Здравствуйте

У нас маленькая компания, всего 8 компьютеров, сервера нет, все работают в рамках одной рабочей группы (Домашняя сеть Windows 7)
все компьютеры подключаются к роутеру МГТС по Wi-Fi.
В чем проблема? Нужно разграничить доступ, а рабочая группа не предоставляет такой возможности.

- Нужно чтобы база данных бухгалтера хранилась на ее компьютере и бэкапилась в на сервер (которого сейчас нет)
- Чтобы данные на компьютере операциониста лежали не на ее компьютере, а на сервере и доступ к ним имел ограниченный круг пользователей
- Планируемая База 1С чтобы лежала на сервере, чтобы любой пользователь мог залогиниться в нее через тонкий клиент 1С, но тобы никто эту базу не мог удалить/скопировать стандартными средствами Windows

Вариант я вижу только пока один -
1) купить сервер начального уровня, установить на нем Windows Server 2016
2) поднять на нем контроллер домена, AD, подключить все остальные компьюетеры по LAN к нему.

Но для нашей маленькой компании это слишком круто и неразумно, мне кажется. Поднимать контроллер домена, миграция учеток пользователей... (а у бухгалтера куча специфических программ, банк-клиент и тд, стопудов что-нить навернется в процессе переноса). Может быть есть более мягкие варианты (стронний софт, например)?

Интересно ваше мнение.

Заранее спасибо!

Нужно разграничить доступ, а рабочая группа не предоставляет такой возможности. »
предоставляет, AD в контексте ваших файловых нужд даст лишь централизованное хранилище пользовательских учёток

Нужно чтобы база данных бухгалтера хранилась на ее компьютере и бэкапилась в на сервер »
Планируемая База 1С чтобы лежала на сервере, чтобы любой пользователь мог залогиниться в нее через тонкий клиент 1С »
что-то не сходится

Кому "нужно"?
Почитайте что такое тонкий клиент.

AD и ваши задачи не особо взаимосвязаны.

Самый простой выход - купить NAS на два диска. Настроить там список пользователей такой-же как на рабочих станциях. Положить туда все документы, базы 1С, разграничить доступ пользователям.
Главное, чтобы имена пользователей на рабочих станциях были разные, то есть, бухгалтер сидит под учётной записью "Бухгалтер", операционист под "Операционист". Всем пользователям раздать новые пароли, которые будут такими-же как и на доступ к NAS, отключить автовход на компьютерах. Объяснить зачем это нужно всем пользователям и руководству, получить одобрение последнего.
Для отдельного бекапа базы 1С и другой нужной информации можно купить внешний usb-диск и средствами NAS настроить бекап туда.
Вариант чуть дороже - NAS на четыре диска, сделать два зеркала, первое для оперативных данных, второе для бекапов, можно даже бекап рабочих станций приделать.
Вариант чуть дешевле, но требует опыта и знаний - купить самосборный компьютер с четырьмя дисками (или брендовый сервер типа HP MicroServer), установить FreeNAS или аналог и настроить аналогично предыдущему пункту.
Вариант похожий на предыдущий, но нужно ещё чуть больше знаний, но вместо FreeNAS ставится Zentyal или аналог, на нём поднимается SAMBA (аналог AD) для централизованной авторизации и аутентификации, там-же создаётся файловое хранилище. Все рабочие станции вводятся в этот домен, при условии, что используется Windows Professional любой версии.
Вариант для хорошего объёма знаний и опыта - поднять Линукс ручками, там настроить Самбу, файловую помойку, если 1С версии 8.1 или выше, то возможно поднять серверный вариант 1С с блекджеком sql базой и тонким клиентом. Либо вариант с терминальным доступом.

По затратам на железо, все выше приведённые пункты не сильно дороги. По затратам на настройку самый дорогой - последний.
Если смотреть в сторону Windows, то у МС есть вариант Windows 2016 Essentials, который не требует закупки лицензий для устройств и пользователей (ограничения на 25 юзеров и 50 устройств)
На нём можно поднять всё, что нужно, кроме терминального доступа, но с тонким клиентом 1С. Стоимость такой версии порядка 26 тыс. рублей.

Параноя ты конечно все правильно говоришь, но блин люди у нас не 10 а 18 год, вы о облачных решениях не думали?)
Тот же G Suite права можно раздать как нужно пользователям, безлимитный ящик на все, ну доменная почта, интеграция со многими CRM, если нужно, также работа с google пакетом( аля word, exel) соответственно от нелегального офиса можно избавиться( ну если есть)
не дорого 10$ на пользователя. есть и дешевле 5 там диск меньше
В общем если есть нормальный инет рекомендую и безопасней и проще.
Конечно при условии что база 1с не sql.

