Архитектурно правильная файлопомойка
 

В общем, хотят у меня в организации файлопомойку с раздельными правами в каждой папке. При чем домена нет и походу не предвидится (банально нет компьютера который бы играл роль КД, а делать из уже имеющегося "сервера" КД - идея тухлая, т.к. его бывает нужно перезагружать посреди рабочего дня). И доступ к этой файлопомойке должен быть у любых пк что называется изкоробки.

В наличии в кандидаты на роль файлопомойки имеется NAS, один комп под win server 2008R2 (места там не особо много, может не хватить) и один под вин7 который в данный момент и играет роль файлопомойки.

Пока мой непосредственный начальник в отпуске, такие таски идут от человека вышестоящего но тем не менее не обремененного сколь-нибудь пониманием что без домена эта задача решается исключительно костылями (либо я сам чего-то не знаю?).

Какие есть варианты, чтобы архитектурно правильно всё реализовать?
Конечно простейший (но долгий) вариант - ходить пешком к каждому клиентскому компу, создавать там пользователя например user1, затем на сервере создать группу otdel1, включить юзера в группу а потом назначить папке права для этой группы, остальным deny. Но это слишком долго и муторно (домена то нет) и это костыль, который городить не хотелось бы.
Можно поднять фтп, но я этого никогда раньше не делал и поэтому не знаю подводных камней.
Может еще какие-нибудь варианты, о которых я не знаю?

Я сделал так. Любым способом создается дисковое пространство на условном "сервере" (servername), где будет файлопомойка. Это может быть как NAS, подключенный к серверу, так и массив HDD, подключенных туда же. Я предпочел в итоге второй вариант, поскольку мощность сервера позволяла, а NAS этот лишняя нагрузка на сеть и вообще лишнее промежуточное звено, потому что всё равно оно работало через сервер, будучи подключено к нему через iSCSI, а не напрямую к клиентам (возможно это особенность только нашей железки). Это уж там сами решайте.

На том же сервере создается нужное количество УЗ (username), создается и расшаривается папка sharedfoldername, играющая роль общей сетевой шары, в ней нужным подпапкам выставляются нужные права доступа для созданных УЗ через права доступа NTFS. Далее на каждом клиентском компьютере выполняется простая процедура - мой компьютер - подключить сетевой диск - указываете путь \\servername\sharedfoldername - ставите галку "использовать другие учетные данные" - в качестве логина вводите \\servername\username, пароль который задавали при создании учетки, т.е. каждый клиент будет работать с этой папкой от имени УЗ, созданной на сервере и имеющей нужные вам права доступа. Естественно необходимо так настроить права, чтобы всякие группы типа "все" или "гости" не имели доступа к расшаренной папке, ни на запись, ни на чтение.
И всё.

пользователи не имеют индивидуальных учетных записей? Ip адреса не привязаны к mac-адресу?

А потом очередной бухгалтер запускает из почты "Налоговая декларация.zip.exe" и всё содержимое сетевого диска (туда где есть права записи) шифруется локером.
Антивирусы далеко не всегда ловят эту дрянь, если она более менее свежая, она же в свою очередь шифрует всё содержимое компьютера И сетевые диски (теневые копии кстати тоже).
Это удобно, да, но рисковано.
Сам видел как аваст, нод и авг такое пропускают. Можно было бы сказать "тю так они хлам, вот поставь %оченьклассныйантивирус%, он не пропустит" - но я склоняюсь к мнению что антивирусы все одинаковые (что платные что бесплатные), что один словил то другой пропустит, а потом наоборот.


freese, на оба вопроса ответ нет.

Charg, ну значит только долгие варианты. Или ходить создавать учетки или на DHCP сервере всем привязать ip, ну и доступ по какому то из этих вариантов

freese, и как я по айпи отфильтрую чтоб человек имел доступ к одной папке полный, к другой только чтение а к третьей чтение\запись?

если на windows 7 ну без кастылей конечно ни как, cygwin + samba (тут вам и права и доступ по IP) :) ну или какой-нибудь софт. Ну а если NAS то нужно читать инструкцию

Чушь. Любой более-менее адекватный админ сообразит, что надо делать бекап важной информации из общей помойки туда, где нет у бухгалтера прав чтения/записи. Профит. У нас этим занимается бесплатный Cobian

Для каких файлов нужно хранилище?

