Альтернатива контроллеру домена Windows AD
 

Здравствуйте

У нас маленькая компания, всего 8 компьютеров, сервера нет, все работают в рамках одной рабочей группы (Домашняя сеть Windows 7)
все компьютеры подключаются к роутеру МГТС по Wi-Fi.
В чем проблема? Нужно разграничить доступ, а рабочая группа не предоставляет такой возможности.

- Нужно чтобы база данных бухгалтера хранилась на ее компьютере и бэкапилась в на сервер (которого сейчас нет)
- Чтобы данные на компьютере операциониста лежали не на ее компьютере, а на сервере и доступ к ним имел ограниченный круг пользователей
- Планируемая База 1С чтобы лежала на сервере, чтобы любой пользователь мог залогиниться в нее через тонкий клиент 1С, но тобы никто эту базу не мог удалить/скопировать стандартными средствами Windows

Вариант я вижу только пока один -
1) купить сервер начального уровня, установить на нем Windows Server 2016
2) поднять на нем контроллер домена, AD, подключить все остальные компьюетеры по LAN к нему.

Но для нашей маленькой компании это слишком круто и неразумно, мне кажется. Поднимать контроллер домена, миграция учеток пользователей... (а у бухгалтера куча специфических программ, банк-клиент и тд, стопудов что-нить навернется в процессе переноса). Может быть есть более мягкие варианты (стронний софт, например)?

Интересно ваше мнение.

Заранее спасибо!

предоставляет, AD в контексте ваших файловых нужд даст лишь централизованное хранилище пользовательских учёток

что-то не сходится

Кому "нужно"?
Почитайте что такое тонкий клиент.

AD и ваши задачи не особо взаимосвязаны.

• Самый простой выход - купить NAS на два диска. Настроить там список пользователей такой-же как на рабочих станциях. Положить туда все документы, базы 1С, разграничить доступ пользователям.
  Главное, чтобы имена пользователей на рабочих станциях были разные, то есть, бухгалтер сидит под учётной записью "Бухгалтер", операционист под "Операционист". Всем пользователям раздать новые пароли, которые будут такими-же как и на доступ к NAS, отключить автовход на компьютерах. Объяснить зачем это нужно всем пользователям и руководству, получить одобрение последнего.
  Для отдельного бекапа базы 1С и другой нужной информации можно купить внешний usb-диск и средствами NAS настроить бекап туда.
• Вариант чуть дороже - NAS на четыре диска, сделать два зеркала, первое для оперативных данных, второе для бекапов, можно даже бекап рабочих станций приделать.
• Вариант чуть дешевле, но требует опыта и знаний - купить самосборный компьютер с четырьмя дисками (или брендовый сервер типа HP MicroServer), установить FreeNAS или аналог и настроить аналогично предыдущему пункту.
• Вариант похожий на предыдущий, но нужно ещё чуть больше знаний, но вместо FreeNAS ставится Zentyal или аналог, на нём поднимается SAMBA (аналог AD) для централизованной авторизации и аутентификации, там-же создаётся файловое хранилище. Все рабочие станции вводятся в этот домен, при условии, что используется Windows Professional любой версии.
• Вариант для хорошего объёма знаний и опыта - поднять Линукс ручками, там настроить Самбу, файловую помойку, если 1С версии 8.1 или выше, то возможно поднять серверный вариант 1С с блекджеком sql базой и тонким клиентом. Либо вариант с терминальным доступом.

По затратам на железо, все выше приведённые пункты не сильно дороги. По затратам на настройку самый дорогой - последний.
Если смотреть в сторону Windows, то у МС есть вариант Windows 2016 Essentials, который не требует закупки лицензий для устройств и пользователей (ограничения на 25 юзеров и 50 устройств)
На нём можно поднять всё, что нужно, кроме терминального доступа, но с тонким клиентом 1С. Стоимость такой версии порядка 26 тыс. рублей.

