Jon Rhoades's questions

我知道这是错误的方式......但是

是否可以在 Samba 前为我们的 PC 客户端使用 AD，以便用户帐户位于 Samba/Open LDAP 中。

仅使用 Samba v3 管理我们的 Windows PC 机群变得越来越困难 - 在 Samba v4 出现之前，如果我们可以利用 Active Directory，但将帐户存储在 Samba/Open LDAP 中，那就太好了。

Windows PC 在我们的组织中是少数，而 Samaba/Open LDAP 几乎用于所有服务（Zimbra/RADIUS/Intranet/SAN/Printing/...），因此它必须保持最终的帐户来源。无论如何，它可能无法完成，但我想我还是会征求意见。

第 2 层和第 3 层交换机有什么区别？

我一直想知道，直到现在才需要知道。

我们正在努力应对访问受感染或“攻击”网站以及一般网络钓鱼的用户。我们的大多数机器都受到企业防病毒和监控解决方案 (McAffe ePO) 的保护，我们试图让人们使用 Firefox……但是没有 AV 是完美的，我们也必须忍受个人机器（尽管它们是自己的） Plague' VLANs) 并希望对网络钓鱼做一些事情，因为我们的用户似乎打算向全世界泄露他们的密码......

使事情复杂化的是，出于许多原因（政治、意识形态、法律等），我们不想实施封锁，而是希望实施类似于 Firefox 的“报告的诈骗/网络钓鱼/攻击站点”-“让我离开这里” ”或至关重要的“无论如何让我进来”，让用户可以选择在他们愿意时仍然感染自己（或查看被错误地列入黑名单的网站）。

我们不能只使用 Firefox 的原因是我们有一个仅在 IE6 和 7 上认证的核心企业应用程序 - 感谢 Oracle。

是否可以使用代理（在我们的例子中是 Squid）或 DNS 来实现这种类型的咨询过滤？

有哪些免费选项可用于 Web 内容过滤？ HTTPS流量的开源过滤

这是一个好的开始，但他们没有解决过滤的建议方面。

Samba 域的乐趣... 首先，在 Samba 4 到来之前，不能使用域组策略。

我们需要在我们 Samba 域中的大多数计算机上设置软件限制策略 (SRP)，我非常希望将其自动化。（我们不再只是禁用 Windows 安装程序）。传统的方法是使用本地组策略 (LGP)计算机配置->Windows 设置->SRP 设置 SRP ，但这涉及访问每台机器，因为它无法在 NTConfig.pol 中设置。

可以尝试直接在注册表中创建 SRP：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{30628f61-eb47-4d87-823b-6683a09eda87}]
"LastModified"=hex(b):40,a2,94,09,b5,5d,ca,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\\location\\subfolder"

SaferFlags DWORD 似乎是打开或关闭它的原因，但尽管这似乎有效，但它不会更新本地组策略 - SRP 仍显示为“未定义 SRP”。

LGP 将此设置存储在哪里 - 甚至在注册表中，更重要的是 - 是否有更聪明的方法来设置 SRP？

由于 Samba 至少需要 v3.3 才能拥有 Windows 7 客户端（请参阅参考资料），我们需要升级在 Ubuntu 8.10 (Intrepid) 上运行的 Samba 版本。我们正在寻找一个经过验证的 Samba 工作包，但在正常的地方找不到 - Apt、backports、google 等 - 我们真的不想自己编译！

是否有可用于 Ubuntu 8.10 的经过验证的 Samba 包（3.3 或更高版本），或者我们是否被迫升级到 Ubuntu 9.10 - 这不是一件容易的事。

我们已经在几台 Mac 上为我们的 Snow Leopard 用户设置了网络帐户，除了使用本地 Sqlite 数据库作为其偏好/缓存的应用程序之外，它们运行良好。最大的问题是 Acrobat 阅读器，它会立即启动并崩溃并给出 Sqlite 错误。

同一台机器上的本地帐户没有这些问题，这使我相信这是由于应用程序将其 Sqlite 存储在用户的配置文件文件夹/Users/JDoe中，由于我们的网络帐户设置实际上是 Samba 共享smb://server/users/JDoe。

