Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Поделитесь опытом организации файловых ресурсов 23.06.04 10:38
Автор: cryman Статус: Незарегистрированный пользователь
|
Доброго времени суток!
Возник достаточно классический вопрос. Есть сетка. AD, W2K, WXP. Надо организовать несколько ресурсов и мапить их пользователям. Разным пользователям нужно мапить разные ресурсы (вроде общего диска отдела, 1С и прочей лабуды). Очевидно, что с такой задачей сталкивается практически каждый админ. Внимание, вопрос:
Опишите (по-возможности подробно), как это реализовано у Вас(ну или как бы Вы это реализовали). Если используются группы, то какие. Если скрипты, то желательно исходники. Ну и, есественно, укажите плз маштаб организации.
PS:
В принципе, у меня есть несколько мыслей, но хочется узнать, как эту задачу решают остальные.
Спасибо.
|
|
лучшая файлопомойка - NetWare 06.07.04 15:48
Автор: cybervlad <cybervlad> Статус: Elderman
|
не пожалей денежек на выделенный сервер. для задач "файлопомойки" (совместного использования кучи файлов) пока лучше ничего не придумано.
|
| |
Весьма спорное утверждение ;) В своё время успешно с неё... 06.07.04 15:53
Автор: cryman Статус: Незарегистрированный пользователь
|
> не пожалей денежек на выделенный сервер. для задач
> "файлопомойки" (совместного использования кучи файлов) пока
> лучше ничего не придумано.
Весьма спорное утверждение ;) В своё время успешно с неё слезли... ладно, не будем поднимать флейм на этот счёт ;-)
Если по делу, то какая фиг разница, на чём поднимать шары - винда, нетварь, фрюникс или макос? Вопрос-то в другом был.
|
|
Судя по тому, что ответов больше нет, видимо пора выставить... 06.07.04 11:29
Автор: cryman Статус: Незарегистрированный пользователь
|
Судя по тому, что ответов больше нет, видимо пора выставить на суд общественности мои мысли на этот счёт ;). Надеюсь на конструктивную критику
Что сделано сейчаз (это сделали до моего появления):
Есть некие файловые шары, объединённые в DFS. На эти шары даны права некоторым группам (в достаточно бардачном порядке - группы как DL, так и G). В группы входят какие-то пользователи, которым нужен соответствующий ресурс. Есть logon-скрипт, который анализирует членство в группах и мапит диски (примерно как предложил [b]ROLIK[/b]). В связи с тем, что контора не сильно маленькая, таких групп тоже не мало - порядка 50. Соответственно, скрипт уже давно потерял стройность и четабельность (хотя написан, следует признать, весьма и весьма достойно).
Вот собственно и всё. Не нравится в такой организации достаточно много чего.
Теперь какие есть мысли, как всё это разрулить:
Для начала, по-человечески (читать, по-Некрософтовски) раздать права на ресурсы, а именно, давать их только DL. На каждый ресурс сделать по три (как минимум) группы, скажем, с постфиксами -R, -M, -F с разными правами доступа. Пока думаю, что трёх будет достаточно. Далее, пользователей запихсть в глобальные группы, те в локальные (в соответствии с буквой закона).
С правами разобрались. Теперь о мапе. В AD у групп есть безумное количество атрибутов, которые, вообще говоря, если и используются, то только по большим праздникам. Например, Description и E-Mail у Security групп совершенно лишние (описание удобнее писать в Notes, а E-Mail - это вообще из другой оперы). Соответственно, можно их запользовать под свои нужды. Если, скажем, в поле E-Mail писать букву диска, куда должен мапиться ресурс, а в поле Description - собственно путь к ресурсу, то с одной стороны, всегда будет понятно что куда мапится, а, с другой, очень сильно упростится как скрипт, так и процедура модификации всех мап/шар. Скрипт циклично перебирает все группы, в которых состоит пользователь (с заходом "вглубь", то есть с обработкой ситуации "группа в группе") и, если находит, например, непустое поле E-Mail, осуществляет мап ресурса.
На мой взгляд достаточно красивое решение. Сейчаз всё это стоит и обкатывается в тестовом лесу ;)
Пока что я вижу только одну проблему: что делать, если пользователю нужен доступ, но не нужен мап к ресурсу (например, администраторам)? Например, простым пользователям надо цеплять диск отдела, а админы должны иметь доступ, но диск цеплять не нужно. На мой взгляд, есть три решения:
1. Прописывать мапы не на локальных группах, а на глобальных. ИМХО, концептуально неверно ;)
2. В скрипте прописать некий exclude-list
3. Для мапа использовать совершенно левые группы. То есть, не те, которым дан доступ, а специально выделенные.
Пока мотыляюсь между решением 2 и 3...
Надеюсь никого не утомил? ;-)
Принимаются предложения/замечания
|
| |
Вроде всё ничего. Но вот всё равно не понимаю, чем GP не угодили. 06.07.04 12:02
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | |
GP не угодили только количеством. Хотя, на то он и тестовый... 06.07.04 12:08
Автор: cryman Статус: Незарегистрированный пользователь
|
|
GP не угодили только количеством. Хотя, на то он и тестовый лес, чтобы и этот вариант обкатать )))
|
|
я решаю при помощи kix32
24.06.04 14:30
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
я решаю при помощи kix32
Если человеку нужно мапить какой-нибудь ресурс я кладу в system32 нулевой файлик вида map_XXX - а потом проверяю наличие его в скрипте
|
| |
я решаю при помощи kix32 25.06.04 11:43
Автор: cryman Статус: Незарегистрированный пользователь
|
|
что такое kix32?
