Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] NTFS доступ по имени компутера (http://forum.oszone.net/showthread.php?t=95812)

Nik1981 10-12-2007 11:57 694281
NTFS доступ по имени компутера
 
ДОБРОГО ВРЕМЕНИ СУТОК!

Уважаемые, есть потребность назначить права доступа к папкам по имени компутера. Ситуация такая - есть шара, в ней расположены папки по именам компутеров (S:\SHARED\Comp1, Comp2......), в эти папки сливается информация с конкретного компутера. По именам пользователей назначить немогу, они любят перемещаться с места на место.
Вопрос: Как установить доступ к вложеным папкам шары по имени машины из AD?

HLT 10-12-2007 13:18 694333
А зачем мудрить?
Сделать группу в AD, в которую включить всех пользователей, которые ходят по этим компьютерам.
Этой группе дать доступ.
Шару делаем скрытую (\\server\shared$), внутри папки для каждого компа, и в автозагрузку для All Users на каждом компе кладем батник:
Код:
@echo off
net use z: /delete
net use z: \\server\shared$\comp1
Батник в All users - потому что если придет новый юзер, который за этим компом раньше не работал - то ему создастся новый профиль, и надо будет руками ему подключать соответствующую шару. А так - юзера даже не знают, что и откуда поключается. Для пущей важности батник, лежащий в автозагрузке All Users - сделать скрытым =)
Про перемещаемые профили тоже не забываем. Если они у вас когда-нибудь появятся, то отключение/подключение диска через net use поможет избежать сохраненные в профили мапы дисков с другого компьютера.
Если лениво разносить по компам батник - можно сделать отдельную групповую политику в АД, в неё - startup script соответствующий, и применение политики настроить на нужную группу пользователей.

Вопрос с безопасностью отбрасываем сразу: Если пользователи ходят с машины на машину - они все равно получат доступ к нужной шаре. Например, если ему захочется удалить документ в шаре comp2 - он просто пойдет и сядет за comp2

Nik1981 10-12-2007 13:51 694355
Цитата:
Цитата HLT
А зачем мудрить?
Сделать группу в AD, в которую включить всех пользователей, которые ходят по этим компьютерам.
Этой группе дать доступ.
Шару делаем скрытую (\\server\shared$), внутри папки для каждого компа, и в автозагрузку для All Users на каждом компе кладем батник:................................................ »
Именно так у меня все и организовано. Шара грузится из сценария входа и т.п. Все дело в безопасности!!! Ее я немогу обеспечить, поэтому и спрашиваю про доступ на уровне компутеров домена. :sorry:

HLT 10-12-2007 14:04 694364
Цитата:
Цитата Nik1981
Все дело в безопасности!!! »
Повторюсь:
Цитата:
Цитата HLT
Вопрос с безопасностью отбрасываем сразу: Если пользователи ходят с машины на машину - они все равно получат доступ к нужной шаре. Например, если ему захочется удалить документ в шаре comp2 - он просто пойдет и сядет за comp2 »
Даже если извратиться и сделать подобный доступ - ничего от этого не изменится.
При наличии физического доступа к компу - у юзера будет возможность делать всё что угодно с документами в папке для этого компа.
Если 2-3 пользователя перемещаются между 2-3 компами, а между ДРУГИМИ 2-3 компами перемещаются ДРУГИЕ 2-3 пользователя - соответственно делать группы ПОЛЬЗОВАТЕЛЕЙ и вешать им разрешения на соответствующие шары

Nik1981 10-12-2007 14:36 694393
Нее, не подходит. Им и ходить не надо, просто net use и все. Дело именно в безопасности!!! Поэтому-то я и прицепился к доступу по именам компутеров. (Если ты работаешь с компутера Comp1, то можешь открыть только папку Comp1.)
Вопрос: Как установить доступ к вложеным папкам шары по имени машины из AD?

HLT 10-12-2007 16:52 694471
Цитата:
Цитата Nik1981
Как установить доступ к вложеным папкам шары по имени машины из AD »
Никак!