если NAS то QNAP рекомендую

G Suite права можно раздать как нужно пользователям »
А смысл? У людей 1С, тут G-suite не поможет от слова совсем. Для ящиков вполне людям хватает и бесплатной почты.
К тому же не забываем доблестного богатыря стоящего на страже Родины - Роскомнадзор, который буквально вчера заблокировал некоторые подсети Гугла. :)

ну файловая 1с может на пк работать и бэкапиться в облако, у меня компания одна полностью на инфраструктуре гугла работает, 1с в облаке через https пользователи заходят, там же настроен бекап на гугл диск. Да ркн начал блокировать но все работает норм. зато вы не тратитесь на серверную инфраструктуру( железо и ПО) и ее содержание.
Хотим переходить на хромбуки в ближайшем будущем, а 1с кстати тот еще костыль переходим сейчас на сервис эльба.контур( у нас все в белую), если компания не большая там проще, ну сейчас уже достаточное кол-во бух.сервисов на рынке, которые автоматизируют работу бухгалтерии. Вот у нас уже -1 стал.

зато вы не тратитесь на серверную инфраструктуру( железо и ПО) и ее содержание »
Железо - это капитальные затраты, поддержка - это операционные. С облаками капитальные затраты уменьшаются, но возрастают операционные, в том числе на хороший и стабильный Интернет. Плюс повышаются риски: РКН или кто-то другой заблокирует доступ, а это простой бизнеса и потеря денег. Гугл работает за баксы, курс валюты может возрасти и тогда операционные расходы будут выше. И это ещё не всё, существует много нюансов и их стоит рассматривать со специалистом, считать деньги, риски, прежде чем переехать в облака.
Это для новой компании будет выгодней сразу в облаках начать жить, а стареньким может и нет.

Альтернатива контроллеру домена Windows AD »
гуглите SAMBA Domain Controller. но это заменяет лишь 10 %, если не меньше, от функционала Microsoft Domain. Хотя, вам для разграничения прав должно хватить.

Самый простой выход - купить NAS на два диска. Настроить там список пользователей такой-же как на рабочих станциях. Положить туда все документы, базы 1С, разграничить доступ пользователям.
Главное, чтобы имена пользователей на рабочих станциях были разные, то есть, бухгалтер сидит под учётной записью "Бухгалтер", операционист под "Операционист". Всем пользователям раздать новые пароли, которые будут такими-же как и на доступ к NAS, отключить автовход на компьютерах. Объяснить зачем это нужно всем пользователям и руководству, получить одобрение последнего.
Для отдельного бекапа базы 1С и другой нужной информации можно купить внешний usb-диск и средствами NAS настроить бекап туда.
Вариант чуть дороже - NAS на четыре диска, сделать два зеркала, первое для оперативных данных, второе для бекапов, можно даже бекап рабочих станций приделать.
Вариант чуть дешевле, но требует опыта и знаний - купить самосборный компьютер с четырьмя дисками (или брендовый сервер типа HP MicroServer), установить FreeNAS или аналог и настроить аналогично предыдущему пункту.
Вариант похожий на предыдущий, но нужно ещё чуть больше знаний, но вместо FreeNAS ставится Zentyal или аналог, на нём поднимается SAMBA (аналог AD) для централизованной авторизации и аутентификации, там-же создаётся файловое хранилище. Все рабочие станции вводятся в этот домен, при условии, что используется Windows Professional любой версии.
Вариант для хорошего объёма знаний и опыта - поднять Линукс ручками, там настроить Самбу, файловую помойку, если 1С версии 8.1 или выше, то возможно поднять серверный вариант 1С с блекджеком sql базой и тонким клиентом. Либо вариант с терминальным доступом. »

Здравствуйте!

Спасибо за развернутый ответ

Мне ближе всего первый вариант. Хотя вчера я купил HP Microserver под NAS. Посмотрел обзоры нескольких систем, в том числе FreeNAS и задумался - стоит ли. Во первых, я очень неуверенно себя чувствую с linux. Если он навернется я даже близко не представляю что с ним сделать. Второй момент который смутил - по умолчанию нельзя гибко настроить права доступа для каждого пользователя, это нужно делать через командную строку.

