Возник достаточно классический вопрос. Есть сетка. AD, W2K, WXP. Надо организовать несколько ресурсов и мапить их пользователям. Разным пользователям нужно мапить разные ресурсы (вроде общего диска отдела, 1С и прочей лабуды). Очевидно, что с такой задачей сталкивается практически каждый админ. Внимание, вопрос:
Опишите (по-возможности подробно), как это реализовано у Вас(ну или как бы Вы это реализовали). Если используются группы, то какие. Если скрипты, то желательно исходники. Ну и, есественно, укажите плз маштаб организации.
PS:
В принципе, у меня есть несколько мыслей, но хочется узнать, как эту задачу решают остальные.
> не пожалей денежек на выделенный сервер. для задач > "файлопомойки" (совместного использования кучи файлов) пока > лучше ничего не придумано.
Весьма спорное утверждение ;) В своё время успешно с неё слезли... ладно, не будем поднимать флейм на этот счёт ;-)
Если по делу, то какая фиг разница, на чём поднимать шары - винда, нетварь, фрюникс или макос? Вопрос-то в другом был.
Судя по тому, что ответов больше нет, видимо пора выставить...06.07.04 11:29 Автор: cryman Статус: Незарегистрированный пользователь
Судя по тому, что ответов больше нет, видимо пора выставить на суд общественности мои мысли на этот счёт ;). Надеюсь на конструктивную критику
Что сделано сейчаз (это сделали до моего появления):
Есть некие файловые шары, объединённые в DFS. На эти шары даны права некоторым группам (в достаточно бардачном порядке - группы как DL, так и G). В группы входят какие-то пользователи, которым нужен соответствующий ресурс. Есть logon-скрипт, который анализирует членство в группах и мапит диски (примерно как предложил [b]ROLIK[/b]). В связи с тем, что контора не сильно маленькая, таких групп тоже не мало - порядка 50. Соответственно, скрипт уже давно потерял стройность и четабельность (хотя написан, следует признать, весьма и весьма достойно).
Вот собственно и всё. Не нравится в такой организации достаточно много чего.
Теперь какие есть мысли, как всё это разрулить:
Для начала, по-человечески (читать, по-Некрософтовски) раздать права на ресурсы, а именно, давать их только DL. На каждый ресурс сделать по три (как минимум) группы, скажем, с постфиксами -R, -M, -F с разными правами доступа. Пока думаю, что трёх будет достаточно. Далее, пользователей запихсть в глобальные группы, те в локальные (в соответствии с буквой закона).
С правами разобрались. Теперь о мапе. В AD у групп есть безумное количество атрибутов, которые, вообще говоря, если и используются, то только по большим праздникам. Например, Description и E-Mail у Security групп совершенно лишние (описание удобнее писать в Notes, а E-Mail - это вообще из другой оперы). Соответственно, можно их запользовать под свои нужды. Если, скажем, в поле E-Mail писать букву диска, куда должен мапиться ресурс, а в поле Description - собственно путь к ресурсу, то с одной стороны, всегда будет понятно что куда мапится, а, с другой, очень сильно упростится как скрипт, так и процедура модификации всех мап/шар. Скрипт циклично перебирает все группы, в которых состоит пользователь (с заходом "вглубь", то есть с обработкой ситуации "группа в группе") и, если находит, например, непустое поле E-Mail, осуществляет мап ресурса.
На мой взгляд достаточно красивое решение. Сейчаз всё это стоит и обкатывается в тестовом лесу ;)
Пока что я вижу только одну проблему: что делать, если пользователю нужен доступ, но не нужен мап к ресурсу (например, администраторам)? Например, простым пользователям надо цеплять диск отдела, а админы должны иметь доступ, но диск цеплять не нужно. На мой взгляд, есть три решения:
1. Прописывать мапы не на локальных группах, а на глобальных. ИМХО, концептуально неверно ;)
2. В скрипте прописать некий exclude-list
3. Для мапа использовать совершенно левые группы. То есть, не те, которым дан доступ, а специально выделенные.
Пока мотыляюсь между решением 2 и 3...
Надеюсь никого не утомил? ;-)
Принимаются предложения/замечания
Вроде всё ничего. Но вот всё равно не понимаю, чем GP не угодили.06.07.04 12:02 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
я решаю при помощи kix32
Если человеку нужно мапить какой-нибудь ресурс я кладу в system32 нулевой файлик вида map_XXX - а потом проверяю наличие его в скрипте
я решаю при помощи kix3225.06.04 11:43 Автор: cryman Статус: Незарегистрированный пользователь
В соответствии с разными наборами требуемых ресурсов формируются соответствующие группы безопасности, в них помещаются пользователи. Дальше на домен (или на OU) применяются различные групповые политики, в которых скриптом на логон мапятся диски. По одному GPO на каждый набор ресурсов. Доступ на их применение даётся соответствующим группам безопасности.