Параноя ты конечно все правильно говоришь, но блин люди у нас не 10 а 18 год, вы о облачных решениях не думали?)
Тот же G Suite права можно раздать как нужно пользователям, безлимитный ящик на все, ну доменная почта, интеграция со многими CRM, если нужно, также работа с google пакетом( аля word, exel) соответственно от нелегального офиса можно избавиться( ну если есть)
не дорого 10$ на пользователя. есть и дешевле 5 там диск меньше
В общем если есть нормальный инет рекомендую и безопасней и проще.
Конечно при условии что база 1с не sql.

если NAS то QNAP рекомендую

А смысл? У людей 1С, тут G-suite не поможет от слова совсем. Для ящиков вполне людям хватает и бесплатной почты.
К тому же не забываем доблестного богатыря стоящего на страже Родины - Роскомнадзор, который буквально вчера заблокировал некоторые подсети Гугла. :)

ну файловая 1с может на пк работать и бэкапиться в облако, у меня компания одна полностью на инфраструктуре гугла работает, 1с в облаке через https пользователи заходят, там же настроен бекап на гугл диск. Да ркн начал блокировать но все работает норм. зато вы не тратитесь на серверную инфраструктуру( железо и ПО) и ее содержание.
Хотим переходить на хромбуки в ближайшем будущем, а 1с кстати тот еще костыль переходим сейчас на сервис эльба.контур( у нас все в белую), если компания не большая там проще, ну сейчас уже достаточное кол-во бух.сервисов на рынке, которые автоматизируют работу бухгалтерии. Вот у нас уже -1 стал.

Железо - это капитальные затраты, поддержка - это операционные. С облаками капитальные затраты уменьшаются, но возрастают операционные, в том числе на хороший и стабильный Интернет. Плюс повышаются риски: РКН или кто-то другой заблокирует доступ, а это простой бизнеса и потеря денег. Гугл работает за баксы, курс валюты может возрасти и тогда операционные расходы будут выше. И это ещё не всё, существует много нюансов и их стоит рассматривать со специалистом, считать деньги, риски, прежде чем переехать в облака.
Это для новой компании будет выгодней сразу в облаках начать жить, а стареньким может и нет.

гуглите SAMBA Domain Controller. но это заменяет лишь 10 %, если не меньше, от функционала Microsoft Domain. Хотя, вам для разграничения прав должно хватить.

Здравствуйте!

Спасибо за развернутый ответ

Мне ближе всего первый вариант. Хотя вчера я купил HP Microserver под NAS. Посмотрел обзоры нескольких систем, в том числе FreeNAS и задумался - стоит ли. Во первых, я очень неуверенно себя чувствую с linux. Если он навернется я даже близко не представляю что с ним сделать. Второй момент который смутил - по умолчанию нельзя гибко настроить права доступа для каждого пользователя, это нужно делать через командную строку.

Скажите, по первому варианту, я правильно понимаю что на сервер устанавливается любая ос, например Windows 7. В ней создаются учетные записи, например "Операционист" и "Бухгалтер", задаются пароли для этих учетных записей. На жестком диске сервера создаются две папки "Операционист" и "Бухгалтер", в правах доступа на чтения и запись к которым устанавливается соответствующий пользователь.
Далее, на компьютере Бухгалтера создается идентичная запись пользователя, такая же как на сервере. Тоже самое на компьютере Операциониста.
Теперь, когда они локально будут входит в свои компьютеры под своими учетными записями и паролями, то эти учетные данные будут автоматически использоваться при обращении к стеевым папкам на сервере, не нужно будет вводить данные повторно?

f0kker, у FreeNAS есть веб-морда через которую можно его настраивать, в том числе создавать учётки и выдавать им права. Если что-то случается, то всегда есть форумы, так-же как и с Виндой, на которых тебе помогут.
Да. Только у всех Windows за исключением серверных версий есть ограничение на количество подключений к ней. Я сейчас точно не помню, но вроде для семерки было 20. Это значит, что любое 21 соединение (обращение к этому компьютеру) будет поставлено в очередь, что может существенно снизить возможность работы людей - человек не сможет открыть файл и прочее.