Скажите, по первому варианту, я правильно понимаю что на сервер устанавливается любая ос, например Windows 7. В ней создаются учетные записи, например "Операционист" и "Бухгалтер", задаются пароли для этих учетных записей. На жестком диске сервера создаются две папки "Операционист" и "Бухгалтер", в правах доступа на чтения и запись к которым устанавливается соответствующий пользователь.
Далее, на компьютере Бухгалтера создается идентичная запись пользователя, такая же как на сервере. Тоже самое на компьютере Операциониста.
Теперь, когда они локально будут входит в свои компьютеры под своими учетными записями и паролями, то эти учетные данные будут автоматически использоваться при обращении к стеевым папкам на сервере, не нужно будет вводить данные повторно?

f0kker, у FreeNAS есть веб-морда через которую можно его настраивать, в том числе создавать учётки и выдавать им права. Если что-то случается, то всегда есть форумы, так-же как и с Виндой, на которых тебе помогут.
Скажите, по первому варианту, я правильно понимаю что на сервер устанавливается любая ос, например Windows 7. В ней создаются учетные записи, например "Операционист" и "Бухгалтер", задаются пароли для этих учетных записей. На жестком диске сервера создаются две папки "Операционист" и "Бухгалтер", в правах доступа на чтения и запись к которым устанавливается соответствующий пользователь. »
Да. Только у всех Windows за исключением серверных версий есть ограничение на количество подключений к ней. Я сейчас точно не помню, но вроде для семерки было 20. Это значит, что любое 21 соединение (обращение к этому компьютеру) будет поставлено в очередь, что может существенно снизить возможность работы людей - человек не сможет открыть файл и прочее.

paranoya, еще раз спасибо за ответ! по поводу Windows 7. У нас не более 10 компов, должно хватить

По поводу FreeNAS, вот обзор, который я прочитал:
https://alexmdv.ru/sozdaem-setevoe-xranilishhe-na-osnove-freenas

Там есть фраза:
"Однако, есть и ложка дегтя. Так же как и в NAS4Free мы не можем через web-интерфейс задать разрешения на каждую сетевую папку отдельно. Можем только выбрать гостевой доступ или нет. Если все было сделано с настройками по умолчанию (как у нас), то доступа на запись в сетевые папки у вас не будет. Получается, что так или иначе нужно уметь работать в консоли, чтобы гибко назначить права на каждую папку."

это так?

f0kker, работайте с тем, что знаете. Будет время - изучите и командную строку. Если вам всего лишь гибко разграничить доступ к папкам, то Windows 7 будет достаточно. Там даже Access-based Enumeration можно прикрутить.

Так и поступлю, поставлю просто Win7.
спасибо еще раз!

это заменяет лишь 10 %, если не меньше, от функционала Microsoft Domain »
Ты его устанавливал? Сразу видно, что нет! Там как минимум 90% от функционала.
У нас маленькая компания, всего 8 компьютеров »
Не нужен вам домен, установи 7-ку Проф., заведи на ней учетки пользователей и разграничь доступ с помощью прав NTFS.

по поводу Windows 7. У нас не более 10 компов, должно хватить »
Будем надеяться. Ещё стоит не забыть Винду купить. :)

заведи на ней учетки пользователей и разграничь доступ с помощью прав NTFS »
плохая практика - лучше по максиму разграничивать доступ на уровне сетевого ресурса и не трогать права ФС
1) всё равно это неплохо бы сделать
2) доступность файла просто и однозначно определяется, без рекурсивного анализа разрешений всех вышестоящих каталогов
3) просто масштабируется и обслуживается - легко настроить по отделам/проектам разную глубину и регулярнось архивирования/бэкапирования; перераспределять между быстрыми и медленными накопителями, да и вынести на отдельный сервер.

плохая практика - лучше по максиму разграничивать доступ на уровне сетевого ресурса и не трогать права ФС »
Я так понимаю, что ты предлагаешь создать кучу расшаренных папок для каждого отдела, группы, и выдавать права на эти ресурсы нужным людям и группам?
Но, права всё равно будет определяться в глубину по тому же рекурсивному анализу.
Простоты масштабирования и обслуживания я не увидел - всё же самое, что и настройка прав используя разрешения ФС, потому как всё это будет делаться на Win7. Распределение между быстрыми и медленными накопителями будет такое-же.
Или я не так понял твоё сообщение?

ты предлагаешь создать кучу расшаренных папок для каждого отдела, группы, и выдавать права на эти ресурсы нужным людям и группам? »
Выдавать отдельным пользователям - это уже другая плохая практика (независимо от того, сетевая папка или каталог на ФС) - если не получается привязать права к ролям/отделам, стоит сделать группы по ресурсам: acl_invoice_readonly, acl_invoice_readwrite и т.п.

права всё равно будет определяться в глубину по тому же рекурсивному анализу »
нет - только "точкой входа" - именем сетевого ресурса и его разрешением

Простоты масштабирования и обслуживания я не увидел »
Это как в программировании: чисто теоретически можно очень аккуратно писать код на одних только глобальных переменных и всё будет работать, возможно будет дописывать и исправлять. Только практика показывает, что области видимости переменных, приватные и общедоступные члены класса заметно ограждают от возможных ошибок.