Несколько цитат ниже:

http://www.derkeiler.com/Newsgroups/.../msg00257.html
Цитата:
if your logged in *domain* users are trying to access the resources, it will always be using *their* credentials
http://www.eggheadcafe.com/software/...nt-access.aspx
Цитата:
I believe you cant do that . But you probably can do it at network layer or firewall.
http://forums.windowsitpro.com/web/f...&enterthread=y
Цитата:
... any process/service that COMPUTERACCOUNT runs as SYSTEM, but would not give any access to processes created by users logged onto COMPUTERACCOUNT.

Всё понятно?
Пока юзер не залогинился - процессы, запущенные от имени системных служб, будут использовать имя компьютера для доступа к шаре.
При юзерском доступе к шаре всегда будет использоваться имя юзера.


Если ОЧЕНЬ надо - заведите в AD новых пользователей comp1_user comp2_user и т.д.
Дайте им соответствующие доступы на каждую "комповую" шару
На каждом компе пропишите в "сохраненных паролях" этих этих юзеров для доступа к серверу, на котором сидят "комповые" шары (не забудьте это сделать в профилях каждого пользователя за каждым компом)

ИМХО все-таки надо или забить на "безопасность" или шары раздавать не по компам, а по юзерам.
"безопасность" в кавычках - потому что
Цитата:
Цитата HLT
Если пользователи ходят с машины на машину - они все равно получат доступ к нужной шаре. Например, если ему захочется удалить документ в шаре comp2 - он просто пойдет и сядет за comp2 »

Ferum01 10-12-2007 17:09 694486
можно сделать привязку юзеров к ип компьютера...
тогда они смогут работать только с этого компа и соответственно шара только с него и возможна будет

Nik1981 10-12-2007 17:53 694536
Цитата:
Цитата HLT
Никак! »
Ну собственно я так и думал, просто хотел окончательно убедиться.

Всем большое спасибо!

Ferum01 10-12-2007 18:16 694556
Цитата:
Цитата Nik1981
Цитата HLT:
Никак! »
Ну собственно я так и думал, просто хотел окончательно убедиться.
Всем большое спасибо! »
можно еще файрволом ограничить тода можно...!

HLT 11-12-2007 11:42 694988
Цитата:
Цитата Ferum01
можно еще файрволом ограничить »
Хм. Вряд ли получится ограничить фаерволом доступ к шарам в зависимости от айпишника. Тогда уж на ftp переводить всё это добро =)

Ferum01 12-12-2007 09:30 695647
Цитата:
Цитата HLT
Цитата Ferum01:
можно еще файрволом ограничить »
Хм. Вряд ли получится ограничить фаерволом доступ к шарам в зависимости от айпишника. Тогда уж на ftp переводить всё это добро »
я то ограничивал, там ничего сложного нет (енто в брендамауэре (файлы и принтеры расшаренные) на каком то из портов 137,138,139,445 разрешаешь ип.

HLT 12-12-2007 09:57 695663
Цитата:
Цитата Ferum01
я то ограничивал, там ничего сложного нет »
Ferum01, прочитайте внимательно вопрос и объясните - как фаерволом разрешить доступ к \\server\share\comp1 только с компа comp1, а к \\server\share\comp2 - только с компа comp2

NiOl 12-12-2007 12:47 695764
Извините, но я не понимаю, зачем вообще такое нужно? То, что ни о какой безопасности при этом не может быть и речи - ясно, но если требуется чтобы пользователи во время работы не лазили по папкам других пользователей, то названия компов вообще не нужны. Самое простое - подключение приватных(личных) дисков в папках на серваке при входе в систему на рабочей станции - все делается элементарно в свойствах пользователей АД.

А если тебе НУ ДЕЙСТВИТЕЛЬНО нужна папка Comp1, расшаренная только для Comp1 ты расшарить ее сможешь (на серваке, при указании прав в самой верхней строке "Select this Object type:" указываешь "Computers" и снимаешь все остальные галочки, чтобы не путаться, после чего жмешь кнопку поиска и выбираешь нужный комп), но при попытке зайти на такую шару ты либо сразу будешь послан, либо тебя таки спросят логин и пароль... ну логин, понятное дело, имя "компа", т.к. доступ ЕМУ а не пользователю, и пароль... пароль для компьютера задан быть на может, соответственно пустой. А что у нас с доступом в домене с пустыми паролями? Правильно, ничего. т.е. нет доступа. :tongue:


Время: 14:22.

Время: 14:22.
© OSzone.net 2001-