Организация сетевого окружения.
 

В нашей организации чуть более 100 компьютеров. Контроллер домена на Windows Server 2008. На сервере подняты AD, DNS, DHCP из-за проблем с сетевым окружением был поднят Wins. Есть еще сервера баз данных и файло помойка. Недавно, из отдельной группы, ввели бухгалтерию, и получили ультимативное требование чтобы в сети были видны только их компьютеры. Сейчас сделал на сервере каталог куда закинул ярлыки на компьютеры этого отдела. Есть ли другой вариант, т.к. все-таки считаю что это не совсем верно.

Бухгалтерию лучше туда не посылать) Она зарплату считает.

Falcon99, нечего им делать в сетевом окружении, потому что не надо на компьютерах пользователей открывать сетевые папки

На сервере не такое большое хранилище, а пользователи, особенно в отделах где стоят Autocad и Photoshop, в обмен выкладывают большие объемы информации, поэтому у всех и организовано через папку "Обмен" в сетевом окружении. Если можно организовать по другому, то прошу просветить.

и кому она адресована? - как адресаты узнают, что для них появились файлы? - всё равно об этом приходится сообщать

такого рода файлы у меня пользователи пересылали через внутренний IM: одним выстрелом двух зайцев: файл и сопроводительное описание идут вместе; получатель явно подтверждает получение файла; используется эффективная p2p передача

Можете подробнее расписать что и как, или ссылку на похожее.

У нас проще, "Обмен" скидывают что предназначено для других, пользователи заходят, берут нужную инфу, но к сожалению копируют а не переносят, и в результате обмен превращается в хламовник. А сообщают через чат V-talking (который тоже хотелось бы заменить, но замену требуют с возможностью вставки изображений в сообщение, плюс рассылка сообщений всем работникам организации) или голосом, т.к. зачастую сидят в одном кабинете.

Возник еще один вопрос, имеет ли смысл организовать использование в домене DFS, но в качестве каталогов ссылаться на каталоги расположенные на компьютерах домена, т.е. просто как бы собрать каталоги сетевого окружения в одном месте?

Костыль какой-то получается но уж лучше так.
А по человечески делается так - поднимается отдельно файлопомойка, подтягивается в DFS, потом настраивается доступ нужным пользователям, например добавляешь всех нужных пользователей в группу "бухгалтерия", даешь им туда права на чтение и изменение (не полные, чтоб удалить шару не могли) а остальным закрываешь доступ на чтение и они эту папку даже не увидят.

Цитата:

Цитата Falcon99 из-за проблем с сетевым окружением был поднят Wins »

шта? зачем?

Тут этот вопрос подымал. Частично решил, но теперь на другой машине таже проблема, теперь с Windows XP.

Насколько понимаю, такое же можно сделать через такую же шару?

Очень даже имеет

Можно.
К дереву DFS можно подключить любые сетевые папки SMB любых компьютеров домена.
Единственное отличие - в этих каталогах не будет работать резервирование из-за отсутствия службы репликации сетевых папок на рабочих станциях.

Сделайте в дереве DFS отдельную ветвь для бухгалтерии.
Подключите туда их сетевые папки с базами данных, выгрузки/загрузки, документов отдела, "общие" папки компьютеров.

И вообще, введите в DFS все сетевые папки компьютеров и сделайте каждому пользователю пачку ярлыков на рабочем столе. Лучше всего через групповые политики, а "сетевое окружение" в работе вообще не используйте.
Кстати, сетевые папки для дерева DFS лучше делать скрытыми (с долларом на конце), чтобы они не светились в "сетевом окружении", если вдруг кто решит таки по сети прогуляться.
И самое главное - создайте группы безопасности и настройте права доступа.

Насколько я понимаю нечто подобной:
http://forum.oszone.net/attachment.p...1&d=1534405123

Вот за это отдельное спасибо, все забываю сделать, и создаю группы по мере необходимости.

Только локальные "папки обмена" компьютеров нужно обозначать именами компьютеров. Во избежание путаницы.
Потому что в домене пользователь может работать за любым разрешённым ему компьютером.

В одной толстой умной книге прочитал один очень хороший совет - использовать многоуровневую группировку пользователей.

1. Пользователя Иванова добавляете в глобальную группу домена "Бухгалерия".
2. Создаёте каталог "Общие документы бухгалтерии" и локальную группу домена "ACL_Бухгалтерия_Общие_Документы".
3. Добавляете группу "Бухгалтерия" в группу "ACL_Бухгалтерия_Общие_Документы".
4. PROFIT!!! Пользователь Иванов имеет доступ к папке "Общие документы бухгалтерии"
Повторить п.2 и 3 для всех сетевых ресурсов (каталоги баз данных и т.д.).
На каждый каталог отдельную группу доступа назначать не обязательно, но разделить разные по назначению каталоги нужно.