我猜测 Sqlite 驱动程序无法通过 SMB/CIFS 正确锁定文件，因此存在问题。

那么我们可以：

1. 以某种方式将我们的 Samba 共享更改为对 Sqlite 更友好？
2. 使用 Samba Vetoing（或类似方法）排除 .sqlite 文件
3. 使用符号链接，以便用户配置文件中的 .sqlite 文件实际上是本地文件，可能存储在/Users/Shared
4. 其他一些更智能的解决方案。

我们刚刚交付了一个“成熟”的 48 端口交换机，用于测试、部署和一般欺诈。由于我们将不断地修补补丁，因此我们需要一个图表，以便我们知道哪个端口在哪个 VLAN 上。

有没有人在他们的互联网旅行中看到过这样的模板/图表/密钥？我们希望比 Excel 中的两排 24 行更时尚一些 - 适合像这样的经典网络套件！

我们正处于完成 AV 管理解决方案 (McAfee ePO) 的最后阶段，我们正在微调我们的客户策略。

我们应该多久让我们的客户端 PC 和 Mac 运行一次系统扫描？

我知道有些人提倡每天扫描，但是杀毒客户端是实时扫描的，我们的管理系统，我们会立即提取禁用、无法运行或过期的 AV 客户端，所以有必要经常扫描吗？

此外，我们应该多久扫描一次我们的文件服务器，以及我们的用户网络驱动器/配置文件 - 如果有的话？

我们即将完成大规模更新用户的过程，以便他们可以向 NHMRC 提交他们的赠款。它们是尾注 9/X1/X2 的混合体。NHMRC 指定 X2，我们希望应用最新的补丁来修复 Y2K10 错误！

Endnote 的文档仅规定手动备份，然后卸载以前的版本，然后安装新版本，然后应用补丁，然后运行第一次运行向导并制作停靠快捷方式。

有没有人有更好的方法来升级我们的 500 个左右的 EndNote 用户？

我正在尝试通过我们约 300 台 PC 上的启动脚本安装几个程序 - McAfee 的 ePO 代理和 MS 的 SMS 客户端。

我遇到的问题是系统策略编辑器（Poledit.exe）允许我设置的启动/登录脚本在用户登录时使用登录用户的凭据运行 - 因为我们所有的用户都有“受限”帐户安装失败.

所以登录脚本不好 - 我想我需要使用一个启动脚本，它作为系统帐户运行，它具有足够高的凭据来执行安装。但是，启动脚本是在本地组策略中设置的，而 SPE 中不存在，所以我无法设置它。

我在这里遗漏了一些非常明显的东西吗？？？人们在使用 Samba 域时如何安装/更新程序？

为了澄清我使用的是 Samba（PDC 风格）域而不是 Windows 域 - 因此没有组策略只有系统策略编辑器

我们正在使用 Samba“域”来管理我们的 PC（我们所有的 XP）。我们刚刚推出 McAfee ePO - 这需要在每台机器上安装 framepkg.exe，然后更新最新版本的 McAfee AV。

但是，我们设置了“禁用 Windows 安装程序 - 始终”组策略。由于 framepkg.exe 和 McAfee 推送更新程序使用 Windows 安装程序，因此无法安装。

无论如何要签署/祝福某些应用程序，以便他们绕过这个 GP 设置？

我正在尝试允许访问同一建筑物中单独 LAN 上的打印机。我只能控制其中一个网络...我不使用其他路由器的尝试失败了，请参见此处。

我现在有一台运行 IOS 12.2（eBay 专用）的 Cisco 2611 来加入网络。我无法路由，因为我无法控制远程网络上的设置我只能以路由器上一个接口的形式添加一个 IP 地址 - 所以我只能做一个静态 NAT。

我们的网络：10.0.0.0/24 我们的路由器接口 e0/0 10.0.0.200 他们的网络：192.168.2.0/24 他们的路由器接口 e0/1 192.168.2.200 他们的打印机 192.168.2.50

所以我想做一个从 10.0.0.200 到 192.168.2.50 的静态 NAT

我的节目运行配置

Fibrotech(config)#do sh ru
Building configuration...