paranoya, еще раз спасибо за ответ! по поводу Windows 7. У нас не более 10 компов, должно хватить

По поводу FreeNAS, вот обзор, который я прочитал:
https://alexmdv.ru/sozdaem-setevoe-x...osnove-freenas

Там есть фраза:
"Однако, есть и ложка дегтя. Так же как и в NAS4Free мы не можем через web-интерфейс задать разрешения на каждую сетевую папку отдельно. Можем только выбрать гостевой доступ или нет. Если все было сделано с настройками по умолчанию (как у нас), то доступа на запись в сетевые папки у вас не будет. Получается, что так или иначе нужно уметь работать в консоли, чтобы гибко назначить права на каждую папку."

это так?

f0kker, работайте с тем, что знаете. Будет время - изучите и командную строку. Если вам всего лишь гибко разграничить доступ к папкам, то Windows 7 будет достаточно. Там даже Access-based Enumeration можно прикрутить.

Так и поступлю, поставлю просто Win7.
спасибо еще раз!

Ты его устанавливал? Сразу видно, что нет! Там как минимум 90% от функционала.
Не нужен вам домен, установи 7-ку Проф., заведи на ней учетки пользователей и разграничь доступ с помощью прав NTFS.

Будем надеяться. Ещё стоит не забыть Винду купить. :)

плохая практика - лучше по максиму разграничивать доступ на уровне сетевого ресурса и не трогать права ФС
1) всё равно это неплохо бы сделать
2) доступность файла просто и однозначно определяется, без рекурсивного анализа разрешений всех вышестоящих каталогов
3) просто масштабируется и обслуживается - легко настроить по отделам/проектам разную глубину и регулярнось архивирования/бэкапирования; перераспределять между быстрыми и медленными накопителями, да и вынести на отдельный сервер.

Я так понимаю, что ты предлагаешь создать кучу расшаренных папок для каждого отдела, группы, и выдавать права на эти ресурсы нужным людям и группам?
Но, права всё равно будет определяться в глубину по тому же рекурсивному анализу.
Простоты масштабирования и обслуживания я не увидел - всё же самое, что и настройка прав используя разрешения ФС, потому как всё это будет делаться на Win7. Распределение между быстрыми и медленными накопителями будет такое-же.
Или я не так понял твоё сообщение?

Выдавать отдельным пользователям - это уже другая плохая практика (независимо от того, сетевая папка или каталог на ФС) - если не получается привязать права к ролям/отделам, стоит сделать группы по ресурсам: acl_invoice_readonly, acl_invoice_readwrite и т.п.

нет - только "точкой входа" - именем сетевого ресурса и его разрешением

Это как в программировании: чисто теоретически можно очень аккуратно писать код на одних только глобальных переменных и всё будет работать, возможно будет дописывать и исправлять. Только практика показывает, что области видимости переменных, приватные и общедоступные члены класса заметно ограждают от возможных ошибок.

да? и что ты будешь делать если для файловой БД бухгалтеров и макетов дизайнеров купят SSD?

с приёмом на работу 21го пользователя появится Windows Servers, AD, DFS и туда практически прозрачно смонтируются шары существующего Win 7 и их можно будет незаметно для пользователей перераспределять по серверам, NAS'ам. А в твоём случае каждый апгрейд - это всё перелопатить и перенастроить.

