Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2016 - Альтернатива контроллеру домена Windows AD

Ответить
Настройки темы
2016 - Альтернатива контроллеру домена Windows AD

Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте

У нас маленькая компания, всего 8 компьютеров, сервера нет, все работают в рамках одной рабочей группы (Домашняя сеть Windows 7)
все компьютеры подключаются к роутеру МГТС по Wi-Fi.
В чем проблема? Нужно разграничить доступ, а рабочая группа не предоставляет такой возможности.

- Нужно чтобы база данных бухгалтера хранилась на ее компьютере и бэкапилась в на сервер (которого сейчас нет)
- Чтобы данные на компьютере операциониста лежали не на ее компьютере, а на сервере и доступ к ним имел ограниченный круг пользователей
- Планируемая База 1С чтобы лежала на сервере, чтобы любой пользователь мог залогиниться в нее через тонкий клиент 1С, но тобы никто эту базу не мог удалить/скопировать стандартными средствами Windows

Вариант я вижу только пока один -
1) купить сервер начального уровня, установить на нем Windows Server 2016
2) поднять на нем контроллер домена, AD, подключить все остальные компьюетеры по LAN к нему.

Но для нашей маленькой компании это слишком круто и неразумно, мне кажется. Поднимать контроллер домена, миграция учеток пользователей... (а у бухгалтера куча специфических программ, банк-клиент и тд, стопудов что-нить навернется в процессе переноса). Может быть есть более мягкие варианты (стронний софт, например)?

Интересно ваше мнение.

Заранее спасибо!

Отправлено: 09:10, 01-05-2018

 

Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


paranoya, еще раз спасибо за ответ! по поводу Windows 7. У нас не более 10 компов, должно хватить

По поводу FreeNAS, вот обзор, который я прочитал:
https://alexmdv.ru/sozdaem-setevoe-x...osnove-freenas

Там есть фраза:
"Однако, есть и ложка дегтя. Так же как и в NAS4Free мы не можем через web-интерфейс задать разрешения на каждую сетевую папку отдельно. Можем только выбрать гостевой доступ или нет. Если все было сделано с настройками по умолчанию (как у нас), то доступа на запись в сетевые папки у вас не будет. Получается, что так или иначе нужно уметь работать в консоли, чтобы гибко назначить права на каждую папку."

это так?

Отправлено: 19:26, 05-05-2018 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Angry Demon

Крылатый ужас


Moderator


Сообщения: 26367
Благодарности: 4434

Профиль | Отправить PM | Цитировать


f0kker, работайте с тем, что знаете. Будет время - изучите и командную строку. Если вам всего лишь гибко разграничить доступ к папкам, то Windows 7 будет достаточно. Там даже Access-based Enumeration можно прикрутить.

-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...


Здесь можно скачать драйверы

Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.


Отправлено: 19:57, 05-05-2018 | #12


Новый участник


Сообщения: 31
Благодарности: 0

Профиль | Отправить PM | Цитировать


Так и поступлю, поставлю просто Win7.
спасибо еще раз!

Отправлено: 21:18, 05-05-2018 | #13

zai zai вне форума

Аватара для zai

Ветеран


Сообщения: 4964
Благодарности: 724

Профиль | Отправить PM | Цитировать


Цитата antiexpert1@twitter:
это заменяет лишь 10 %, если не меньше, от функционала Microsoft Domain »
Ты его устанавливал? Сразу видно, что нет! Там как минимум 90% от функционала.
Цитата f0kker:
У нас маленькая компания, всего 8 компьютеров »
Не нужен вам домен, установи 7-ку Проф., заведи на ней учетки пользователей и разграничь доступ с помощью прав NTFS.

-------
А зачем тебе жужжать, если ты не пчела? По-моему так.


