В общем, хотят у меня в организации файлопомойку с раздельными правами в каждой папке. При чем домена нет и походу не предвидится (банально нет компьютера который бы играл роль КД, а делать из уже имеющегося "сервера" КД - идея тухлая, т.к. его бывает нужно перезагружать посреди рабочего дня). И доступ к этой файлопомойке должен быть у любых пк что называется изкоробки.

В наличии в кандидаты на роль файлопомойки имеется NAS (http://qnap.ua/ts-419p-ii), один комп под win server 2008R2 (места там не особо много, может не хватить) и один под вин7 который в данный момент и играет роль файлопомойки.

\\сервер\
------папка-отдела1 (люди в этом отделе с правами read\write, остальные deny)
------папка-отдела2 (люди в этом отделе с правами read\write, остальные deny или может понадобится read only)
------ну и так далее

Пока мой непосредственный начальник в отпуске, такие таски идут от человека вышестоящего но тем не менее не обремененного сколь-нибудь пониманием что без домена эта задача решается исключительно костылями (либо я сам чего-то не знаю?).

Какие есть варианты, чтобы архитектурно правильно всё реализовать?
Конечно простейший (но долгий) вариант - ходить пешком к каждому клиентскому компу, создавать там пользователя например user1, затем на сервере создать группу otdel1, включить юзера в группу а потом назначить папке права для этой группы, остальным deny. Но это слишком долго и муторно (домена то нет) и это костыль, который городить не хотелось бы.
Можно поднять фтп, но я этого никогда раньше не делал и поэтому не знаю подводных камней.
Может еще какие-нибудь варианты, о которых я не знаю?

Может еще какие-нибудь варианты, о которых я не знаю? »
Я сделал так. Любым способом создается дисковое пространство на условном "сервере" (servername), где будет файлопомойка. Это может быть как NAS, подключенный к серверу, так и массив HDD, подключенных туда же. Я предпочел в итоге второй вариант, поскольку мощность сервера позволяла, а NAS этот лишняя нагрузка на сеть и вообще лишнее промежуточное звено, потому что всё равно оно работало через сервер, будучи подключено к нему через iSCSI, а не напрямую к клиентам (возможно это особенность только нашей железки). Это уж там сами решайте.

На том же сервере создается нужное количество УЗ (username), создается и расшаривается папка sharedfoldername, играющая роль общей сетевой шары, в ней нужным подпапкам выставляются нужные права доступа для созданных УЗ через права доступа NTFS. Далее на каждом клиентском компьютере выполняется простая процедура - мой компьютер - подключить сетевой диск - указываете путь \\servername\sharedfoldername - ставите галку "использовать другие учетные данные" - в качестве логина вводите \\servername\username, пароль который задавали при создании учетки, т.е. каждый клиент будет работать с этой папкой от имени УЗ, созданной на сервере и имеющей нужные вам права доступа. Естественно необходимо так настроить права, чтобы всякие группы типа "все" или "гости" не имели доступа к расшаренной папке, ни на запись, ни на чтение.
И всё.

Конечно простейший (но долгий) вариант - ходить пешком к каждому клиентскому компу, создавать там пользователя например user1 »
пользователи не имеют индивидуальных учетных записей? Ip адреса не привязаны к mac-адресу?

На том же сервере создается нужное количество УЗ (username), создается и расшаривается папка sharedfoldername, играющая роль общей сетевой шары, в ней нужным подпапкам выставляются нужные права доступа для созданных УЗ через права доступа NTFS. Далее на каждом клиентском компьютере выполняется простая процедура - мой компьютер - подключить сетевой диск - указываете путь \\servername\sharedfoldername - ставите галку "использовать другие учетные данные" - в качестве логина вводите \\servername\username, пароль который задавали при создании учетки, т.е. каждый клиент будет работать с этой папкой от имени УЗ, созданной на сервере и имеющей нужные вам права доступа. Естественно необходимо так настроить права, чтобы всякие группы типа "все" или "гости" не имели доступа к расшаренной папке, ни на запись, ни на чтение.
И всё. »
А потом очередной бухгалтер запускает из почты "Налоговая декларация.zip.exe" и всё содержимое сетевого диска (туда где есть права записи) шифруется локером.
Антивирусы далеко не всегда ловят эту дрянь, если она более менее свежая, она же в свою очередь шифрует всё содержимое компьютера И сетевые диски (теневые копии кстати тоже).
Это удобно, да, но рисковано.
Сам видел как аваст, нод и авг такое пропускают. Можно было бы сказать "тю так они хлам, вот поставь %оченьклассныйантивирус%, он не пропустит" - но я склоняюсь к мнению что антивирусы все одинаковые (что платные что бесплатные), что один словил то другой пропустит, а потом наоборот.


freese, на оба вопроса ответ нет.

