Альтернатива контроллеру домена Windows AD
Здравствуйте
У нас маленькая компания, всего 8 компьютеров, сервера нет, все работают в рамках одной рабочей группы (Домашняя сеть Windows 7) все компьютеры подключаются к роутеру МГТС по Wi-Fi. В чем проблема? Нужно разграничить доступ, а рабочая группа не предоставляет такой возможности. - Нужно чтобы база данных бухгалтера хранилась на ее компьютере и бэкапилась в на сервер (которого сейчас нет) - Чтобы данные на компьютере операциониста лежали не на ее компьютере, а на сервере и доступ к ним имел ограниченный круг пользователей - Планируемая База 1С чтобы лежала на сервере, чтобы любой пользователь мог залогиниться в нее через тонкий клиент 1С, но тобы никто эту базу не мог удалить/скопировать стандартными средствами Windows Вариант я вижу только пока один - 1) купить сервер начального уровня, установить на нем Windows Server 2016 2) поднять на нем контроллер домена, AD, подключить все остальные компьюетеры по LAN к нему. Но для нашей маленькой компании это слишком круто и неразумно, мне кажется. Поднимать контроллер домена, миграция учеток пользователей... (а у бухгалтера куча специфических программ, банк-клиент и тд, стопудов что-нить навернется в процессе переноса). Может быть есть более мягкие варианты (стронний софт, например)? Интересно ваше мнение. Заранее спасибо! |
Цитата:
Цитата:
Цитата:
Кому "нужно"? Почитайте что такое тонкий клиент. AD и ваши задачи не особо взаимосвязаны. |
Если смотреть в сторону Windows, то у МС есть вариант Windows 2016 Essentials, который не требует закупки лицензий для устройств и пользователей (ограничения на 25 юзеров и 50 устройств) На нём можно поднять всё, что нужно, кроме терминального доступа, но с тонким клиентом 1С. Стоимость такой версии порядка 26 тыс. рублей. |
Параноя ты конечно все правильно говоришь, но блин люди у нас не 10 а 18 год, вы о облачных решениях не думали?)
Тот же G Suite права можно раздать как нужно пользователям, безлимитный ящик на все, ну доменная почта, интеграция со многими CRM, если нужно, также работа с google пакетом( аля word, exel) соответственно от нелегального офиса можно избавиться( ну если есть) не дорого 10$ на пользователя. есть и дешевле 5 там диск меньше В общем если есть нормальный инет рекомендую и безопасней и проще. Конечно при условии что база 1с не sql. если NAS то QNAP рекомендую |
Цитата:
К тому же не забываем доблестного богатыря стоящего на страже Родины - Роскомнадзор, который буквально вчера заблокировал некоторые подсети Гугла. :) |
ну файловая 1с может на пк работать и бэкапиться в облако, у меня компания одна полностью на инфраструктуре гугла работает, 1с в облаке через https пользователи заходят, там же настроен бекап на гугл диск. Да ркн начал блокировать но все работает норм. зато вы не тратитесь на серверную инфраструктуру( железо и ПО) и ее содержание.
Хотим переходить на хромбуки в ближайшем будущем, а 1с кстати тот еще костыль переходим сейчас на сервис эльба.контур( у нас все в белую), если компания не большая там проще, ну сейчас уже достаточное кол-во бух.сервисов на рынке, которые автоматизируют работу бухгалтерии. Вот у нас уже -1 стал. |
Цитата:
Это для новой компании будет выгодней сразу в облаках начать жить, а стареньким может и нет. |
Цитата:
|
Цитата:
Спасибо за развернутый ответ Мне ближе всего первый вариант. Хотя вчера я купил HP Microserver под NAS. Посмотрел обзоры нескольких систем, в том числе FreeNAS и задумался - стоит ли. Во первых, я очень неуверенно себя чувствую с linux. Если он навернется я даже близко не представляю что с ним сделать. Второй момент который смутил - по умолчанию нельзя гибко настроить права доступа для каждого пользователя, это нужно делать через командную строку. Скажите, по первому варианту, я правильно понимаю что на сервер устанавливается любая ос, например Windows 7. В ней создаются учетные записи, например "Операционист" и "Бухгалтер", задаются пароли для этих учетных записей. На жестком диске сервера создаются две папки "Операционист" и "Бухгалтер", в правах доступа на чтения и запись к которым устанавливается соответствующий пользователь. Далее, на компьютере Бухгалтера создается идентичная запись пользователя, такая же как на сервере. Тоже самое на компьютере Операциониста. Теперь, когда они локально будут входит в свои компьютеры под своими учетными записями и паролями, то эти учетные данные будут автоматически использоваться при обращении к стеевым папкам на сервере, не нужно будет вводить данные повторно? |
f0kker, у FreeNAS есть веб-морда через которую можно его настраивать, в том числе создавать учётки и выдавать им права. Если что-то случается, то всегда есть форумы, так-же как и с Виндой, на которых тебе помогут.
