Доступ к папкам на файл-сервере
 

Доброго времени суток. Хотелось бы услышать совет от специалистов по одной проблеме, хотя это даже не то что бы проблема..в общем излагаю суть.

Что было: файл-сервер под управлением Linux. Структура была такова:пользователь заходит на него по имени (\\fileserver) или по адресу (\\192.168.xx.x) после чего видит там кучу папок разных отделов (Бухгалтерия, Администрация, Оптовые продажи и т.д.) и свою личную папку (i.ivanov). При входе на сервер спрашивается имя пользователя и пароль (имя пользователя совпадает с именем личной папки). Все папки отделов доступны для всех, личная же папка видна только тому пользователю, который зашел под этим именем-паролем.

Что стало: новый файл-сервер, но уже под Windows Server 2008R2. Домен, файл-сервер тоже в домене. Пользователи все соответственно тоже входят в домен. Пользователь логинится на своем компьютере, так же заходит на файл-сервер, имя-пароль уже не спрашивается, подхватывается автоматом данные логина.

Пользователи не будут видеть все папки на сервере, только папки своего отдела. Это в общем то решается мне кажется просто (расшариваются все папки отделов на сервере, на КД создаются группы и политики, каждой группе дается доступ на ту или иную папку, в группу заносятся нужные пользователи и все норм.)

Теперь непосредственно проблема. А вот как быть с папками пользователей? Если их тоже расшарить, то они будут видны всем, хоть и зайти в них сможет только владелец. Пока я вижу решением только создавать GPO, которая подмапит на сетевой диск папку пользователя..ну и может создать ярлык на него на рабочем столе.

И непосредственно вопрос: а можно ли как нибудь реализовать структуру как было раньше, чтобы пользователь заходил на сервер и видел только то, что ему положено видеть?

Server Manager -> Roles -> File Services -> Share and Storage Management -> свойства шары -> Advanced -> Enable Access-Based Enumeration.
Делать отдельные шаринги — решение заведомо неправильное. Одной шары хватает на всё.

WindowsNT вот с ABE я уже пробовал..но что то не получилось у меня, хотя может я неверно делал. Я так понимаю, нужно на файл-сервере, допустим на каком то диске, напрмер D, сделать папку (допустим ALL), поместить в нее все папки отделов и папки пользователей, и уже на эту папку применять ABE? Но тогда ведь нужно будет указывать путь \\fileserver\ALL ?

ABE применяется на шару, не на папку.
Путь указывать \\FileServer\Share, а как ещё.

Triarch, Включите АВЕ, как советует WindowsNT. И "шара" должна быть одна, незачем плодить внутри еще дополнительные. Права NTFS на папки отделов и личные папки сотрудников выдавайте согласно членства в доменной группе безопасности (для отделов) и на пользователя (для личных папок).

Благодарю всех за помощь, проверить все на практике смогу в понедельник) С АВЕ, как я говорил, уже пробовал что то делать, кажется даже получалось, но вроде бы не совсем то, что нужно. За совет про одну шару спасибо, чтото самому в голову не пришло. Думаю что если сделать путь \\fileserver\share то все должно получиться. Но вообще изначально хотелось чтобы можно было ходить по \\fileserver, но похоже на windows это не получится реализовать(

Triarch, подсоедините пользователям сетевой диск по нужному адресу (\\fileserver\share), так будет проще и удобнее. В итоге для пользователей этот сетевой диск Z: (к примеру) будет единственным, никаких заходов по имени или по айпи не нужно.
Еще есть вариант поднять на вашем файловом сервере DFS, и ходить по адресу \\domain.local\dfs\share (domain.local — имя вашего домена, dfs — корень DFS, а share — уже папка на вашем файловом сервере). Отчего лучше перевести сразу на DFS, даже при наличии всего лишь одного сервера — вы будете использовать единый ресурс для доступа к сетевым папкам. То есть если сетевой диск монтировался на \\fileserver\share, а потом изменилось имя сервера — начнутся звонки пользователей "Не могу зайти на диск", "Раньше было так-то, а теперь вот так, отчего?".
В случае DFS у вас сетевой диск будет монтироваться на неизменное имя домена и имя корня DFS. В случае добавления нового сервера можно будет среплицировать нужные папки, выключить/переименовать старый сервер, а пользователи ничего не заметят.

Проверил на тестовом сервере все вышеизложенное. Спасибо всем кто откликнулся за ответы, все получилось как нужно. Пользователи заходят под своим логином-паролем и видят только то что им положено) Жаль конечно что не вышло так как хотелось изначально..но думаю что решу это просто, с помощь ГПО создам всем ярлыки на столе ведущие куда нужно или примонтирую сетевой диск.

Пожалуй, удобнее всего подключить назначенное группе DFS-пространство через пару атрибутов homeDrive + homeDirectory пользовательской "учётки". В GUI (оснастка "Active Directory - пользователи и компьютеры") это здесь: свойства - вкладка "Профиль" - область "Домашняя папка" - позиция "Подключить".

Тоже вариант, но в этом случае такую операцию нужно проводить над каждой пользовательской учеткой. Я же создал объект ГПО, который монтирует сетевой диск с папкой пользователя (через переменную %username%) и создает на него ярлык на рабочем столе. Потом в фильтре безопасности этой ГПО указываю группу и в нее заношу пользователей. Пользователь логинится на ком и у него сразу же монтируется диск и создается ярлык.

Задачка решается в секунды простеньким сценарием, который, кстати сказать, можно включить и в состав того или иного GPO.
Впрочем, дело вкуса.