Ha a windows-t akarják leváltani szabad szoftveres alternatívával, akkor sajnos a szabad szoftveres alternatívának ugyanazt a use-case-t le kell tudni fedni, amit eddig a windows fedett le. Ellenkező esetben egy szomorú kudarctörténet lesz az egész...
Simán lefedi ugyanazt a use-case-t. Csak másképp (=jól) kell gondolkodni. Sőt, megfordítom: egy halom use-case van, amit történelmileg sose tudott a Winfos normálisan lefedni (szemben a UNIX-szal), és mégis erőltették (ennek klasszikus példája volt a terminál szerver).
Az nem megy, hogy a use-case-hez megkeresem a legjobb Winfos megoldást, majd egy-az-egyben ugyanazt akarom implementálni UNIX-on. Ugyanez persze fordítva sem menne...
Értsd meg az én példámat. Egy egyetemi laborról volt szó, ahol mindenféle gyakorlatok vannak. Minden 2 órában másvalaki ül a gép előtt.
Ideális a példa. UNIX-on ezt secperc alatt meg lehet csinálni, 100%-ban korrekt megoldást elérve. Winfoson nincs rá 100%-os megoldás, csak a group policy-val lehet bűvészkedni, aztán mindig lesz valaki, aki talál egy rést a pajzson. Persze ez az az op.rendszer, ahol egy nem 100%-os megoldásnak is illik örülni :)
A UNIX-os megoldás lényege, hogy a user a saját home-jában azt csinál, amit akar, majd kilépéskor (vagy belépéskor) az egész home-ja megy a levesbe, és visszaáll egy default, amit persze egyszer neked kell összeraknod. Olyat is lehet, hogy óra végén indul a takarítás, azaz óra elejétől a végéig van home-ja, partizánkodhat, a következő user pedig megint a nulláról indul. Mivel alapból a usernek nincs írási joga a home-on kívül máshova, nem tudja a rendszert elbaszni (ellentétben a Winfossal, ahol így még az átlagos alkalmazások sem működnének, ergó kénytelen leszel jogokat osztani, amit utána kurva nehéz kordában tartani).
A default-ként odamásolandó konfigot meg elő lehet állítani másik userként, a dolog így nagyon kényelmesen menedzselhető. A vmware kicsit érdekessé teszi a dolgot, de ott meg az a "megoldás", hogy a vmware tud olyat, hogy readonly a diszk image (tehát nem is kell másolgatni), és vagy csak a változásokat menti a usernek (amit majd a home-mal együtt letúrunk), vagy eleve csak valami temp fájlba dolgozik, ami a vmware leállításakor törlődik.
Amúgy pedig egy rendes LDAP-alapú roaming user profile-t megoldani sem tűnt túl egyszerűnek (bár bevallom ebbe végül nem fektettem sok időt).
A roaming profile egy elbaszott, szar ötlet volt billyék részéről.
A shared home a korrekt megoldás, amit UNIX-on egyetemi laborban már akkor használtunk, amikor még Win95 se létezett...
NFS-re mountolt /home sem lett volna túl jó ötlet, mert jellemzően 30+ GB-os virtuális gépeket kellett futtatni.
Most őszintén: ha Winfoson a user profile-ba raksz 30+ GB-os virtuális gépeket, akkor roaming profile-lal szerinted mennyi idő lesz egy be- és egy kijelentkezés?
Ellenben segítek: UNIX-on van olyan, hogy az egyik alkalmazásom az egyik gépen fut, a másik alkalmazásom meg a másikon, és mégis ugyanazon a desktopon vannak egymás mellett az ablakaik, és meg nem mondod funkció alapján, hogy melyik honnan jön.
Meg persze vannak a remote desktop megoldások is, amit mondjuk Winfoson is tudsz használni, de azok már messze nem teljesen transzparensek.