В чём плюс такого подхода
1. Если завтра в примут на работу бухгалтера Петрова, вам достаточно будет добавить его в группу "Бухгалтерия", и он автоматически получит доступ ко всем необходимым сетевым папкам.
Также если группа "Бухгалтерия" входит в группы безопасности GPO, то к нему будут применены все политики домена (установка программ в профиль пользователя, создание ярлыков на рабочем столе, настройка параметров)
2. Если завтра Иванова вдруг уволят или переведут в другой отдел, вам достаточно будет перенести его из группы "Бухгалтерия" в группу другого отдела.

Технически да, на практике люди не часто этим пользуются. У людей обычно есть закрепленное за ними рабочее место ну и соответственно там стоит "их" комп.

Да у нас именно так и организовано.

Спасибо за советы. Вопрос решаю решенным.

Только начал настраивать DFS и прочел в обзоре нового в Windows 10 следующее:
Теперь думаю может, пока все не настроил, попробовать облако в локальной сети развернуть? Какие варианты то-нибудь пробовал?

http://clx-soft.com/netsph/ у нас в организации поставил этот чат..по локалке работает замечательно

Он больше заточен для голосового общения, что не требуется, поэтому к сожалению не подходит. Сейчас думаю стоит ли Bingo's Chat. Он почти идеально заменяет V-talking. А вообще пробовал сделать чат на основе jabber, но увы пока не получается.

Falcon99, у меня на работе долгое время использовался MyChat, можешь на него еще посмотреть.
Из плюсов -
- умеет тянуть пользователей из AD
- есть функционал отправки уведомлений (т.е. выбираешь толпу людей и у каждого из них посреди экрана окошко с текстом и кнопкой "ок" отображается), полезная штука

из минусов - не умеет (вроде бы) работать в качестве службы, т.е. нужно костылить автозапуск после ребута сервера, т.к. ему нужно работать от имени какого-то пользователя с интерфейсом, чтобы ним управлять.

Потом на битрикс перешли. Та еще дичь но чатик в нём тоже есть и работает, а две сущности плодить незачем.

И что? Есть Рабочая группа, которую и следует использовать на предприятии, зачем Домашняя там?

Хотя бы примерно представляешь как это сделать и сколько ресурсов это потребует, и это ради обмена файлами? Для начала разверни по описанным выше советам, решение универсальное, будет работать на виндах от ХР до 10. А на советы майкрософт не смотри, они одно советуют, через какое-то время противоположное.

Ну как сказать, чтоб работало и там и там нужно либо открыть дыру в 10 (включив smb v1, который по умолчанию не установлен) либо отказаться от хр. Но в целом да, DFS - универсальное решение.

Да, про это подзабыл, да и вырубили с версии 1709 вроде.

Зачем повторять заклинания хипстеров из m$ ? В винде намедни нашли очереднцю дырдочку в планировщике, которая позволяет получиить привелегии SYSTEM
Как в данном случае поможет отключение SMB1?

Короче говоря, не пЕшите глупастей, не имея личного опыта. У меня, по крайней мере, даже с бытовой мыльницей не было случая заражения, широко освещаемым дырам. При там, что все клиенты используют smb1 и т.п.

meZon, что ты несешь? SMBv1 одна сплошная дыра. То что в других компонентах ОС есть другие дыри - совершенно не значит что первую нужно игнорировать.

Звучит очень аргументированно. В какой винде? Намедни это когда? Очередную это которую по счету? Каким патчем закрывается и закрывается ли? Ссылку какую-нибудь дашь?
Откуда тебе знать какой у меня опыт?

К сожалению не представляю, потому и спрашиваю имеет ли смысл сразу заморачиватся с облаком для организации.
А DFS потихоньку начал разворачивать, но пока только на в тестовом варианте.

0day уязвимость Планировщика заданий Windows успешно эксплуатируется. Как защитить систему?

Из чатов используем iChat и UniChat бесплатно и работают нормально.

Смотрел, очень хорошие программы: не требовательны к ресурсам и хорошо работают. Из недостатков малый функционал и внешний вид.

Falcon99, с облаком не заморачивайся, затратно по требуемым мощностям оборудования, деньгам на лицензии, усилий на поддержку всего хозяйства.
Вот и правильно, обкатай в тестовом, потихоньку переноси в продакшен.

Спасибо, именно это и интересовало. Тему опять закрываю.

Нам хватает, чтоб по кабинетам и этажам не бегать.

Да я и не спорю, просто одно из требований чтобы была возможность вставки в сообщение изображения и преобразования ссылок вида \\comp\shared\ в кликабелную ссылку. А этих возможностей у указанной вами связки нет.
Из других решений мне понравился Simple Chat: прост в установке, шустрый, есть клиенты и сервер под линукс. Даже изображения отображает, но своего веб сервера не имеет, поэтому для работы этой функции, надо накручивать что-то стороннее. Кроме того, преобразование в ссылку заявлено, но увы не работает.
Если бы на машинах была бы современная операционная система, от 7-й и выше, то можно было бы поставить Rocket Chat или его аналог, они вроде тоже удовлетворяют нашим потребностям. А так, для того чтобы получить нужное, необходимо ставить jabber сервер с добавками, но тут желательна машина на линуксе и приличное время для того чтобы разобраться. Поэтому пока остается V-talking.