Общий доступ и безопасность
 

Есть файловый сервер в домене. Есть а нем папки с открытым общим доступом. Часть из папок доступны для всех, а часть разбиты по группам (имеют доступ только нужные группы).

Итак, я захожу на сервер. Назовем его \\server. Если я доменный пользователь, то захожу без проблем. Если нет, требуется логин и пароль для доступа. Итак, я зашел на сервер как Пользователь1, потому что я так авторизован в системе. И теперь я пытаюсь зайти в папку \\server\ForAdmins, в которую имеют доступ только администраторы. И вместо того, чтобы спросить у меня пароль, windows 7 (да и ХР тоже) говорит, что у меня нет доступа. Очень неудобно. Хочу чтобы спрашивал. Это как-то настраивается или не предусмотрено совсем?


Добавлено:
Делается через net use, но это неудобно. Хочу добавить команду в контекстное меню папок, которая бы сбрасывала подключение к папке и запрашивала логин и пароль для ее использования. Желательно сделать это (добавление в меню) через политики на каждую машину по одному разу (чтобы не спамило каждый раз при обновлении политик)...

Попробуйте это: Как зайти в сетевую папку с другими правами. Там варианты про net use, удаление сохраненных паролей, подключить как сетевой диск с другими учетными данными и т.д.

User001,
net use - неудобно. Я хочу более свободно заходить в папки не вводя для каждой команду и не подключая сетевой диск.
Папок много, и в какие мне понадобится зайти, находясь за компьютером какого-либо пользователя, неизвестно. Поэтому я уточнил задачу

Множественные подключения к одному серверу с разными именами в File and Printer Sharing for Microsoft Network не поддерживаются.
Максимум, что можно порекомендовать — на машине клиента запускаете какой-нибудь Far Manager с альтернативными реквизитами, из которого уже дальше гуляете по нужным альтернативным папкам.

Но я бы рекомендовал вообще забыть идею ввода пароля администратора внутри сессии чужого пользователя (сразу плюнуть и растереть) и переделать структуру ресурсов так, чтобы этого не требовалось.

WindowsNT, мне и самому это не нравится...

А как? Намекните.

Для начала оцените, а что вы в этих папках забыли, собстно? Для чего вам к ним нужно попасть из сеанса пользователя? Дальше уже можно решать, как достичь цель, выполнить задачу, но другими средствами.

Есть общие папки, в которых документация и ПО для всех. Есть папки для отделов, куда имеют доступ только определенные группы. И вот одна из этих папок для нашего отдела, где ПО не для всех. Иногда его приходится запускать/устанавливать с компов пользователей. Переместить в ПО для всех я его не могу по некоторым причинам.

Входите на компьютер пользователя под административной учёткой и делаете в этой папке "для нашего отдела" всё, что хотите.

В конце концов, что вам мешает скопировать инсталляционные файлы из оригинального шаринга на компьютер пользователя, сидя на своей рабочей системе?
Откройте FAR или два окна Explorer-а > Copy-Paste > дальше уже в сессии пользователя делаем RunAs по скопированным файлам? (хотя я бы, конеш, RunAs запретил однозначно).

Время мешает. Не люблю делать лишние телодвижения. Бывает, что появляется новая программа, которую нужно установить не одному пользователю. И как то не хочется сидеть и размножать ее по рабочим станциям. В общую шару скинуть тоже не могу, дабы не попала в лапы коварных пользователей.

1. вы же после установки инсталляционные файлы уберёте с компьютера пользователя, не так ли?
2. Оптовые инсталляции делаются другими методами — скриптование, политики, SCCM и прочая.
3. А что будет, если попадёт в лапы?

Короч, если инсталляции будут лежать на другом сервере, net use работать будет. А так, как вы хотели изначально, — не будет.

Добрый день!
Спрошу тут, чтобы не плодить темы.
Есть тестовая сеть: КД, пару серверов и раб станция. Серверы под вин 2008 р2.
Прямо на КД были 2 расшаренные папки (сделал по-быстрому, потестировать права доступа). Сетевой доступ - Пользователи домена: чтение, изменение. Доступ НТФС - создатель-владелец, система, группа доменных пользователей чтение и выполнение, администраторы: полный доступ. Группу "Пользователи" из списка доступа удалил.
Один из серверов вывожу из домена (имя рабочей группы не совпадает с именем домена), потом переименовываю комп, перезагружаюсь. Чисто случайно решил с него зайти на КД, и что интересно - пустило. Более того, пускает в эти две папки, и дало удалить файлы.
Сразу подумал, про совпадение имени админской учетки и паролей и там и там. После смены пароля на этом уже не-доменном сервере при подключении стало спрашивать пароль.
Непонятно - почему пускало после вывода из домена?

Совпадение логина и пароля локальной учётной записи (админа) с одной из учётных записей домена.
Во избежание подобного нужно указывать другие пароли локальным профилям администраторов.

имя рабочей группы ни на что не влияет.

Ок, спасибо! То, что пароли совпадали - я на это и подумал, совет хороший.
Я думал, что контроллер домена (домен) должен сам себя защищать, от пользователей НЕ домена. Ведь учетки компа из рабочей группы в АД нет... Оказывается, это не защита.

Вообще-то "учётки компов" используются очень редко. Например, в правилах безопасности групповых политик, чтобы они применялись только к определённым компьютерам.

А доступ к файлам в основном определяется списком пользователей. Более того, любую сетевую папку можно подключить с компьютера, используя логин вида "domain\username". Разве что это не прокатит при работе в сеансе доменного пользователя, потому что система не позволит одновременные подключения от имени разных пользователей (будет активным только подключение от пользователя домена, вошедшего в систему).
Зато пользователи компьютеров вне домена (а также локальные пользователи доменных компьютеров) легко могут использовать сетевые папки сервера.


Самая очевидная возможность ограничить использование доменных профилей со "сторонних" компьютеров - задать в параметрах пользователя перечень компьютеров, с которых может быть осуществлён вход в систему.
Но и здесь засада - перечень использует символьные имена NETBIOS, а значит:
1) для каждого пользователя нужно будет перечислять вручную все дозволенные компьютеры (в пределах отдела и т.д.)
2) после переименования компьютера придётся вручную править параметры.
3) злоумышленник может назначить своему компьютеру такое же имя (и доменный суффикс) без ввода компьютера в домен.

Если более опытные товарищи опишут лучшие способы ограничения безопасности (с привязкой объектов доменных пользователей к объектам доменных компьютеров), скажу им "большое спасибо"

Об этом я и писал - когда нужно автоматически установить приложение не на всё "подразделение домена" в целом, а на отдельные компьютеры (или группу компьютеров), или как-то иначе ограничить применение групповых политик.

Размышления фоново вслух.
Если MS что-либо придумает, чтобы ограничить вход на ресурсы домена только с компьютеров включенных в домен, то:

1. Что на по этому поводу говорит протокол kerberos ?
2. Что делать с другими OS? Маки, Линуксы?
3. Не получим ли мы обратный эффект? BYOD (BYOT, BYOP, BYOPC). Когда пользователь принес собственное устройство (телефон, ноутбук), и хочет получить доступ к доменным ресурсам из-под своей (легальной, белой и пушистой учетной) записи, а мы ему кукиш в морду?

1. Перечисление имён касается только интерактивного логона. Но не сетевого. Ессно, безопасность не увеличивает.
2. С чем боремся вообще? С тем, что злоумышленник подключил к сети свой компьютер, затем с него логонится на контроллер? Как насчёт начать бороться с физическими подключениями?
3. IPSec Domain Isolation может оказаться единственным ответом. Но начинающие не потянут.