Busla,
Если на сетевой ресурс дать группе права на запись, а в правах ФС будет стоять чтение, то пользователь в этой группе получит права чтения. Если на сетевой ресурс дать группе права на чтение, а в ФС на запись, то пользователь получит права на чтение. То есть, права складываются, а значит конечные права всегда будут проходит всю цепочку прав, начиная с сетевого ресурса и прав ФС корневой папки.
Сетевой ресурс имеет только одну точку входа и когда структура файлов/папок/данных/информации проста, то разницы нет как раздавать права, но как только бизнес-процессы усложняются, то приходится делать отдельные права в ФС.
Твой-же подход, как я понимаю, состит в том, чтобы вынести эти данные на верхний уровень и запилить ещё один сетевой ресурс, что влечёт за собой увеличение количества подключаемых букв сетевых дисков или количества ярлыков, что не всегда хорошо сказывается на удобстве работы людей. И это только увеличивает работу айтишника и может запутать людей, когда у одного пять подключенных сетевых ресурсов, а у другого три, и буквы совпадают, а данные нет (упрощённый пример: на букве S: - у всех документы своего отдела, на H: у одних проект №1, у других проект №2)
Если изначально были только hdd, то при установке SSD под БД, данные всё равно придётся перекидывать на SSD и перемещать точку подключения сетевого ресурса, вне зависимости от того, как эти права назначены были ранее - через сетевой ресурс или через ФС.
С какого перепугу в моём варианте что-то надо будет менять?
Сетевой ресурс - это виртуальная точка, физически это может располагаться на разных дисках, это может быть и в разных корневых каталогах на одном диске или в одном каталоге на одном диске. Ничего не изменится от того, задаются права исключительно через сетевые ресурсы или через ФС, бекапы делаются одинаково, подключение к DFS папки будет таким-же, потому как сетевой ресурс есть в обоих случаях, а какие там права и как одни заданы не влияют на подключение.

в вашем случае доступ на уровне сети максимально широкий, и всем заведуют только права на уровне ФС, которые существуют сами по себе
в моём случае на уровне сети права максимально избирательны, а на уровене ФС элементарно проверить/исправить конфликт прав

можно пример?
Это обычно происходит, когда из "файл-помойки" пытаются сделать систему документооборота

это какой-то привет из времён DOS - буквы дисков не нужны, вот это уж точно не добавляет удобства
Пользователю нужна папка родного отдела и точка входа в иерархию, в простой сети - сам сервер, в более взрослой - DFS
ярлыки папок с которыми пользователь работает, он сам себе донасосздаст в нужном количестве

данные в любом случае придётся перемещать - никто не спорит
но в моём сетевой ресурс останется неизменным,
в вашем - или добавлять сетевой ресурс (что я просто предлагал сделать заблаговременно), либо шаманить с монтированием разделов в каталоги NTFS, симлинками и тому подобным

это на сервере она - "виртаульная точка": сегодня - одна, завтра - другая
а на стороне клиента, её всё ПО запомнило в явном виде

ну хорошо, хорошо. пусть будет 90 % от функционала контроллера домена 2003. легче стало?
Сразу видно - ты ни разу 2016 не устанавливал )) а если и устанавливал, то использовал его на 10 % :biggrin:

Домен, это учетные записи и групповая политика, чем же они отличаются в samba ad и win 2016 ad, так может объясните всем более подробнее, о каком функционале идет речь?

mnbv, на на счёт LAPS ? Bitlocker Recovery? и т.д. и т.п. А так конечно, домен это учётки и групповая политика )))

Чтобы прекратить споры про то, какой функционал AD есть в SAMBA, то вот статья на хабре про основные ограничения.
LAPS, равно как и Bitlocker, вполне могут жить и без AD.
Поэтому SAMBA подходит для простой центральной авторизации и аутентификации без излишеств с одним сервером в роли КД. Как только появляется необходимость завести второй КД или ещё что-то, что Вин AD умеет, то нужно делать выбор в сторону напильника или покупки Windows Server.

ну ок. тогда ведите вручную всю документацию по паролям и ключам.
вот про это я и говорил:

Зачем? Вот серьёзно, когда этого LAPS не существовало, у меня было 200 компов, 5 серверов и 4К юзеров. И не было проблем с паролями локального админа. У меня существовало всего два админа на рабочих станциях - переименованный встроенный админ и доменный пользователь, являющийся админом на рабочих станциях. Включённый встроенный админ был нужен для того, чтобы войти на компьютер, когда нет сети. Доменный юзер-админ использовался во всех остальных случаях - установка софта и... всё. Большая часть всей работы была сделана так, чтобы прикладывать минимальные усилия для администрирования. И пароли этих админов не менялись годами, ибо нет смысла, хотя юзеры - это студенты, в том числе учащиеся на факультете Информатики, то есть с повышенным знанием ИТ.
Bitlocker не часть AD, он использует AD. Это всё равно что сказать, Exchange - часть AD. Но это не часть AD, вот поддомены, репликация SYSVOL, сайты, вторые и третьи КД - это AD. Даже групповые политики можно считать не частью AD, так как они могут и без домена эксплуатироваться.
Да, на Самбу это всё не прикрутить и при выборе Самбы нужно четко знать все её косяки и иметь понятие, что и как будет сделано в фирме.

по этому я и написал:
вот как раз хотел это и написать. времена меняются, угрозы и безопастность тоже.
согласен. Как LAPS. Только если Exchange нужен не всем, то Bitlocker нужен всем, кто хоть как-то заботися о безопасности.
И я привёл только два примера, наиболее актуальные в настоящее время. остальные Вы правильно привели по ссылке.

А кто сказал, что в моём случае доступ к шаре будет максимально широким? Доступ к сетевому ресурсу будет ограничиваться только разрешёнными пользователями.
Возьмём простой пример: Фирма в которой есть бухгалтерия, отдел продаж и руководство.
Пусть всё будет лежать на одном диске/разделе (рейд не рейд, не имеет значения). Структура каталогов в твоём и моём вариантах может слега отличаться. Ты можешь папку каждого отдела и БД положить в корень раздела. У меня в корне раздела будет два каталога: Документы и БД.

В твоём варианте будет так: три сетевых ресурса, по одному на каждый отдел для документов и один для БД 1С. В моём случае это будет два сетевых ресурса: документы и БД. Двумя управлять проще.
Идём дальше - буквы для сетевых ресурсов. Буква хороша тем, что у пользователя есть быстрый доступ к информации. Ярлык на рабочем столе подразумевает, что сначала надо зайти в папку через ярлык и там открыть документы. Буква позволяет сначала запустить нужную программу и в ней открыть документ, многим людям так удобнее работать. Ярлык же может не сработать - не все программы такие умные как MS Office. :)
Идём дальше, у тебя по одному ярлыку на рабочем столе у каждого пользователя для доступа к документам своего отдела. У меня одна примапленная буква, пусть будет Z:, в которой видны папки каждого отдела, но пользователи могут входить только в папку своего отдела.
На фирме появляется некий проект и к этому проекту на запись должны иметь доступ один руководитель и один человек из бухгалтерии и несколько продажников. Твой вариант, если я правильно понимаю, предлагает создать ещё один сетевой ресурс со своей папкой, дать к нему доступ руководителю, бухгалтеру и сотрудникам отдела продаж. В твоём варианте движения админа: создать папку, дать права ФС, создать сетевой ресурс, дать права на него, вывести ярлык каждому нужному пользователю. В моём варианте: создать папку в корневой папке "Документы", дать права. Два движения против пяти.
Вот и думай какой вариант менее затратный по администрированию и поддержке и все эти симлинки не нужны.

...а поскольку у тебя всего один-два сетевых ресурса, то по факту "разрешённые пользователи" практически синоним "Все"

не будет
я как раз описывал ситуацию, когда данные захочется поделить на горячие и холодные: что-то положить на SSD, что-то на медленные большие диски

это не программы умные - это системный API
люди работают так, как вы их заставляете - неудобно и неэфктивно
есть же системные папки, библиотеки, а вы до сих под Z: монтируете

проще ничего не делать,а только диск смонтировать по гайду десятилетней давности - это, да

Дело не в количестве движений - качественно проделанная работа всегда потребует больше движений, чем "работает и ладно".

Никаких синонимов, только разрешённые пользователи.
Есть библиотеки, вот только у них есть проблема сетевые ресурсы в них не добавишь. Мало того, дома у себя я их использую, но ни разу не видел людей, которые у себя их настраивают.
Про "системные папки" слышу впервые, где можно об этом почитать?