Einer der Ideen hinter einer AD ist ja, dass die Clients nicht an Nutzer gebunden sind. Es kann sich jeder überall anmelden und bekommt seine Daten (wenn so eingestellt). Im Kern ändert es am Aufwand nur wenig, ob ich jetzt einen Client einbinde und hierüber einen User erstelle ODER ob ich das direkt auf dem Server mache und mich mit diesem eben dann vom Client aus anmelden kann. Ich persönlich bevorzuge das Vorgehen so wie es ist, schließlich braucht der gute Nutzer ja auch bestimmte Einstellungen wie Profil-Pfad auf Server, Gruppen, Einstellungen, Kennwort usw.
Hier die Abläufe mal visualisiert:
Benutzer auf AD anlegen => Rechte / Einstellungen zuweisen => Benutzer meldet sich am Client an => Fertig
Benutzer meldet sich am Client an => Benutzer wird in AD erstellt => Nachträgliche Konfiguration des Benutzers; Zuweisung der Rechte, Gruppen ...=> Benutzer meldet sich ab => Benutzer meldet sich an => ganz viel Bullshit weil irgendwas nicht funktioniert => Fertig
Das mit der Freigabe ist so auch richtig! Du hast auf 2 Ebenen Rechte zu verwalten:
- Dateisystemebene
- Freigabeebene
Wobei gilt, dass die Dateisystemrechte das letzte Wort haben. Eine so detaillierte Vergabe von Rechten ist mit den Netzwerkfreigaben gar nicht möglich (Attribute, spezielle Berechtigungen, Verweigerungen bestimmter Ordner usw.)
Die Rechteverwaltung ist bei Linux meiner Meinung nach totaler Murks. Die Rechte auf Dateisystemebene sind definitiv nicht für komplexe Rechtevergaben brauchbar, zumindest nicht wenn man die Organisationsstruktur großer Firmen abbilden möchte.
Bei Windows kann man einfach die benötigten Gruppen hinzufügen, bei Linux bräuchte man dafür eine Gruppe die die Gruppen sammelt (da man ja nur
einer Gruppe die Rechte zuweisen kann (vielleicht hat sich das ja mittlerweile geändert?)). Sprich man bildet nicht nur die OU in den Gruppen ab, sondern man benötigt auch noch endlos viele "Hilfsgruppen". Da blickt nachher keine Sau mehr durch!