Hallo Marcel,
ich weiß nicht wieso die eingesessene LMN-Community so auf Sophomorix fixiert ist. Linbo läuft super standalone. Folgendes Setup funktioniert getestet:
Benutzerverwaltung und Computerkonten sind komplett von Sophomorix losgelöst in einem „externen AD“, dass nur von Windows-Domänen-Controllern betrieben wird. Die Installationen der Client-PC sind alle am externe AD angemeldet und ignorieren das „interne AD“ komplett, welches Samba/Sophomorix anbieten. Der Nachteil ist offensichtlich: Man hat keine Integration in weitere Dienste, da keine Nutzer/Computer-Konten im internen Verzeichnisdienst verfügbar sind. Wenn man aber nur das Imaging-System Linbo nutzen will, ist das ja nicht weiter tragisch und das geht ohne Weiteres. Linbo als System ist letztlich „nur“ Umgebung, welche die Aufzeichnung/Wiederherstellung von Partitionen mittels ntfsclone mit DHCP, PXE-Boot, Dateiverteilung per Torrent/Rsync/Multicast verknüpft. Dafür sind serverseitig nur Rechnername, IP, MAC und paar Angaben zur Hardware notwendig, die sich alle im WebGUI auf den beiden Seiten Geräte
und LINBO
hinterlegen lassen. Die Lösung geht davon aus, dass zentrale Funktionen wie Benutzerverwaltung, Datei- und Druckserver ohnehin im externen AD bereitgestellt werden. Es gilt also nur noch zwei Probleme der Client-PC zu lösen:
- das Domänen-Computerkonto und
- die Microsoft-Aktivierung.
Lösung für das Domänen-Computerkonto
Für das Problem des Computerkontos gibt es eine einfache Lösung, wenn man auf etwas Sicherheit verzichtet, lässt man das Passwort nicht ablaufen (Einstellung in Gruppenrichtlinie möglich) und setzt ein statisches Passwort für alle neuen Computerkonten (mit Tools wie mtaman.exe oder lsasecret.exe). Da du bereits Rembo hast, besitzt du mit dem CAM-Service auch schon einen Dienst, der genau das macht und den du „missbrauchen“ kannst, um die Computerkonten anzulegen. Diesen kann man via Telnet ansprechen und übergibt als Parameter nur noch Computername und Passwort, ggf. auch die OU in der das Computerkonto angelegt werden soll.
echo <computername> <passwort> OU=<Raum>,OU=Raeume,DC=example,DC=org | telnet <IP des Windows-Servers mit CAM-Dienst> 2002
Alternativ gibt es den JDS-Service, der macht das Gleiche nur ohne Support für OU. Du trägst also alle Computer in die WebGUI von Linbo ein und startest einen Befehl:
for computer in $(fgrep classroom-studentcomputer /etc/linuxmuster/sophomorix/default-school/devices.csv | cut -d';' -f2); do
echo $computer 123456 OU=Testraum,OU=Raeume,DC=example,DC=org | telnet <IP des Windows-Servers mit CAM-Dienst> 2002;
done
Ergebnis: Sekunden später hast du alle Computer vom Typ Schülerrechner aus der WebGUI im externen AD importiert und jeder Computer hat das statische Passwort „123456“. Wenn keine OU angegeben wird, kann der Befehl jederzeit ohne Gefahr wiederholt werden. Für bestehende Computerkonten wird lediglich das Passwort wieder zurückgesetzt. Da dies aber ohnehin nie geändert wird, entsteht kein Problem.
Um auf Nummer sicher zu gehen, kann man im Client-PC in der Aufgabenplanung das Passwort des Computerkontos bei jedem Systemstart zurücksetzen:
C:\linuxmuster-win\lsaSecretStore.exe $MACHINE.ACC 12345678
(Kann sein, dass ich die lsaSecretStore.exe nach C:\linuxmuster-win kopiert hatte und die dort nicht per default vorhanden ist. Eine Alternative wäre mtaman.exe, die ja auch auf dem Rembo-Server bereitgestellt wird.)
Lösung für die Microsoft-Aktivierung
Wenn ihr bisher bei Rembo MAK-Aktivierung genutzt habt, empfehle ich auf KMS-Aktivierung umzusteigen. Linbo kann zwar auch eine Zuordnung von Aktivierungsinformationen zum Rechner, aber das Thema habe ich mir erst gar nicht weiter angeschaut, weil KMS aus meiner Sicht recht simpel und robuster ist, falls mal „neue Hardware“ erkannt wird und eine Reaktivierung eingefordert wird. Zu KMS gibt es hier im Forum etliche Themen als Hilfestellung.
Mit dieser Methode habe ich derzeit 340 Clients mit 4 Imagegruppen verteilt auf 21 Raumgruppen laufen. Linbo kennt zwar keine Raumgruppen wie Rembo, aber wir haben hier Gruppen dupliziert und verwenden für viele dieselben Basisimages. Mir ist es sogar gelungen eine Serie von Rechnern mit legacy-BIOS mit nur einem Basisimage zum Laufen zu bekommen, wo es Geräte mit NVMe und SATA-Platten gemischt gibt (restliche Hardware ist gleich).
Falls die Benutzerverwaltung doch ein essentielles Feature ist, welche ihr bisher nicht über Windows-Server bzw. die Microsofts Management Console darin gelöst habt, dann wäre auch noch eine Variante vorstellbar, den LMN-Server als Vertrauensstellung/Sub-Domäne mit dem vorhandenen ActiveDirectory zu verbinden. Benutzer und Computer wären im AD von Samba/Sophomorix und deine bestehenden Dienste im externen AD. Das sei aber nur als theoretisch möglicher Weg aufgezählt. Hier habe ich keine Erfahrung beizutragen.
MfG Buster