我们正在从Linux系统上的NIS迁移到将所有内容绑定到Active Directory。 NIS环境遵循许多Linux发行版使用的通用标准,用户的主要组是与用户(并且其用户通常是唯一成员)相同名称的组。
我已经被告知,在Active Directory环境中,可能没有与用户名称相同的组名(特别是,没有两个AD安全对象可能具有相同的名称)。 这似乎使我们的群组定义进入AD的过程变得复杂。 看起来我们可以使用POSIX属性(例如,不是一个实际的AD安全对象)来维护AD中的NIS组信息,但是这看起来像是次优的修复(因为我们确实想在两个组中都有相同的组成员资格Unix和AD世界)。
您是否将大型传统NIS环境移入Active Directory? 你是怎么处理这种情况的?
我也遇到了同样的问题。 阅读了很多文档后,我提出了以下“解决scheme”:
要解决名称冲突,我通过在开始处添加“g”字符来重命名用户私人组。 例如:User = erik,Group = erik。 现在在活动目录中,我将组命名为“gerik”。 通过这种方式,我可以继续专注于AD迁移,而不用考虑现在的用户私有组问题。
慢慢停止使用用户私人组,因为这似乎不是要走的路 – 至less在使用Active Directory时。 这可以通过创build一个像“unixgrp”或使用“域用户”这样的新组来完成,但是我不喜欢“域用户”,因为用“ls”显示文件时这个名字太长了。
从“用户专用组”迁移到“unixgrp”等通用组时,请小心。 不要只将所有文件的组更改为“unixgrp”。 例如,如果用户对其用户私人组拥有的文件具有组写入权限,并将该组更改为“unixgrp”,则“unixgrp”中的所有用户也将拥有对该文件的写入权限。 所以某种脚本必须以正确的方式修改权限…玩得开心!
我承认,在使用活动目录时,唯一真正的解决scheme是以某种方式支持用户专用组。 但是我不知道怎么做…
同样有一个名为“UID-GIDpipe理工具模块”的产品 ,可以与“ 同样打开”一起使用,以增强对uid / gid映射到Active Directory的控制。
从function列表中:
Mirror your organizational units with Likewise cells and map Active Directory users and groups to UIDs and GIDs.
我用同样开放,它工作得很好,但没有必要获得这个模块。