Astra Linux SE+ AD

[n1k.pv]

Всех приветствую, вопрос такой, есть ли возможность, и если есть как можно реализовать?
Переходим на астру, ввод тачек в виндовый домен c болью, но получился. А теперь как с тачки с астрой можно работать с AD, нужен условный RSAT на астру, чтобы создавать тачки и юзеров в AD. Сколько искал так и не нашел внятного ответа, есть липодобные средства, чтобы можно было с астры администрировать домен винды, без миграции домена на ALD и т.д.
Заранее спасибо

 

[oko]

В чистом виде ничего подобного в ALCE/ALSE нет. В AltLinux есть аналог поддержки групповых политик и проч., но тоже не полноценного типа...
Вообще, вводить Linux в MS-домен - плохая идея (по многим соображениям, особенно, если вопрос стоит как "импортозамещение или смерть", ага)...
А юзать RSAT, тем самым выделяя конкретные админские машины из общего парка доменных машин, еще хуже. Хотя риски, конечно, каждый сам для себя принимает...
С точки зрения управления критическими сервисами инфраструктуры, к которым относятся доменные службы и серверы (спасибо, Капитан!), imho, лучше перевести контроллеры домена в виртуалки и юзать доступ к ним чисто через консоль гипервизора (web, GUI VM - без разницы). Или на крайний случай давать RDP от нужных машин к DC, прикрыв это все acl на уровне сети, доп.слоем TLS/SSL-шифрования, ежедневной сменой паролей уч.записей "Администраторов домена" и/или идентификацией через персональные токены с возможностью повышения привилегий через UAC. Но это все, увы, не решит вопроса раздачи групповых политик из AD DS на AstraLinux...

ЗЫ ALD - это почти мертвый проект домена в стиле "only AstraLinux". ALDPro - это кривой новый проект на базе FreeIPA, т.е. вроде бы AD DS, но не совсем (и связи разве что на уровне доверительных отношений, а не целиком и полностью)...

 

[n1k.pv]

В чистом виде ничего подобного в ALCE/ALSE нет. В AltLinux есть аналог поддержки групповых политик и проч., но тоже не полноценного типа...
Вообще, вводить Linux в MS-домен - плохая идея (по многим соображениям, особенно, если вопрос стоит как "импортозамещение или смерть", ага)...
А юзать RSAT, тем самым выделяя конкретные админские машины из общего парка доменных машин, еще хуже. Хотя риски, конечно, каждый сам для себя принимает...
С точки зрения управления критическими сервисами инфраструктуры, к которым относятся доменные службы и серверы (спасибо, Капитан!), imho, лучше перевести контроллеры домена в виртуалки и юзать доступ к ним чисто через консоль гипервизора (web, GUI VM - без разницы). Или на крайний случай давать RDP от нужных машин к DC, прикрыв это все acl на уровне сети, доп.слоем TLS/SSL-шифрования, ежедневной сменой паролей уч.записей "Администраторов домена" и/или идентификацией через персональные токены с возможностью повышения привилегий через UAC. Но это все, увы, не решит вопроса раздачи групповых политик из AD DS на AstraLinux...

ЗЫ ALD - это почти мертвый проект домена в стиле "only AstraLinux". ALDPro - это кривой новый проект на базе FreeIPA, т.е. вроде бы AD DS, но не совсем (и связи разве что на уровне доверительных отношений, а не целиком и полностью)...

Главная проблема, что мы не имеем доступа к контроллеру домена, у нас там лишь свое подразделение в общей сети, где можем только создавать и удалять тачки и юзеров

 

[gfh1gfh1]

Главная проблема, что мы не имеем доступа к контроллеру домена, у нас там лишь свое подразделение в общей сети, где можем только создавать и удалять тачки и юзеров

Поднять виртуалку с виндой на машине админа и оттуда уже рулить инфраструктурой на windows?

 

[n1k.pv]

Поднять виртуалку с виндой на машине админа и оттуда уже рулить инфраструктурой на windows?

Видимо только так))