|
| | |
http://www.kixtart.org/ 25.06.04 12:08
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
|
|
Очевидный при наличии AD подход. 23.06.04 15:43
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
В соответствии с разными наборами требуемых ресурсов формируются соответствующие группы безопасности, в них помещаются пользователи. Дальше на домен (или на OU) применяются различные групповые политики, в которых скриптом на логон мапятся диски. По одному GPO на каждый набор ресурсов. Доступ на их применение даётся соответствующим группам безопасности.
|
| |
Способ понятен. Но как быть, если таких вариантов достаточно... 24.06.04 13:02
Автор: cryman Статус: Незарегистрированный пользователь
|
> В соответствии с разными наборами требуемых ресурсов
> формируются соответствующие группы безопасности, в них
> помещаются пользователи. Дальше на домен (или на OU)
> применяются различные групповые политики, в которых
> скриптом на логон мапятся диски. По одному GPO на каждый
> набор ресурсов. Доступ на их применение даётся
> соответствующим группам безопасности.
Способ понятен. Но как быть, если таких вариантов достаточно много? Например, 50 отделов, каждому надо диск отдела мапить. Уже 50 GPO.
|
| | |
Возможен вариант... 24.06.04 16:46
Автор: Deviator <n/a> Статус: Member
|
...создания GPO не "по отделам", а "по ресурсам" (такая политика применяется для нескольких отделов).
И на самом деле, нужны и те и другие.
|
| | |
Ну что ж такого. Много отделов - много GPO. 24.06.04 13:56
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
|
Как это было сделано у меня под NT Server: 23.06.04 11:15
Автор: Den <Denis> Статус: The Elderman
|
|
В netlogon'е лежали логон скрипты для каждой группы пользователей. Пользователю прописывался логон скрипт, выполнявший подключение к общей папке группы и общей папке организации, и прописывалась home folder с мапированием на диск, в которой хранился профиль пользователя. Также в логон скрипте были прописаны: синхронизация системного таймера с сервером; проверка операционной системы логинящегося пользователя и в зависимости от этого - ветвление исполнения логонскриптов; проверка установленных патчей и установка неустановленных; проверка и правка ключей реестра и ini файлов (например правка FontSubstitutes).
|
|
1С как вариант загнать в SQL
23.06.04 11:00
Автор: Garick <Yuriy> Статус: Elderman
|
> Возник достаточно классический вопрос. Есть сетка. AD, W2K,
> WXP. Надо организовать несколько ресурсов и мапить их
> пользователям. Разным пользователям нужно мапить разные
> ресурсы (вроде общего диска отдела, 1С и прочей лабуды).
1С как вариант загнать в SQL
> Очевидно, что с такой задачей сталкивается практически
> каждый админ. Внимание, вопрос:
> Опишите (по-возможности подробно), как это реализовано у
> Вас(ну или как бы Вы это реализовали). Если используются
> группы, то какие. Если скрипты, то желательно исходники. Ну
> и, есественно, укажите плз маштаб организации.
Эти вопросы подпадают под договор "О конфендициальной информации в компании "ХХХХ"" и врядли кто то слишком подробно будет описывать, кроме стандартных решений, которые - STFW
> PS:
> В принципе, у меня есть несколько мыслей, но хочется
> узнать, как эту задачу решают остальные.
>
> Спасибо.
"Мысли" на стол!:-)))
|
| |
1С как вариант загнать в SQL 23.06.04 11:33
Автор: cryman Статус: Незарегистрированный пользователь
|
> > Возник достаточно классический вопрос. Есть сетка. AD,
> W2K,
> > WXP. Надо организовать несколько ресурсов и мапить их
> > пользователям. Разным пользователям нужно мапить
> разные
> > ресурсы (вроде общего диска отдела, 1С и прочей
> лабуды).
> 1С как вариант загнать в SQL
>
> > Очевидно, что с такой задачей сталкивается практически
> > каждый админ. Внимание, вопрос:
> > Опишите (по-возможности подробно), как это реализовано
> у
> > Вас(ну или как бы Вы это реализовали). Если
> используются
> > группы, то какие. Если скрипты, то желательно
> исходники. Ну
> > и, есественно, укажите плз маштаб организации.
> Эти вопросы подпадают под договор "О конфендициальной
> информации в компании "ХХХХ"" и врядли кто то слишком
> подробно будет описывать, кроме стандартных решений,
> которые - STFW
>
Во-первых, не всегда есть такой тугомент, а во-вторых, никто не заставляет указывать название компании ;-)
> > PS:
> > В принципе, у меня есть несколько мыслей, но хочется
> > узнать, как эту задачу решают остальные.
> >
> > Спасибо.
> "Мысли" на стол!:-)))
Мысли на стол будут, но позже, когда будет достаточное количество ответов.
|
| | |
Вообщето его наличие очень желательно, иногда он не на... 23.06.04 12:07
Автор: Garick <Yuriy> Статус: Elderman
|
> > Эти вопросы подпадают под договор "О конфендициальной
> > информации в компании "ХХХХ"" и врядли кто то слишком
> > подробно будет описывать, кроме стандартных решений,
> > которые - STFW
> >
> Во-первых, не всегда есть такой тугомент, а во-вторых,
> никто не заставляет указывать название компании ;-)
Вообщето его наличие ОЧЕНЬ ЖЕЛАТЕЛЬНО, иногда он не на бумаге, а в отношении сисадмина к своим трудовым обязанностям, в голове те.:-)))
Да и название компании не главный фактор. Есть например ИП адрес шлюза в корпоративную сеть, например.
> > "Мысли" на стол!:-)))
>
> Мысли на стол будут, но позже, когда будет достаточное
> количество ответов.
Ждемс...:-)))
|
|
|
подробно о проекте
Анализ криптографических сетевых...
