Возможно ли ограничить доступ к сетевым общим папкам по паролю, IP и их видимость?
 

Есть сервер с ОС WIN 2003 Enterprise, он является хранилищем пользователей в сети. Каждый хранит свои файлы в своих папках. Так вот, задача на вид проста до невозможного, но вот выполнить я ее не могу. Необходимо: 1) Сделать так, чтоб каждый пользователь, заходя на сервер видел только свою папку и мог в ней делать всё что угодно; 2)Поставить пароль на доступ к каждой папке; 3)В каждую папку должен заходить только пользователь с определенным IP и я.
Какие у Вас есть предложения и решения :)

Это вообще невозможно, имхо. С определенным SID - да. Но IP никак не увязан с системой LSA.
Поправьте, если ошибаюсь :)

Черт с ним, с IP. Папки скрыть и запаролить - вот первоначальная задача.

Посмотрите, тут похожая тема

Спасибо за наводку, но ... ни чего не получилось. Если я хоть одному пользователю закрываю права на доступ к папке, сразу все теряют это право.
Пробовал различную софтинку под это дело (Folder lock, Hide folders XP, Access Administrator Pro, File and Folder Protector и чего-то еще) все хорошо, но они либо папки прячут для всех, либо закрывают для всех. А мне б чтоб от всех спрятал и закрыл, а одному показал и открыл :)
Мож чего из софта подскажете, раз с виндой не выходит у меня.

Ничего не путаете? Может не показывают, но зайти туда можно?
Вообще, я бы сделал немного по-другому, руками. Персональные папки пользователей есть смысл монтировать через логон-скрипт. Т.е. пользователю при входе подключается. скажем, сетевоё диск K:, на котором лежат его файлы. Сама папка, которая видна юзеру как диск, принадлежит лично этому пользователю, доступ не "Все", а только данный юзер да админы. Тогда такую папку и видно вроде бы не будет (остальным), а пользователь её сразу видит.

Guest
1) и 2) - невозможно

первое, потому что Проводник не способен делать это (в отличие от новеловского клиента)
второе, потому что при подключении к сетевым ресурсам (серверу) используется маркер доступа. Таким образом, подключившись к сетевому калогу - пользователь получит все права на досуп и все права на отказ сразу, никто спрашивать пароли для подкаталогов сетевого ресурса не будет.

А может быть вам при входе подключать каждому пользователю его папку как сетевой диск? Сделать ее скрытой и дать доступ только ему и себе? Тогда и на сервер никто ходить не будет - ничего не увидит.

Вообщем, поступил следующим образом. Сервер скрыл в сети (слегка реестр подправил и Firewall поставил), теперь его не видно и он не пингуется; папки сделал системными (papka$) и ручками, каждому пользователю, подключил их как сетевые диски.
Осталось только пароли на папки поставить, чтоб никто кроме владельца папки в нее попасть не мог.

а пароль пользователя при регистрации в системе этот же эффект не дает? те если пользователь зарегистрировался на консоли компьютера с верными учетными данными - доступ есть, если нет - то и доступа нет. Или обязательно указывать пароль при доступе к ресурсу? сколько паролей должен пользователь у вас учить?

Эффект не совсем тот, который нужен, т.е. происходит следующее: пользователь заходит на сетевой диск вбивая логин/пароль; поработав с сетевым диском, он его закрывает. При необходимости опять открыть сетевой диск, он просто щелкает на нем мышью и открывает.
Так вот, необходимо, чтоб при повторном посещении сетевого диска опять запрашивался логин/пароль.
Учить придется 2 пароля :)

а если, попровать периодически выдавать команду
net use * /del /y

например каждые 2 минуты по расписанию (создать заданиес этим сценарием)

Комманда, net use * /del /y, на сколько я понял, стирает учетный лист подключающихся пользователей.
Лист стирается, а эффекта ни какого. Как заходили без запроса пароля, так и заходят. :(

hasherfrog - тогда сессия закроется уже и опять подключаться.. - но желать от систему можно многое, я вообще не сторонник темы, поднятой автором, тк чем больше паролей - тем хуже и хуже. единый логон должен быть. ИМХО

Возможное решение приведено в этой теме: fix! Как скрыть сетевые общие папки для доступа к которым нет прав?