Способ понятен. Но как быть, если таких вариантов достаточно...24.06.04 13:02 Автор: cryman Статус: Незарегистрированный пользователь
> В соответствии с разными наборами требуемых ресурсов > формируются соответствующие группы безопасности, в них > помещаются пользователи. Дальше на домен (или на OU) > применяются различные групповые политики, в которых > скриптом на логон мапятся диски. По одному GPO на каждый > набор ресурсов. Доступ на их применение даётся > соответствующим группам безопасности.
Способ понятен. Но как быть, если таких вариантов достаточно много? Например, 50 отделов, каждому надо диск отдела мапить. Уже 50 GPO.
Возможен вариант...24.06.04 16:46 Автор: Deviator <n/a> Статус: Member
В netlogon'е лежали логон скрипты для каждой группы пользователей. Пользователю прописывался логон скрипт, выполнявший подключение к общей папке группы и общей папке организации, и прописывалась home folder с мапированием на диск, в которой хранился профиль пользователя. Также в логон скрипте были прописаны: синхронизация системного таймера с сервером; проверка операционной системы логинящегося пользователя и в зависимости от этого - ветвление исполнения логонскриптов; проверка установленных патчей и установка неустановленных; проверка и правка ключей реестра и ini файлов (например правка FontSubstitutes).
1С как вариант загнать в SQL
23.06.04 11:00 Автор: Garick <Yuriy> Статус: Elderman
> Возник достаточно классический вопрос. Есть сетка. AD, W2K, > WXP. Надо организовать несколько ресурсов и мапить их > пользователям. Разным пользователям нужно мапить разные > ресурсы (вроде общего диска отдела, 1С и прочей лабуды). 1С как вариант загнать в SQL
> Очевидно, что с такой задачей сталкивается практически > каждый админ. Внимание, вопрос: > Опишите (по-возможности подробно), как это реализовано у > Вас(ну или как бы Вы это реализовали). Если используются > группы, то какие. Если скрипты, то желательно исходники. Ну > и, есественно, укажите плз маштаб организации. Эти вопросы подпадают под договор "О конфендициальной информации в компании "ХХХХ"" и врядли кто то слишком подробно будет описывать, кроме стандартных решений, которые - STFW
> PS: > В принципе, у меня есть несколько мыслей, но хочется > узнать, как эту задачу решают остальные. > > Спасибо. "Мысли" на стол!:-)))
1С как вариант загнать в SQL23.06.04 11:33 Автор: cryman Статус: Незарегистрированный пользователь
> > Возник достаточно классический вопрос. Есть сетка. AD, > W2K, > > WXP. Надо организовать несколько ресурсов и мапить их > > пользователям. Разным пользователям нужно мапить > разные > > ресурсы (вроде общего диска отдела, 1С и прочей > лабуды). > 1С как вариант загнать в SQL > > > Очевидно, что с такой задачей сталкивается практически > > каждый админ. Внимание, вопрос: > > Опишите (по-возможности подробно), как это реализовано > у > > Вас(ну или как бы Вы это реализовали). Если > используются > > группы, то какие. Если скрипты, то желательно > исходники. Ну > > и, есественно, укажите плз маштаб организации. > Эти вопросы подпадают под договор "О конфендициальной > информации в компании "ХХХХ"" и врядли кто то слишком > подробно будет описывать, кроме стандартных решений, > которые - STFW > Во-первых, не всегда есть такой тугомент, а во-вторых, никто не заставляет указывать название компании ;-)
> > PS: > > В принципе, у меня есть несколько мыслей, но хочется > > узнать, как эту задачу решают остальные. > > > > Спасибо. > "Мысли" на стол!:-)))
Мысли на стол будут, но позже, когда будет достаточное количество ответов.
Вообщето его наличие очень желательно, иногда он не на...23.06.04 12:07 Автор: Garick <Yuriy> Статус: Elderman
> > Эти вопросы подпадают под договор "О конфендициальной > > информации в компании "ХХХХ"" и врядли кто то слишком > > подробно будет описывать, кроме стандартных решений, > > которые - STFW > > > Во-первых, не всегда есть такой тугомент, а во-вторых, > никто не заставляет указывать название компании ;-) Вообщето его наличие ОЧЕНЬ ЖЕЛАТЕЛЬНО, иногда он не на бумаге, а в отношении сисадмина к своим трудовым обязанностям, в голове те.:-)))
Да и название компании не главный фактор. Есть например ИП адрес шлюза в корпоративную сеть, например.
> > "Мысли" на стол!:-))) > > Мысли на стол будут, но позже, когда будет достаточное > количество ответов. Ждемс...:-)))
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
