我们正在从
Linux系统上的NIS迁移到将所有内容绑定到Active Directory. NIS环境遵循许多Linux发行版使用的通用标准,即用户的主要组是与用户同名的组(并且用户通常是唯一的成员).
我被告知在Active Directory环境中,您可能没有与用户同名的组名(具体而言,没有两个AD安全对象可能具有相同的名称).这似乎使我们将组定义移动到AD的过程变得复杂.看起来我们可以仅使用POSIX属性(例如,不是实际的AD安全对象)来维护AD中的NIS组信息,但这似乎是次优修复(因为我们确实希望在两者中具有相同的组成员身份视图) Unix和AD世界).
您是否已将大型旧版NIS环境移至Active Directory中?你是怎么处理这种情况的?
解决方法
我也遇到了同样的问题.在阅读了很多文档之后,我想出了以下“解决方案”:
>要解决名称冲突,我通过在开头添加“g”字符重命名用户私人组.例如:User = erik,Group = erik.现在,在活动目录中,我将组命名为“gerik”.通过这种方式,我可以继续专注于AD迁移,而无需立即考虑用户私有组问题.
>慢慢停止使用用户专用组,因为这似乎不是首选 – 至少在使用Active Directory时.这可以通过创建一个像“unixgrp”这样的新组或使用“Domain Users”来完成,但我不喜欢“Domain Users”,因为当显示带有“ls”的文件时,该名称太长了.
>从用户私人群组迁移到“unixgrp”等公共群组时要小心.不要只将所有文件的组更改为“unixgrp”.例如,如果用户对其用户专用组拥有的文件具有组写权限,并且您将组更改为“unixgrp”,则“unixgrp”中的所有用户也将具有该文件的写入权限.所以某种脚本必须以正确的方式修改权限……玩得开心!