а почему нельзя попробовать поставить ФТП сервер, какуюнить маленькую программу, но зато будет очень эффективно... и вроде бы можно будет всё что вы хотите настроить:)

Не знаю, что вы тут чудите, у нас в организации есть своя небольшая программа, которая и делает доступ к сетевоум диску, хитрость вся в том, что у всех прописано подключение такое D:\Work\%username% и таким образом логинясь пользователь получает доступ к диску X:\ который ссылается на папку допустим на папку D:\Work\Anna, находящуюся на сервере. И ни какой пользователь даже не видит списка остальных папок... Ясное дело папка D:\Work является сетевой, но у неё мало того, что сетевое имя, которое не запомнить, так оно ещё и скрыто с помощью $

Добрый день!
Я так понимаю, что у вас в сети есть домен, в который входят и сервер и рабочие станции пользователей и пользователи к серверу подключаются под доменными учетками?
Если да, то у меня это решено таким образом:
1. Создана папочка Users на сервере, расшарена и на сетевой доступ у нее стоит Everyone - Full control
2. Внутри этой папочки созданы поддиректории по логинам пользователей (у нас для них используются фамилии, пусть будет Ivanov).
3. На папку пользователя даны права NTFS:
Administrators - Full Control
Backup operators - Full Control
Пользователь (например - Иванов) - Full Control.
Т.е. в папку пользователя может зайти только он сам, администратор и оператор резервного копирования.
4. Установлена такая вещь как Access-based Enumeration - штатная Microsoft'овская примочка - ее можно у них с сайта закачать, ссылку не дам потому как не помню - по поиску найти недолго, работает на Вин2003 с 1 сервис-паком. После того, как вы ее поставите, на свойствах папки появится еще одна закладочка - Access-based Enumeration. Так вот если ее разрешить, то пользователи внутри расшареной папки видят только те папки, на которые у них есть NTFS-права доступа. Т.е. в нашем случае, несмотря на то, что в папке Users лежат папки всех пользователей, видят они только свою родимую.
5. На компьютерах пользователей работает батник на логон (в принципе это можно еще настроить на контролере домена, но мой сервер таковым не является) - батник делает вот так:
net use z: \\server\sharename\%username%
После чего у пользователя вообще нет необходимости даже лазить на сервер. Ну а если полезет - то ничего лишнего не увидит.

В случае, если у вас нет домена, то делается все то же самое, только в батнике надо будет вместо переменной %username% прописать название папки пользователя а также прописать имя пользователя и пароль, под которым подключаться к серверу.

По поводу IP - доступ к папке настроить не получится, зато каждому пользователю можно указать с какой рабочей станции он может вообще входить в домен - может быть это подойдет?

да, неплохо бы ссылочку, всё-таки наверное есть чему поучится у гигантов :)

и дхцп каждой рабочей станции установить в соответствие айпи 8) уж не каждому человеку придёт в голову менять MAC-адрес сетевой карты! Тем более у нас всё подобное закрыто

По поводу ссылочки - жми сюда .
По поводу DHCP - даже если администраторского пароля на локальной машине у пользователя нет - то его не так долго сбросить - благо средств для этого в Интернете предостаточно. А после этого выставить себе любой статический IP - не проблема. Ну вылетит у кого сообщение о конфликте - а зайти все равно получится...
Да и вообще - защита от инсайдеров это тема, для которой нужен как минимум отдельный сайт...

а не проще ли просто взять Hyena ,нарулить ей папки для юзеров вида \\server\profiles\%username% на которые тойже самой гиеной через шаблоны сделать доступ только юзеру и админу после чего поставить ABE Acsess-bases Enumeration если не ошибаюсь ,на мелкософте посмотрите. Итог для всех юзеров своя папка ,попасть и даже просто увидеть её сможет только сам юзер и админ ,так как ABE скрывает все папки на которые у юзера нет хоть каких нибудь прав. Папки эти монтировать логон скриптом ,а если уж нужна жёсткая привязка по IP то нет ничего проще ,в настройках учётки есть свойства user can logon only on this IP ,в hyenaзадать также время когда юзер логинется может тоже полезно...

Вот посмотри эту тему http://forum.oszone.net/showthread.p...EF%E0%EF%EA%E8