie. Doch über den Poledit oder? Wenn nicht kläre mich bitte auf?

Danke

Sorry, dass ich erst jetzt schreib.

Also...

Die "Gruppenrichtlinien", wenn man diese jetzt so nennen will, kann man via Poledit erstellen! ;-)
Besser finde ich aber in diesem Zusammenhang von vorgegebenen Registry-Einstellungen zu sprechen.


Hier mal eine kleine Anleitung:

Zuerst benötigt man den Systemrichtlienien (Poledit) für Windows XP:
http://www.gruppenrichtlinien.de/adm/WindowsXPSP2_poledit.zip (Windows XP SP 2)

Dort sind jetzt schon die Grundlegenden Administrativen Vorlagen (ADM's) enthalten.
Weitere, z.B. für Office XP oder 2003 gibt es hier:
http://www.gruppenrichtlinien.de/adm/ORK2000.zip (Office 2000)
http://www.gruppenrichtlinien.de/adm/ORK2002.zip (Office XP)
http://www.gruppenrichtlinien.de/adm/ORK2003.zip (Office 2003)

Jetzt startet man "poledit.exe" - die Fehlermeldung kann man getrost ignorieren.
Unter "Optionen" -> "Richtlinienvorlage" kann man via "Hinzufügen" die gewünschten ADM's laden.

Achtung!!! Das Laden der ADM's kann je nach CPU u. Ram etwas dauern.
(also nicht gleich den Task killen ;-) )

Nun kann man unter "Datei" -> "Neue Richtlinie" die neuen Einstellungen setzen.
Unter "Bearbeiten" kann man jetzt noch Computer, Benutzer oder Gruppen hinzufügen.

Wenn man nun alles eingestellt hat, speichert man die Einstellungen via "Datei" -> "Speichern" unter dem Namen "NTconfig.pol" im "NETLOGON"-Verzeichnis auf dem Sambaserver.

Bei jedem Anmeldevorgang werden die vorgebenen Einstellungen nun geladen.


Jetzt noch einmal Zusammengefasst:
Via Poledit für Windows XP können alle Einstellungen die es unter gpedit.msc gibt per Computer, Benutzer oder Gruppe vorgeben und vom Sambaserver zentral laden lassen.

Ich bin gern für Kritik, Vorschläge oder auch Lob :roll: bereit!

@ x-shell

Vielen Dank für die ausführliche Dokumentation. Ich werde es mal ausgiebig testen.

Was nutzt du eigentlich für einen Virenkiller für Samba, und für den E-Mail Server? Ich glaube CLAM AV soll nicht verkehrt sein.

mfg
NaCkHaYeD

Hi,

also mit dem Virenscanner auf dem Sambaserver experimentier ich noch, weil ich noch nicht eine 100%-Lösung gefunden habe.

CLAM AV is aber gar nicht so schlecht. :roll:

Trotzdem solltest du auch auf den Clients Virenscanner wie z.B. F-Prot laufen lassen...

Naja.

Hallo,

die Clients sind bei mir Dicht. Hab G-Data Antiviren Kit 2004 und Zone Alarm 6, das sollte genügen

cu

@x-shell
Systemrichtlinien, wie sie sich mit Poledit erstellen lassen, haben mit Gruppenrichtlinien absolut nichts zu tun!

@zero0109
Hab ich denn das jemals behauptet!? :?

Ich hab nur eine Alternative zu den Gruppenrichtlinien gezeigt!
Und der Kerngedanke kann (jedenfalls für mich) erfüllt werden: "Registry-Einstellungen per Benutzer, Computer o. Gruppe bei der Anmeldung"

Dabei sind sogar alle Reg-Optionen die es in den Gruppenrichtlinien gibt vorhanden!!!

Also wo liegt dein Problem?! :roll: