[HLT]

А зачем мудрить?
Сделать группу в AD, в которую включить всех пользователей, которые ходят по этим компьютерам.
Этой группе дать доступ.
Шару делаем скрытую (\\server\shared$), внутри папки для каждого компа, и в автозагрузку для All Users на каждом компе кладем батник:

Код:

@echo off
net use z: /delete
net use z: \\server\shared$\comp1

Батник в All users - потому что если придет новый юзер, который за этим компом раньше не работал - то ему создастся новый профиль, и надо будет руками ему подключать соответствующую шару. А так - юзера даже не знают, что и откуда поключается. Для пущей важности батник, лежащий в автозагрузке All Users - сделать скрытым
Про перемещаемые профили тоже не забываем. Если они у вас когда-нибудь появятся, то отключение/подключение диска через net use поможет избежать сохраненные в профили мапы дисков с другого компьютера.
Если лениво разносить по компам батник - можно сделать отдельную групповую политику в АД, в неё - startup script соответствующий, и применение политики настроить на нужную группу пользователей.

Вопрос с безопасностью отбрасываем сразу: Если пользователи ходят с машины на машину - они все равно получат доступ к нужной шаре. Например, если ему захочется удалить документ в шаре comp2 - он просто пойдет и сядет за comp2

[Nik1981]

Цитата HLT:

А зачем мудрить? Сделать группу в AD, в которую включить всех пользователей, которые ходят по этим компьютерам. Этой группе дать доступ. Шару делаем скрытую (\\server\shared$), внутри папки для каждого компа, и в автозагрузку для All Users на каждом компе кладем батник:................................................ »

Именно так у меня все и организовано. Шара грузится из сценария входа и т.п. Все дело в безопасности!!! Ее я немогу обеспечить, поэтому и спрашиваю про доступ на уровне компутеров домена.

[HLT]

Цитата Nik1981:

Все дело в безопасности!!! »

Повторюсь:

Цитата HLT:

Вопрос с безопасностью отбрасываем сразу: Если пользователи ходят с машины на машину - они все равно получат доступ к нужной шаре. Например, если ему захочется удалить документ в шаре comp2 - он просто пойдет и сядет за comp2 »

Даже если извратиться и сделать подобный доступ - ничего от этого не изменится.
При наличии физического доступа к компу - у юзера будет возможность делать всё что угодно с документами в папке для этого компа.
Если 2-3 пользователя перемещаются между 2-3 компами, а между ДРУГИМИ 2-3 компами перемещаются ДРУГИЕ 2-3 пользователя - соответственно делать группы ПОЛЬЗОВАТЕЛЕЙ и вешать им разрешения на соответствующие шары

[Nik1981]

Нее, не подходит. Им и ходить не надо, просто net use и все. Дело именно в безопасности!!! Поэтому-то я и прицепился к доступу по именам компутеров. (Если ты работаешь с компутера Comp1, то можешь открыть только папку Comp1.)
Вопрос: Как установить доступ к вложеным папкам шары по имени машины из AD?

[HLT]

Цитата Nik1981:

Как установить доступ к вложеным папкам шары по имени машины из AD »

Никак!



Несколько цитат ниже:

http://www.derkeiler.com/Newsgroups/.../msg00257.html

Цитата:

if your logged in *domain* users are trying to access the resources, it will always be using *their* credentials

http://www.eggheadcafe.com/software/...nt-access.aspx

Цитата:

I believe you cant do that . But you probably can do it at network layer or firewall.

http://forums.windowsitpro.com/web/f...&enterthread=y

Цитата:

... any process/service that COMPUTERACCOUNT runs as SYSTEM, but would not give any access to processes created by users logged onto COMPUTERACCOUNT.

Всё понятно?
Пока юзер не залогинился - процессы, запущенные от имени системных служб, будут использовать имя компьютера для доступа к шаре.
При юзерском доступе к шаре всегда будет использоваться имя юзера.


Если ОЧЕНЬ надо - заведите в AD новых пользователей comp1_user comp2_user и т.д.
Дайте им соответствующие доступы на каждую "комповую" шару
На каждом компе пропишите в "сохраненных паролях" этих этих юзеров для доступа к серверу, на котором сидят "комповые" шары (не забудьте это сделать в профилях каждого пользователя за каждым компом)

ИМХО все-таки надо или забить на "безопасность" или шары раздавать не по компам, а по юзерам.
"безопасность" в кавычках - потому что

Цитата HLT:

Если пользователи ходят с машины на машину - они все равно получат доступ к нужной шаре. Например, если ему захочется удалить документ в шаре comp2 - он просто пойдет и сядет за comp2 »

[Ferum01]

можно сделать привязку юзеров к ип компьютера...
тогда они смогут работать только с этого компа и соответственно шара только с него и возможна будет

[Nik1981]

Цитата HLT:

Никак! »

Ну собственно я так и думал, просто хотел окончательно убедиться.

Всем большое спасибо!

[Ferum01]

Цитата Nik1981:

Цитата HLT: Никак! » Ну собственно я так и думал, просто хотел окончательно убедиться. Всем большое спасибо! »

можно еще файрволом ограничить тода можно...!

[HLT]

Цитата Ferum01:

можно еще файрволом ограничить »

Хм. Вряд ли получится ограничить фаерволом доступ к шарам в зависимости от айпишника. Тогда уж на ftp переводить всё это добро