Распределение между быстрыми и медленными накопителями будет такое-же »
да? и что ты будешь делать если для файловой БД бухгалтеров и макетов дизайнеров купят SSD?

потому как всё это будет делаться на Win7 »
с приёмом на работу 21го пользователя появится Windows Servers, AD, DFS и туда практически прозрачно смонтируются шары существующего Win 7 и их можно будет незаметно для пользователей перераспределять по серверам, NAS'ам. А в твоём случае каждый апгрейд - это всё перелопатить и перенастроить.

Busla,
Если на сетевой ресурс дать группе права на запись, а в правах ФС будет стоять чтение, то пользователь в этой группе получит права чтения. Если на сетевой ресурс дать группе права на чтение, а в ФС на запись, то пользователь получит права на чтение. То есть, права складываются, а значит конечные права всегда будут проходит всю цепочку прав, начиная с сетевого ресурса и прав ФС корневой папки.
Сетевой ресурс имеет только одну точку входа и когда структура файлов/папок/данных/информации проста, то разницы нет как раздавать права, но как только бизнес-процессы усложняются, то приходится делать отдельные права в ФС.
Твой-же подход, как я понимаю, состит в том, чтобы вынести эти данные на верхний уровень и запилить ещё один сетевой ресурс, что влечёт за собой увеличение количества подключаемых букв сетевых дисков или количества ярлыков, что не всегда хорошо сказывается на удобстве работы людей. И это только увеличивает работу айтишника и может запутать людей, когда у одного пять подключенных сетевых ресурсов, а у другого три, и буквы совпадают, а данные нет (упрощённый пример: на букве S: - у всех документы своего отдела, на H: у одних проект №1, у других проект №2)
и что ты будешь делать если для файловой БД бухгалтеров и макетов дизайнеров купят SSD? »
Если изначально были только hdd, то при установке SSD под БД, данные всё равно придётся перекидывать на SSD и перемещать точку подключения сетевого ресурса, вне зависимости от того, как эти права назначены были ранее - через сетевой ресурс или через ФС.
А в твоём случае каждый апгрейд - это всё перелопатить и перенастроить. »
С какого перепугу в моём варианте что-то надо будет менять?
Сетевой ресурс - это виртуальная точка, физически это может располагаться на разных дисках, это может быть и в разных корневых каталогах на одном диске или в одном каталоге на одном диске. Ничего не изменится от того, задаются права исключительно через сетевые ресурсы или через ФС, бекапы делаются одинаково, подключение к DFS папки будет таким-же, потому как сетевой ресурс есть в обоих случаях, а какие там права и как одни заданы не влияют на подключение.

Если на сетевой ресурс дать группе права на запись, а в правах ФС будет стоять чтение, то пользователь в этой группе получит права чтения. Если на сетевой ресурс дать группе права на чтение, а в ФС на запись, то пользователь получит права на чтение. То есть, права складываются, а значит конечные права всегда будут проходит всю цепочку прав, начиная с сетевого ресурса и прав ФС корневой папки. »
в вашем случае доступ на уровне сети максимально широкий, и всем заведуют только права на уровне ФС, которые существуют сами по себе
в моём случае на уровне сети права максимально избирательны, а на уровене ФС элементарно проверить/исправить конфликт прав

как только бизнес-процессы усложняются, то приходится делать отдельные права в ФС »
можно пример?
Это обычно происходит, когда из "файл-помойки" пытаются сделать систему документооборота

что влечёт за собой увеличение количества подключаемых букв сетевых дисков или количества ярлыков, что не всегда хорошо сказывается на удобстве работы людей »
это какой-то привет из времён DOS - буквы дисков не нужны, вот это уж точно не добавляет удобства
Пользователю нужна папка родного отдела и точка входа в иерархию, в простой сети - сам сервер, в более взрослой - DFS
ярлыки папок с которыми пользователь работает, он сам себе донасосздаст в нужном количестве

при установке SSD под БД, данные всё равно придётся перекидывать на SSD и перемещать точку подключения сетевого ресурса »
данные в любом случае придётся перемещать - никто не спорит
но в моём сетевой ресурс останется неизменным,
в вашем - или добавлять сетевой ресурс (что я просто предлагал сделать заблаговременно), либо шаманить с монтированием разделов в каталоги NTFS, симлинками и тому подобным

Сетевой ресурс - это виртуальная точка »
это на сервере она - "виртаульная точка": сегодня - одна, завтра - другая
а на стороне клиента, её всё ПО запомнило в явном виде