Может оказаться, что Вы не знаете вот такой подводный камень: народ в отделе будет продолжать терять и портить нужные файлы и скоро "сверху" придёт указявка исправить ситуацию.

Я обязательно исключаю любую возможность удалять/изменять данные, а иначе ничего не делаю. Данные можно только добавлять. Удалять или менять нельзя. Благодаря этому принципу хранилище уже страшно подумать сколько лет бесперебойно работает безо всякого "обслуживания". В крайнем случае бухи перезагружают комп и больше ничего не надо знать или уметь.

Charg, Вы правы, без домена городить огород с правами доступа себе дороже. На роль контроллера домена, если не спешить впереди паровоза с Server 2012/2016, а использовать тот же 2008 R2 — в принципе, сгодится любая офисная машинка повыше среднего уровня, даже с i3+h77, 4-8 Gb памяти, и даже без RAID'а :). Надёжности, конечно, никакой не будет, но, на первых порах, поиграться и оценить всю прелесть доменной структуры и иерархической модели хранения хватит за глаза. Забудете как страшный сон все капризы и несуразности модели Рабочих групп. Всякие же NAS'ы без домена хороши разве что для регулярного складирования больших объёмов информации, не более.

Я за ftp, поднять на Linux, создать пользователей, раздать пермишенс и юзать по полной.

+100500 и доктор вэб и касперский пропускали шифровальщики
Для вразумления пользователей и прикрытия собственной попы разработали инструкцию по работе с почтой и антивирусным ПО, рекомендую и Вам то же самое сделать.

Т.е. если у Вас есть документ в формате эксель, в котором еженедельно надо вносить правки 3-4 сотрудникам разных отделов, Вы всегда создаете его с нуля?

Charg, не забывайте лимитировать место для пользователей. Помню у нас один юзер залил на сервер пару-тройку дистрибутивов автокада. На всякий пожарный случай.

UPD. Я бы еще сделал папку общая_мусорка (для всех и вся) и стирал ее содержимое по мере необходимости.

Linux + Samba4, вот и весь домен, настраивается за 10 мин.

Цитата topotun32:
Нет.
Сотрудник не может менять файлы в хранилище, но может добавлять файлы в хранилище. Получив из хранилища копию файла, сотрудник изменяет её содержание и сохраняет как новый файл в хранилище. Таким образом никакой сотрудник не может загнать себя или коллег в безвыходную ситуацию, когда файл с данными утрачен. Он может создать только себе гемор, но только в отношении очень небольшого объема данных, которые он сам ввёл и сам потерял. Это дисциплинирует. В отличие от ситуации, когда один сотрудник (и очень часть это неизвестно кто) может грохнуть чужие файлы, с чем бухгалтера и манагеры совершенно ничего не могут сделать. Это их "деморализует".

Что Вас смущает?
Отображается только последняя версия файла, остальные - по требованию.

UPD.
Имеете ввиду, что одна версия будет открыта несколькими работниками, каждый из которых внесет свои изменения и сохранит в хранилище свой вариант?

В таком случае, может быть, эксель - не лучший вариант?

Если уметь то конечно. Я - не умею.

А чем плох вариант? Я склонялся как раз к нему.

Что не умеешь? Копировать-вставлять

zai,
Ну допустим я бездумно скопипастил все эти команды и получил работающую систему. Обслуживать её в случае возникновения проблем как? Я то этого делать не умею. Каждый раз задавать вопрос на форуме и ждать ответа, пока всё простаивает? Не лучшая идея.

Та и в любом случае,

Собственно, и чо? Домен не развалится и компьютеры пользователей не самоликвидируются, если сервер взять и перезагрузить днём.

Я всё еще не понимаю разницу, либо открывать на рабочем столе ярлычок который ссылается на \\server\папка либо на ftp:\\server\папка?

А дальше-то что?

Ну, попробуйте, например, напрямую с ftp-сервера поредактировать что-нибудь — какой-нибудь документ, або рабочую книгу, или .psd. Разумеется, и Word, и Excel научились работать с этим протоколом (вкупе с http://) ещё с 97-й версии, но открывать документы придётся напрямую из приложения.