Current configuration : 573 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Fibrotech
!
ip subnet-zero
!
interface Ethernet0/0
ip address 10.0.0.200 255.255.255.0
ip nat outside
full-duplex
!  
interface Ethernet0/1
ip address 192.168.2.200 255.255.255.0
ip nat inside
full-duplex
!
ip nat inside source static 192.168.2.50 10.0.0.200 extendable
ip classless
no ip http server
ip pim bidir-enable
!
line con 0
line aux 0
line vty 0 4
!
end

Wireshark 向我展示了该请求确实从我们的网络到达 192.168.2.50，但它的源地址（例如）10.0.0.5。因为它没有到 10.0.0.0 网络的路由，所以它失败了。

那么我怎样才能使它正确地进行 NAT，以便源地址是路由器的内部接口呢？

编辑 - 已经从 sh ru 中删除了端口 80，它只需要是一个直接的静态映射。此外，所使用的路由器不是任一网络的网关，任一网络对路由器的唯一了解是每个接口上的 IP 地址。

在一个远程站点，我有一个 Cisco 877 ISR ，它提供网络服务（DHCP、DNS、互联网、VPN 回基地）。我需要将它连接到远程站点的另一家公司 LAN 以允许使用在其他公司的网络打印机上打印...

目前 877 上的 IOS 只为所有四个交换机端口提供一个 VLAN。IOS 的高级安全版本确实提供了 4 个 VLAN - 每个端口一个，但显然因为 877 使用 ADSL Annex M，我们无法升级 IOS。

我已将另一个 LAN 添加为 VLAN 接口上的 IP 并具有连接性，但我的问题是：

• 如何只允许通过打印机的 IP 地址从另一个访问
• 如何停止来自每个网络的 DHCP 广播

当使用 Open LDAP 目录进行身份验证时，是否可以使用标准 OS X 登录脚本在登录时挂载 Samba 共享？

显然你可以从 $1 变量中获取用户名，但是我们可以临时捕获密码来挂载共享吗？

该共享将被挂载为用户的主目录，该目录存储在 Samba 共享上。

为了抢占明显的问题：

• 不，我们不能使用 Kerberos
• 我们确实为某些帐户使用了 LDAP 模式中的网络帐户信息，但不能在此机器上使用。
• 是的，我们必须使用 Samba，而不是 AFP/NFS
• 钥匙串没有用，因为它存储在 ~/Library 中，它位于需要挂载的目录 (~/) 中。

我们正在运行 SAMBA“域”——是否可以在没有“正确”Windows 域的情况下在 Windows 服务器上运行 WSUS，并且我们的 SAMBA 控制的客户端会使用该服务器吗？

我们不太担心管理客户端，更多地缓存更新本身（批准更新也很好）。

我们正在设置我们现有的 OpenLDAP（在 Ubuntu 上）为我们的 Mac 提供身份验证和 MCX 等。

我们的主目录遇到了一个问题——它们使用 AFP（可能还有 NFS）可以正常工作，但是出于显而易见的原因我们想使用 Samba，我们不想使用 Kerberos。我已经搜索了有关以这种方式使用 Samba 的信息，但没有运气

到目前为止，我的简单方法是将以下架构值从 AFP 更改为 SMB，但没有成功 - 登录失败并出现一般错误。

apple-user-homeurl: afp://server/home/jrhoades

有人有以这种方式使用 Samba 的经验吗？

回答您的好问题：

• 我们只使用 OpenLDAP 和 Samba——根本没有 AD。
• Windows XP 和 Mac（10.4 和 10.5 的混合）是唯一的客户端。
• 我们希望避免设置 Kerberos 的麻烦——如果它介于 Kerberized NFS 和 AFP 之间，那么 AFP 可能会胜出。
• 我们已经在 SAN 前面运行了文件服务器的 Samba。
• 我被告知没有 Kerberos 的 NFS 不够安全（我们有多个独立组使用我们的文件服务器，具有严重的 IP 影响/法规）

我正在寻找有关在 Linux 上使用 Open LDAP 而不是使用 Open 或 Active Directory 来管理中型 Mac（300ish）网络的资源/建议/经验。

想要以下功能：

将 1 级服务台人员转变为系统管理员的最佳方式是什么？尽可能避免外部培训？

我们通常专注于如何让自己更进一步，所以要扭转它，我们如何帮助别人？

在我们的例子中，它是一个 Windows 服务器环境，但我也有兴趣了解 Linux 视图。

现在微软已经发布了 Vista & Server 2008 SP2（参见Lifehacker）。在安装之前我应该​​等待多长时间：

1. 独立机器
2. 域中的 PC
3. Windows 服务器
4. “关键”服务器