Цитата:
|
paranoya, еще раз спасибо за ответ! по поводу Windows 7. У нас не более 10 компов, должно хватить
По поводу FreeNAS, вот обзор, который я прочитал: https://alexmdv.ru/sozdaem-setevoe-x...osnove-freenas Там есть фраза: "Однако, есть и ложка дегтя. Так же как и в NAS4Free мы не можем через web-интерфейс задать разрешения на каждую сетевую папку отдельно. Можем только выбрать гостевой доступ или нет. Если все было сделано с настройками по умолчанию (как у нас), то доступа на запись в сетевые папки у вас не будет. Получается, что так или иначе нужно уметь работать в консоли, чтобы гибко назначить права на каждую папку." это так? |
f0kker, работайте с тем, что знаете. Будет время - изучите и командную строку. Если вам всего лишь гибко разграничить доступ к папкам, то Windows 7 будет достаточно. Там даже Access-based Enumeration можно прикрутить.
|
Так и поступлю, поставлю просто Win7.
спасибо еще раз! |
Цитата:
Цитата:
|
Цитата:
|
Цитата:
1) всё равно это неплохо бы сделать 2) доступность файла просто и однозначно определяется, без рекурсивного анализа разрешений всех вышестоящих каталогов 3) просто масштабируется и обслуживается - легко настроить по отделам/проектам разную глубину и регулярнось архивирования/бэкапирования; перераспределять между быстрыми и медленными накопителями, да и вынести на отдельный сервер. |
Цитата:
Но, права всё равно будет определяться в глубину по тому же рекурсивному анализу. Простоты масштабирования и обслуживания я не увидел - всё же самое, что и настройка прав используя разрешения ФС, потому как всё это будет делаться на Win7. Распределение между быстрыми и медленными накопителями будет такое-же. Или я не так понял твоё сообщение? |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
Busla,
Если на сетевой ресурс дать группе права на запись, а в правах ФС будет стоять чтение, то пользователь в этой группе получит права чтения. Если на сетевой ресурс дать группе права на чтение, а в ФС на запись, то пользователь получит права на чтение. То есть, права складываются, а значит конечные права всегда будут проходит всю цепочку прав, начиная с сетевого ресурса и прав ФС корневой папки. Сетевой ресурс имеет только одну точку входа и когда структура файлов/папок/данных/информации проста, то разницы нет как раздавать права, но как только бизнес-процессы усложняются, то приходится делать отдельные права в ФС. Твой-же подход, как я понимаю, состит в том, чтобы вынести эти данные на верхний уровень и запилить ещё один сетевой ресурс, что влечёт за собой увеличение количества подключаемых букв сетевых дисков или количества ярлыков, что не всегда хорошо сказывается на удобстве работы людей. И это только увеличивает работу айтишника и может запутать людей, когда у одного пять подключенных сетевых ресурсов, а у другого три, и буквы совпадают, а данные нет (упрощённый пример: на букве S: - у всех документы своего отдела, на H: у одних проект №1, у других проект №2) Цитата:
Цитата:
Сетевой ресурс - это виртуальная точка, физически это может располагаться на разных дисках, это может быть и в разных корневых каталогах на одном диске или в одном каталоге на одном диске. Ничего не изменится от того, задаются права исключительно через сетевые ресурсы или через ФС, бекапы делаются одинаково, подключение к DFS папки будет таким-же, потому как сетевой ресурс есть в обоих случаях, а какие там права и как одни заданы не влияют на подключение. |
Цитата:
в моём случае на уровне сети права максимально избирательны, а на уровене ФС элементарно проверить/исправить конфликт прав Цитата:
Это обычно происходит, когда из "файл-помойки" пытаются сделать систему документооборота Цитата:
Пользователю нужна папка родного отдела и точка входа в иерархию, в простой сети - сам сервер, в более взрослой - DFS ярлыки папок с которыми пользователь работает, он сам себе донасосздаст в нужном количестве Цитата:
но в моём сетевой ресурс останется неизменным, в вашем - или добавлять сетевой ресурс (что я просто предлагал сделать заблаговременно), либо шаманить с монтированием разделов в каталоги NTFS, симлинками и тому подобным Цитата:
а на стороне клиента, её всё ПО запомнило в явном виде |
Цитата:
Сразу видно - ты ни разу 2016 не устанавливал )) а если и устанавливал, то использовал его на 10 % :biggrin: |
Цитата:
|
mnbv, на на счёт LAPS ? Bitlocker Recovery? и т.д. и т.п. А так конечно, домен это учётки и групповая политика )))
|
Чтобы прекратить споры про то, какой функционал AD есть в SAMBA, то вот статья на хабре про основные ограничения.