Charg, ну значит только долгие варианты. Или ходить создавать учетки или на DHCP сервере всем привязать ip, ну и доступ по какому то из этих вариантов

freese, и как я по айпи отфильтрую чтоб человек имел доступ к одной папке полный, к другой только чтение а к третьей чтение\запись?

как я по айпи отфильтрую чтоб человек имел доступ к одной папке полный, к другой только чтение а к третьей чтение\запись? »
если на windows 7 ну без кастылей конечно ни как, cygwin + samba (тут вам и права и доступ по IP) :) ну или какой-нибудь софт. Ну а если NAS то нужно читать инструкцию

А потом очередной бухгалтер запускает из почты "Налоговая декларация.zip.exe" и всё содержимое сетевого диска (туда где есть права записи) шифруется локером. »
Чушь. Любой более-менее адекватный админ сообразит, что надо делать бекап важной информации из общей помойки туда, где нет у бухгалтера прав чтения/записи. Профит. У нас этим занимается бесплатный Cobian

Для каких файлов нужно хранилище?

Может оказаться, что Вы не знаете вот такой подводный камень: народ в отделе будет продолжать терять и портить нужные файлы и скоро "сверху" придёт указявка исправить ситуацию.

Я обязательно исключаю любую возможность удалять/изменять данные, а иначе ничего не делаю. Данные можно только добавлять. Удалять или менять нельзя. Благодаря этому принципу хранилище уже страшно подумать сколько лет бесперебойно работает безо всякого "обслуживания". В крайнем случае бухи перезагружают комп и больше ничего не надо знать или уметь.

Charg, Вы правы, без домена городить огород с правами доступа себе дороже. На роль контроллера домена, если не спешить впереди паровоза с Server 2012/2016, а использовать тот же 2008 R2 — в принципе, сгодится любая офисная машинка повыше среднего уровня, даже с i3+h77, 4-8 Gb памяти, и даже без RAID'а :). Надёжности, конечно, никакой не будет, но, на первых порах, поиграться и оценить всю прелесть доменной структуры и иерархической модели хранения хватит за глаза. Забудете как страшный сон все капризы и несуразности модели Рабочих групп. Всякие же NAS'ы без домена хороши разве что для регулярного складирования больших объёмов информации, не более.

Я за ftp, поднять на Linux, создать пользователей, раздать пермишенс и юзать по полной.

NickM, ftp ни разу не «файлопомойка» :).

но я склоняюсь к мнению что антивирусы все одинаковые (что платные что бесплатные), что один словил то другой пропустит, а потом наоборот. »
+100500 и доктор вэб и касперский пропускали шифровальщики
Для вразумления пользователей и прикрытия собственной попы разработали инструкцию по работе с почтой и антивирусным ПО, рекомендую и Вам то же самое сделать.

Я обязательно исключаю любую возможность удалять/изменять данные, а иначе ничего не делаю. Данные можно только добавлять. »
Т.е. если у Вас есть документ в формате эксель, в котором еженедельно надо вносить правки 3-4 сотрудникам разных отделов, Вы всегда создаете его с нуля?

Charg, не забывайте лимитировать место для пользователей. Помню у нас один юзер залил на сервер пару-тройку дистрибутивов автокада. На всякий пожарный случай.

UPD. Я бы еще сделал папку общая_мусорка (для всех и вся) и стирал ее содержимое по мере необходимости.

Linux + Samba4, вот и весь домен, настраивается за 10 мин.

Цитата topotun32:
если у Вас есть документ... Вы всегда создаете его с нуля?
Нет.
Сотрудник не может менять файлы в хранилище, но может добавлять файлы в хранилище. Получив из хранилища копию файла, сотрудник изменяет её содержание и сохраняет как новый файл в хранилище. Таким образом никакой сотрудник не может загнать себя или коллег в безвыходную ситуацию, когда файл с данными утрачен. Он может создать только себе гемор, но только в отношении очень небольшого объема данных, которые он сам ввёл и сам потерял. Это дисциплинирует. В отличие от ситуации, когда один сотрудник (и очень часть это неизвестно кто) может грохнуть чужие файлы, с чем бухгалтера и манагеры совершенно ничего не могут сделать. Это их "деморализует".

Yewgeniy, т.е. Вы создаете 30 вариантов ежедневного накопительного отчета? Имхо, это не самый лучший вариант.

Что Вас смущает?
Отображается только последняя версия файла, остальные - по требованию.

UPD.
Имеете ввиду, что одна версия будет открыта несколькими работниками, каждый из которых внесет свои изменения и сохранит в хранилище свой вариант?

В таком случае, может быть, эксель - не лучший вариант?

Имеете ввиду, »
Имеется в виду, полагаю, коллективная работа с документами.

На практике бардак, а не "коллективная работа с документами".

На практике бардак, а не "коллективная работа с документами". »
Само собой. Наша задача привести сие в мало-мальски божеский вид.