Организация сетевого окружения.
В нашей организации чуть более 100 компьютеров. Контроллер домена на Windows Server 2008. На сервере подняты AD, DNS, DHCP из-за проблем с сетевым окружением был поднят Wins. Есть еще сервера баз данных и файло помойка. Недавно, из отдельной группы, ввели бухгалтерию, и получили ультимативное требование чтобы в сети были видны только их компьютеры. Сейчас сделал на сервере каталог куда закинул ярлыки на компьютеры этого отдела. Есть ли другой вариант, т.к. все-таки считаю что это не совсем верно.
|
Цитата:
|
Бухгалтерию лучше туда не посылать) Она зарплату считает.
|
Falcon99, нечего им делать в сетевом окружении, потому что не надо на компьютерах пользователей открывать сетевые папки
|
На сервере не такое большое хранилище, а пользователи, особенно в отделах где стоят Autocad и Photoshop, в обмен выкладывают большие объемы информации, поэтому у всех и организовано через папку "Обмен" в сетевом окружении. Если можно организовать по другому, то прошу просветить.
|
Цитата:
такого рода файлы у меня пользователи пересылали через внутренний IM: одним выстрелом двух зайцев: файл и сопроводительное описание идут вместе; получатель явно подтверждает получение файла; используется эффективная p2p передача |
Цитата:
Цитата:
|
Возник еще один вопрос, имеет ли смысл организовать использование в домене DFS, но в качестве каталогов ссылаться на каталоги расположенные на компьютерах домена, т.е. просто как бы собрать каталоги сетевого окружения в одном месте?
|
Цитата:
А по человечески делается так - поднимается отдельно файлопомойка, подтягивается в DFS, потом настраивается доступ нужным пользователям, например добавляешь всех нужных пользователей в группу "бухгалтерия", даешь им туда права на чтение и изменение (не полные, чтоб удалить шару не могли) а остальным закрываешь доступ на чтение и они эту папку даже не увидят. Цитата:
|
Цитата:
Цитата:
|
Цитата:
Цитата:
К дереву DFS можно подключить любые сетевые папки SMB любых компьютеров домена. Единственное отличие - в этих каталогах не будет работать резервирование из-за отсутствия службы репликации сетевых папок на рабочих станциях. Цитата:
Подключите туда их сетевые папки с базами данных, выгрузки/загрузки, документов отдела, "общие" папки компьютеров. И вообще, введите в DFS все сетевые папки компьютеров и сделайте каждому пользователю пачку ярлыков на рабочем столе. Лучше всего через групповые политики, а "сетевое окружение" в работе вообще не используйте. Кстати, сетевые папки для дерева DFS лучше делать скрытыми (с долларом на конце), чтобы они не светились в "сетевом окружении", если вдруг кто решит таки по сети прогуляться. И самое главное - создайте группы безопасности и настройте права доступа. |
Вложений: 1
Цитата:
http://forum.oszone.net/attachment.p...1&d=1534405123 Цитата:
|
Цитата:
Потому что в домене пользователь может работать за любым разрешённым ему компьютером. Цитата:
1. Пользователя Иванова добавляете в глобальную группу домена "Бухгалерия". 2. Создаёте каталог "Общие документы бухгалтерии" и локальную группу домена "ACL_Бухгалтерия_Общие_Документы". 3. Добавляете группу "Бухгалтерия" в группу "ACL_Бухгалтерия_Общие_Документы". 4. PROFIT!!! Пользователь Иванов имеет доступ к папке "Общие документы бухгалтерии" Повторить п.2 и 3 для всех сетевых ресурсов (каталоги баз данных и т.д.). На каждый каталог отдельную группу доступа назначать не обязательно, но разделить разные по назначению каталоги нужно. В чём плюс такого подхода 1. Если завтра в примут на работу бухгалтера Петрова, вам достаточно будет добавить его в группу "Бухгалтерия", и он автоматически получит доступ ко всем необходимым сетевым папкам. Также если группа "Бухгалтерия" входит в группы безопасности GPO, то к нему будут применены все политики домена (установка программ в профиль пользователя, создание ярлыков на рабочем столе, настройка параметров) 2. Если завтра Иванова вдруг уволят или переведут в другой отдел, вам достаточно будет перенести его из группы "Бухгалтерия" в группу другого отдела. |
Цитата:
|
Цитата:
Спасибо за советы. Вопрос решаю решенным. |
Только начал настраивать DFS и прочел в обзоре нового в Windows 10 следующее:
Цитата:
|
Цитата:
|
Цитата:
|
Falcon99, у меня на работе долгое время использовался MyChat, можешь на него еще посмотреть.
Из плюсов - - умеет тянуть пользователей из AD - есть функционал отправки уведомлений (т.е. выбираешь толпу людей и у каждого из них посреди экрана окошко с текстом и кнопкой "ок" отображается), полезная штука из минусов - не умеет (вроде бы) работать в качестве службы, т.е. нужно костылить автозапуск после ребута сервера, т.к. ему нужно работать от имени какого-то пользователя с интерфейсом, чтобы ним управлять. Потом на битрикс перешли. Та еще дичь но чатик в нём тоже есть и работает, а две сущности плодить незачем. |
Цитата:
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
Как в данном случае поможет отключение SMB1? Короче говоря, не пЕшите глупастей, не имея личного опыта. У меня, по крайней мере, даже с бытовой мыльницей не было случая заражения, широко освещаемым дырам. При там, что все клиенты используют smb1 и т.п. |
meZon, что ты несешь? SMBv1 одна сплошная дыра. То что в других компонентах ОС есть другие дыри - совершенно не значит что первую нужно игнорировать.
Цитата:
Цитата:
|
Цитата:
А DFS потихоньку начал разворачивать, но пока только на в тестовом варианте. Цитата:
0day уязвимость Планировщика заданий Windows успешно эксплуатируется. Как защитить систему? |
Из чатов используем iChat и UniChat бесплатно и работают нормально.
|
Цитата:
|
Falcon99, с облаком не заморачивайся, затратно по требуемым мощностям оборудования, деньгам на лицензии, усилий на поддержку всего хозяйства.
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
Из других решений мне понравился Simple Chat: прост в установке, шустрый, есть клиенты и сервер под линукс. Даже изображения отображает, но своего веб сервера не имеет, поэтому для работы этой функции, надо накручивать что-то стороннее. Кроме того, преобразование в ссылку заявлено, но увы не работает. Если бы на машинах была бы современная операционная система, от 7-й и выше, то можно было бы поставить Rocket Chat или его аналог, они вроде тоже удовлетворяют нашим потребностям. А так, для того чтобы получить нужное, необходимо ставить jabber сервер с добавками, но тут желательна машина на линуксе и приличное время для того чтобы разобраться. Поэтому пока остается V-talking. |
Время: 10:01. |
Время: 10:01.
© OSzone.net 2001-