LAPS, равно как и Bitlocker, вполне могут жить и без AD. Поэтому SAMBA подходит для простой центральной авторизации и аутентификации без излишеств с одним сервером в роли КД. Как только появляется необходимость завести второй КД или ещё что-то, что Вин AD умеет, то нужно делать выбор в сторону напильника или покупки Windows Server. |
Цитата:
Цитата:
Цитата:
|
Цитата:
Bitlocker не часть AD, он использует AD. Это всё равно что сказать, Exchange - часть AD. Но это не часть AD, вот поддомены, репликация SYSVOL, сайты, вторые и третьи КД - это AD. Даже групповые политики можно считать не частью AD, так как они могут и без домена эксплуатироваться. Да, на Самбу это всё не прикрутить и при выборе Самбы нужно четко знать все её косяки и иметь понятие, что и как будет сделано в фирме. |
Цитата:
Цитата:
Цитата:
Цитата:
И я привёл только два примера, наиболее актуальные в настоящее время. остальные Вы правильно привели по ссылке. |
Цитата:
Возьмём простой пример: Фирма в которой есть бухгалтерия, отдел продаж и руководство. Пусть всё будет лежать на одном диске/разделе (рейд не рейд, не имеет значения). Структура каталогов в твоём и моём вариантах может слега отличаться. Ты можешь папку каждого отдела и БД положить в корень раздела. У меня в корне раздела будет два каталога: Документы и БД. В твоём варианте будет так: три сетевых ресурса, по одному на каждый отдел для документов и один для БД 1С. В моём случае это будет два сетевых ресурса: документы и БД. Двумя управлять проще. Идём дальше - буквы для сетевых ресурсов. Буква хороша тем, что у пользователя есть быстрый доступ к информации. Ярлык на рабочем столе подразумевает, что сначала надо зайти в папку через ярлык и там открыть документы. Буква позволяет сначала запустить нужную программу и в ней открыть документ, многим людям так удобнее работать. Ярлык же может не сработать - не все программы такие умные как MS Office. :) Идём дальше, у тебя по одному ярлыку на рабочем столе у каждого пользователя для доступа к документам своего отдела. У меня одна примапленная буква, пусть будет Z:, в которой видны папки каждого отдела, но пользователи могут входить только в папку своего отдела. На фирме появляется некий проект и к этому проекту на запись должны иметь доступ один руководитель и один человек из бухгалтерии и несколько продажников. Твой вариант, если я правильно понимаю, предлагает создать ещё один сетевой ресурс со своей папкой, дать к нему доступ руководителю, бухгалтеру и сотрудникам отдела продаж. В твоём варианте движения админа: создать папку, дать права ФС, создать сетевой ресурс, дать права на него, вывести ярлык каждому нужному пользователю. В моём варианте: создать папку в корневой папке "Документы", дать права. Два движения против пяти. Вот и думай какой вариант менее затратный по администрированию и поддержке и все эти симлинки не нужны. |
Цитата:
Цитата:
я как раз описывал ситуацию, когда данные захочется поделить на горячие и холодные: что-то положить на SSD, что-то на медленные большие диски Цитата:
люди работают так, как вы их заставляете - неудобно и неэфктивно есть же системные папки, библиотеки, а вы до сих под Z: монтируете Цитата:
Дело не в количестве движений - качественно проделанная работа всегда потребует больше движений, чем "работает и ладно". |
Цитата:
Цитата:
Про "системные папки" слышу впервые, где можно об этом почитать? |
paranoya, Busla, коллеги, мне кажется, вы отклоняетесь от темы :blush2:
|
Цитата:
Цитата:
antiexpert1@twitter, оки - закругляемся |
Время: 14:17. |
Время: 14:17.
© OSzone.net 2001-