Igen, csak ez nem mindenhol van így, hidd el, hogy vannak helyek, ahol bele kell szólni. Nagyobb helyeken az alkalmazottak dolgoznak, az IT-nek meg az a feladata, hogy a seggük alá tolja a munkaeszközt. Nem szabad a userek idejét rabolni azzal, hogy nekik kelljen dolgokat beállítgatni a gépen. Tudom, persze a realitás az, hogy szeretnek belenyúlkálni...
Hát, ez UNIX-on megintcsak szokott működni - ellentétben a Winfossal.
UNIX-on az van, hogy általában a programok default beállításai használhatóak (nem állítom, hogy mindé az, de a nagy többségé igen), a felhasználóknak default beállítással odaadhatóak. Winfoson az van, hogy a desktop defaultok az r=1bit home userekre vannak méretezve (színes-csili-vili kinézet, nem mutatjuk meg a kiterjesztést, mert még rájössz, hogy a három ugyanolyan nevű fájl között mi a különbség, menu delay = 400ms, animations on), amik az átlag irodai felhasználók 99%-ának nem kellenek, ellenben a 60-80%-át irritálják, vagy csak szimplán rabolják az értékes munkaidejüket. Ez miatt halál logikus, hogy egy normális rendszergazda más defaultokat szeretne adni az embereinek, ne egyesével szopjanak már vele.
UNIX-on közel nincs ekkora igény erre - másfelől pedig mivel minden beállítás text fájlban van, meglehetősen egyszerű azokat átírni, majd 500 gépre disztributálni. Harmadrészt amit nem tudsz egyszerűen megtenni Winfoson (pl. for every user: edit registry in user profile), azt egy pár soros shell script megcsinálja UNIX-on.
Szerintem te is tudod, hogy ilyenkor mi történik... telefon felvesz, IT száma tárcáz, "- Nem működik a gépen, azonnal jöjjenek fel, mert nem tudok dolgozni"
Compiz beállításokkal pl mostanában elég könnyű unity-s desktopot totál szétverni. Sokat kellett nyomoznom, hogy melyik conf fájlba mi kéne kerüljön, hogy vissza tudjam hozni egy ismerősöm gépén a user accountját. Hogy egyáltalán bármilyen window manager elinduljon neki...
Ez a történet velem egészen biztosan nem fordulhatott volna elő. :D
Compiz, meg a hasonló csili-vili fosok pl. nem lennének a gépen, ha a user nem maga tartja karban (ha meg igen, akkor meg adjon saját magának supportot :)
Ugyanez a probléma Winfoson is egy létező gond, azzal a különbséggel, hogy ott az elbaszott user profile-t leginkább letörölni lehet, vagy minimum a teljes user registry-t felülvágni. UNIX-on azért elég hatékonyan meg lehet találni a user home-jában azokat a .config könyvtárakat, amik az adott részhez tartoznak, és egy jól irány rm -rf csodákra képes. Így legalább csak az adott programhoz tartozó beállítások vesznek - nem az egész user registry komplett.
És persze a group policy nem ad erre a problémára sem 100%-os megoldást, így bármennyire ügyes policy-t sikerül faragni, időnként jönni fognak a felhasználók az elbaszódott user registry-jükkel...
-> Mandatory access control és máris nem teheti meg. Malware elleni védelem szempontjából sem volna hülyeség, csak a Linux desktop egyelőre nincs annira célkeresztben, hogy ez napi szinten probléma legyen.
Ha a gépet használni is szeretnénk (pl. egy darab böngészőnél vagy célalkalmazásnál többre), akkor a mandary access control reálisan nem megvalósítható. Nem tudsz annyi emberi erőforrást belerakni, hogy az eredmény elég jó legyen (vagy túl szélesre tárod a kaput, vagy a valós felhasználásnál is mindig policyba ütközés lesz). A gondolat amúgy jó (lenne), de sajnos még egy átlagos irodista is túl sok mindent használ.