Рабочая группа и домен: индивидуальное разрешение на доступ
 

Есть рабочая группа из нескольких машин, не входящих в домен. На контроллере домена крутится общий сетевой диск, но с папками индивидуальными для каждого пользователя - у каждого своя, в чужую не зайдет. На сетевом диске требуется организовать аналогичные папки для членов рабочей группы.
Но как это разрешение добавить? На вкладке безопасность папки могу найти только юзеров домена. Единственный вариант, разрешить доступ всем, тогда юзер рабочей группы может открыть папку, но и остальные, включая доменных тоже. Как разрешить доступ к папке на сетевом диске контроллера домена только члену рабочей группы?

А не подскажете, как на КОНТРОЛЛЕРЕ ДОМЕНА завести ЛОКАЛЬНЫХ пользоваталей? =)))

У автора темы

По теме: выделить в качестве файл-сервера отдельную машину и всё делать на ней.
А контроллер домена пусть занимается своими делами

Второй вариант - забыть про рабочую группу и перетащить всех в домен.
Если надо чтоб было всё культурно и с правильными настройками - всех в отдельный OU, с соответствующими групповыми политиками, и в отдельную security группу типа "workgroup users". Заодно можно выкинуть из группы "Domain users". Если сильно хочется безопасности - на критичные доменные ресурсы дать явный Deny группе "workgroup users".

Про поднимание 2го домена и установку трастов - молчу )

Не подходит, машин лишних нет.
Не подходит, лицензий на всех не хватает.

Странно однако, что на "Все", рабочая группа спокойно проникает везде, а отдельно для каждого юзера настройки нет.

"Все" включает в себя гостей домена. Юзеры проходят с гостевым доступом.

Поподробнее плиз. Каких лицензий не хватает?
Что-то я не слышал про лицензирование количества рабочих станций в AD

В смысле "каких лицензий". Клиентских, вестимо. Или по Вашему можно подключать сколько угодно клиентских машин.

Это другой вопрос. Лицензируются подключения к серверу, вне зависимости от того, являются рабочие станции членами домена или нет.
Поэтому связи между количеством лицензий и переводом рабочих станций из рабочей группы в домен я лично не вижу

Хм... Даже с учетом того, что параллельно ДНС у меня поднят на Фри и именно там у меня индексируется рабочая группа?
Т.е. подключение к сетевому диску домена, даже с машин, не состоящих в его ДНС все равно считается клиентским подключением?

Насколько я знаю, лицензируются клиентские подключения к серверу - все равно откуда они, из домена или нет.
Думаю, более подробные сведения можно поискать здесьКак видим, речь идет о пользователях или устройствах, без указания членства в домене, наличия ДНС-записей и т.д.

Ок, спасибо. Тема мутная, нужно тщательно разобраться с лицензированием сервера.

Привет всем,

А вот почему то у меня это не работает, при обращении к сетевому ресурсу на втором ДК пользователей из рабочей группы, запрашивается логин и пароль, как бы это устранить?

Один раз прописать логин и пароль админа.

В политике безопасности - по умолчанию стоит Deny access to this computer from network = guest
Гостя оттуда убрать, будет работать

Бред какой то:). Все компьютеры в одной рабочей группе, при обращении у одних спрашивает пароль, логин, у других нет

Галочку "запоминание пароля" выставляете?

Нет галочку запоминания паролей не ставил.

Может быть, те, у кого спрашивает - его у себя на машине поменяли? А админу не сказали, что на сервере тоже поменять надо

Ну так верно тогда все. Отметьте галочкой, "восстанавливать при входе в систему", один раз запросит пароль, введите админовский.

HLT, вот, так и я бьюсь с 2003 SBS, (с 2003 EE было всё нормально) о чём писАл тут. Одни юзеры спокойно на шару заходят, других - просит ввести логин/пароль. Причём, логин/пароль юзеров на локальных машинах тождественны данным на сервере.

Вот, здорово! Дать админские права на шару! :read: Ню-Ню...

Это еще почему? Подключается только сетевой диск, именно этот пароль я имею ввиду.

А если у юзеров в control userpasswords2 на вкладке Дополнительно -> кнопка Управление паролями задать аккаунт и пароль для захода на шару?

Сорри, я забыл, что control userpasswords2 под юзером не работает.

Если ввёл данные админской учётки для доступа на шару, считай, что весь компьютер открыт, а не только какой-то там диск.

Для доступа на сетевой диск ввожу только логин и пароль админа. Гость из рабочей группы входит и не может попасть никуда, куда в свойствах безопасности не разрешено попадать гостю. Я что-то не так делаю?

Считай, зашёл под Админом на шару. Уже не гость. :) Зачем так, если можно завести на сервере юзеров с учётками, тождественными учёткам юзеров на локальных машинах? И сервер не спрашивает тогда никаких логинов/паролей вообще.

Если я не гость, почему я могу входить только в те папки, куда разрешено гостям, а в остальные доступ запрещен?
По-моему, мы о разных вещах говорим.

На контроллере домена - учётки "бездоменных" юзеров?.. И как такое сотворить? :unsure:

Отнюдь. Завести их как юзеров домена.

Можно. У меня несколько машин на Home Edition и 98-ой таким образом.

и чего вы тут развели ромашку? :)
Создаешь на котроллере юзеров, потом раздаешь всем логины и пароли. При обращение к серверу у них запрашиваются логи и пароль, после ввода этих данных юзеры будут иметь доступ как доменные юзеры которых ты создал. И все доступы будут вполне нормально обрабатываться.