выборочный режим доступа сетевым к ДБ
 

Доброго всем времени суток. Нужна консультация от сведущих и заинтересовавшихся лиц.

Ситуация
Есть:

1. домен на Win2003 Serv. Ent. Ed.
2. развернута AD
3. все пользователи доменные
4. сетевой хранилище на базе NAS Thecus 5200 bp-pro с поддержкой AD авторизации
5. несколько БД (доморощенные ACCESS и некоторые БД к-е позволяют прописывать сетевые пути), файлы к-х хранятся на NAS, интерфейс к БД устанавливается локально на каждый ПК пути соответственно сетевые
6. пользователи работают с БД в режиме чтение\запись

Необходимо:
Закрыть файлы БД на NAS так что бы зайти в папку с файлами БД через какой либо браузер не было возможности, но при этом работа с БД через интерфейс продолжалась. Это необходимо для защиты БД от излишне любопытных и неразумных юзеров.

есть у кого какие мыслишки, мысли и даже думы? :)

PS ах да забыл уточнить еще одну вещь, средствами управления авторизацией самого NAS накопителя этого сделать не возможно

Если только для группы "пользователи" (или кто у вас там с этими базами работает) снять "разрешение на просмотр каталога", оставив разрешения на чтение и запись файлов...

А остальное? Закрывать просмотр сетевого диска (если вы так этот NAS подключаете) "Проводником" в групповых политиках глупо - всё равно открывается через cmd или total comander

с первым пунктом понятно, однако что имеется ввиду под "остальное"? ни одна папка NAS не подключаться к ПК юзеров в кач-ве сетевых дисков. И не очень понятен смысл про cmd и TC. Вы хотите сказать что пользователь с запретом просмотра каталога виндовым эксплорером, сможет зайти туда через любой другой браузер? (TC cmd и т.п) я правильно понял?

Ну я же не знаю, как у вас реализовано. Вот и предположил, что через сетевые диски.
Просто есть в групповых политиках такая фишка, как запрет на просмотр ПРОВОДНИКОМ какого-нибудь диска (чаще всего, диска С). Но TC и другие программы спокойно всё открывают, поскольку эту политику не читают :)
Насчёт CMD точно не скажу, ибо по приказу Большого Начальства в служебной домене командная строка вообще заблокирована групповой политикой.

в общем понятно, будем думать

Извиняюсь а не подскажете где это моно найти в ГП ато найти никак не могу?

Можно создать хеш правило для cmd.exe. А также для любого другого приложения. Делается это в конфигурации компьютера\конфигурация windows\параметры безопасности\политики ограниченного использования программ

dreamond, а по большому счёту, если у пользователя есть доступ к файлам БД, то их можно скопировать/испортить/удалить скриптом либо командным файлом. А от запрета на командные файлы головняка будет намного больше :(
Есть такой вариант. Полностьь закрыть доступ к файлам БД от обычных пользователей, а для работы создать отдельные профили, от имени которых пользователи будут запускать программы СУБД. Причём, программы эти будут запускаться через командный файл, который будет автоматически осуществлять ввод пароля.
А сам пользователь на данный файл будет иметь доступ только на запись, и не сможет подсмотреть этот пароль.

P.S. В соседней теме есть пример команды автоматического ввода пароля - http://forum.oszone.net/post-1089888-11.html

P.P.S Или же можно попытаться перейти на новую БД

все это конечно и понятно правильно, но в в данном случае требуется просто защита от излишне любопытных. Учитывая что всем пользователям будет зарезана возможность установка программ то наверное все ж таки наиболее простым будет запрет на просмотр этого каталога, а ТС можно не боятся стоять его там (или аналогичных программ) просто не будет. По поводу CMD, да тут следует поразмыслить, но имея 2 годичный опыт работы с этим юзерами у меня возникает сильное сомнение что они полезут в CMD- мозгов не хватит.

Если же рассуждать с точки зрения глобальной политики безопасности тогда, да, следует более четко и серьезно этим заниматься, а мне такого ЦУ не давали, как говориться инициатива наказуема или редко поощряема :)