Ezt mint Windowszal is játszó Linuxos mondod, vagy mint Linuxot is ismerő MS expert?
Hát most ez nézőpont kérdése. MS expertnek azt szokás nevezni, aki úgy általában az MS főbb szarjait és különösen a latest & greatest feature-öket ismeri. Én pl. kifejezetten nem szeretnék azokkal a dolgaikkal intim közelségbe kerülni, amiket sikerült eddig elkerülni. Az az alap hozzáállásom pl., hogy ha valami feature-ről elsőre nem látom, hogy miért is lenne jó, akkor arra nincs szükségem. Másrészt amivel meg foglalkoztam, na azokba a baromságokba amennyi energiát én beleöltem az elmúlt évtizedekben, hát annyi energiabefektetéssel egy egyetemet is simán el lehet végezni. Csak ebbe a roaming profile-os szarságba összesen sok hónapnyi melót belement már. Tulajdonképpen lehet ezt játszadozásnak is nevezni...
az a hivatalos MS álláspont, hogy ez így nem megy és pont.
Úgy általában az az MS álláspontja a cuccairól, hogy tessék, ezt kapod, ezt használd, úgy, ahogy le van írva, és ne akarj mást. Amíg a dokumentált, hivatalos úton sétálsz (sose térj le a sárga útról!), addig szépen illatoznak a virágok, de az ösvényről letérve nagyon hamar a dzsindzsásban találod magad, és ott semmi segítségre nem számíthatsz.
A roaming profile magában megy. Ezt mondja a MS is. Egy kurva nagy gond van vele: a való életbeli alkalmazásokkal használhatatlan, mert GB-osra nő a profilod. És ez már nagyon régen így van. Ezért vezették be a folder redirectiont. Amivel együtt már sokkal jobb a helyzet, csak ez a "megoldás" egy valag új problémát vet fel. És ezen problémák egy részére már tényleg az a MS hivatalos mondása, hogy ha ezekbe beleütközöl (márpedig bele fogsz), akkor arra a könyvtárra ne akard inkább használni. Így viszont leszűkül a profile redirection által adott megoldás hatásköre, és visszajön a roaming profile önnön durva valósága.
Mivel az alkalmazások kívül esnek a MS hatáskörén, így joggal mondják azt, hogy ez nem az ő dolguk, panaszkodjál a szoftver vendornál. Akik meg kb. leszarják az egészet, így sikerült is körbeérni.
sehol nincs már roaming???
Te, én rendes, igazi nagyvállalati környezetben nem emlékszem, hogy láttam-e valaha roaming profile-t. Sőt, mivel 10-15+ éve kb. mindenki dedikált gépet használ már szinte minden nagyvállalatnál (ezen belül is leginkább mindenki dedikált laptopot kap), így valójában igény sincs már rá, hiszen mindened az egy szem gépeden van, ha esetleg van egy laptop is meg egy másik géped is, akkor meg valami consumer adatszinkronizációval befogják a túl hangosan kérdező felhasználók száját. Az meg a felhasználó egyéni szoc. problémája, hogy a végtelen sok windowsos meg alkalmazásszintű beállítását szeretné széttekergetni, aztán másik gépre átvarázsolni. Ezt a nagyvállalati IT department leszarja, ez egy felhasználói problémát, kattintgasson csak a user, ha ilyen elvakult, és nem jók neki a default beállítások (ha már feltételenül windowsozni akar - tetszettek volna forradalmat csinálni ugye). Szóval valójában azért sincs a nagyvállaloknál roaming, mert a problémát egyszerűbb úgy megoldani, hogy azt mondjuk: nincs is probléma.
Az általatok használt megoldásban hogy változik a Windowsos jelszó, ha Linuxon változtatott a user, illetve mi van, ha windows-on ad meg új jelszót a felhasználó?
Amíg lehetett NT domain alapokon tolni a Windows oldalt, addig Samba 3-mal meg lehetett csinálni, hogy tényleg egy szem jelszava legyen natív módon a felhasználónak, és ha nyom Windows alól egy jelszóváltoztatást, akkor mindegyik jelszóhasht updatelte a rendszer automatikusan. Natív Win domain controllerrel ez nyilván nem ment már kezdetben sem, továbbá az AD bevezetésével a Samba 4 is felzárkózott a natív Win AD szerver működéséhez (konkrétan annyira precízen másolták le a MS AD üzleti logikáját, hogy szinte minden limitáció és rugalmatlanság is belenőtt a Sambába is), és immáron ezt nem lehet elérni egyáltalán.
Azaz van egy AD jelszava a júzernek, meg egy nem AD jelszava (nevezzük linuxosnak, bár valójában ez leginkább egy LDAP jelszó). A Windowsból az AD jelszavát tudja eltekerni a júzer - ha megengedjük neki, vagy ha admin az illető, a linuxos környezetből pedig az LDAP jelszavát tudja frissíteni (az LDAP protokoll tud olyat, hogy EXOP jelszóváltás, és elvileg az nss-pam-ldap beállítható, hogy a passwd ezt hívja meg).
Mi viszont azt az álláspontot képviseljük, hogy a usernek megtiltjuk a jelszóváltást (ez Linuxon egyszerű, nem konfigurálunk EXOP-ot, és máris nem tud változtatni, illetve az LDAP-ban eleve nem adunk neki írásjogot a saját mezőire), Winen kikapcsoljuk a normál usereknek a jelszóváltási lehetőséget, így csak az adminok tudnak beletúrni nemkívánatos módon, mindenki másnak csak kintről lehet jelszóváltoztatást végeznie. Amúgy a szinkronizáció úgy van megálmodva, hogy az eltéréseket (lokálisan eltekert jelszavakat) egy kiküszöbölendő hibának tartja, így ideig-óráig tart ki az, amit véletlenül vagy szándékosan sikerült eltekernie valakinek.