Отправлено: 21:42, 05-05-2018 | #14


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата f0kker:
по поводу Windows 7. У нас не более 10 компов, должно хватить »
Будем надеяться. Ещё стоит не забыть Винду купить.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 22:13, 05-05-2018 | #15


Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать


Цитата zai:
заведи на ней учетки пользователей и разграничь доступ с помощью прав NTFS »
плохая практика - лучше по максиму разграничивать доступ на уровне сетевого ресурса и не трогать права ФС
1) всё равно это неплохо бы сделать
2) доступность файла просто и однозначно определяется, без рекурсивного анализа разрешений всех вышестоящих каталогов
3) просто масштабируется и обслуживается - легко настроить по отделам/проектам разную глубину и регулярнось архивирования/бэкапирования; перераспределять между быстрыми и медленными накопителями, да и вынести на отдельный сервер.

Отправлено: 13:59, 06-05-2018 | #16


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата Busla:
плохая практика - лучше по максиму разграничивать доступ на уровне сетевого ресурса и не трогать права ФС »
Я так понимаю, что ты предлагаешь создать кучу расшаренных папок для каждого отдела, группы, и выдавать права на эти ресурсы нужным людям и группам?
Но, права всё равно будет определяться в глубину по тому же рекурсивному анализу.
Простоты масштабирования и обслуживания я не увидел - всё же самое, что и настройка прав используя разрешения ФС, потому как всё это будет делаться на Win7. Распределение между быстрыми и медленными накопителями будет такое-же.
Или я не так понял твоё сообщение?

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 14:50, 06-05-2018 | #17


Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать


Цитата paranoya:
ты предлагаешь создать кучу расшаренных папок для каждого отдела, группы, и выдавать права на эти ресурсы нужным людям и группам? »
Выдавать отдельным пользователям - это уже другая плохая практика (независимо от того, сетевая папка или каталог на ФС) - если не получается привязать права к ролям/отделам, стоит сделать группы по ресурсам: acl_invoice_readonly, acl_invoice_readwrite и т.п.

Цитата paranoya:
права всё равно будет определяться в глубину по тому же рекурсивному анализу »
нет - только "точкой входа" - именем сетевого ресурса и его разрешением

Цитата paranoya:
Простоты масштабирования и обслуживания я не увидел »
Это как в программировании: чисто теоретически можно очень аккуратно писать код на одних только глобальных переменных и всё будет работать, возможно будет дописывать и исправлять. Только практика показывает, что области видимости переменных, приватные и общедоступные члены класса заметно ограждают от возможных ошибок.

Цитата paranoya:
Распределение между быстрыми и медленными накопителями будет такое-же »
да? и что ты будешь делать если для файловой БД бухгалтеров и макетов дизайнеров купят SSD?

Цитата paranoya:
потому как всё это будет делаться на Win7 »
с приёмом на работу 21го пользователя появится Windows Servers, AD, DFS и туда практически прозрачно смонтируются шары существующего Win 7 и их можно будет незаметно для пользователей перераспределять по серверам, NAS'ам. А в твоём случае каждый апгрейд - это всё перелопатить и перенастроить.

Отправлено: 16:36, 06-05-2018 | #18


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Busla,
Если на сетевой ресурс дать группе права на запись, а в правах ФС будет стоять чтение, то пользователь в этой группе получит права чтения. Если на сетевой ресурс дать группе права на чтение, а в ФС на запись, то пользователь получит права на чтение. То есть, права складываются, а значит конечные права всегда будут проходит всю цепочку прав, начиная с сетевого ресурса и прав ФС корневой папки.
Сетевой ресурс имеет только одну точку входа и когда структура файлов/папок/данных/информации проста, то разницы нет как раздавать права, но как только бизнес-процессы усложняются, то приходится делать отдельные права в ФС.
Твой-же подход, как я понимаю, состит в том, чтобы вынести эти данные на верхний уровень и запилить ещё один сетевой ресурс, что влечёт за собой увеличение количества подключаемых букв сетевых дисков или количества ярлыков, что не всегда хорошо сказывается на удобстве работы людей. И это только увеличивает работу айтишника и может запутать людей, когда у одного пять подключенных сетевых ресурсов, а у другого три, и буквы совпадают, а данные нет (упрощённый пример: на букве S: - у всех документы своего отдела, на H: у одних проект №1, у других проект №2)
Цитата Busla:
и что ты будешь делать если для файловой БД бухгалтеров и макетов дизайнеров купят SSD? »
Если изначально были только hdd, то при установке SSD под БД, данные всё равно придётся перекидывать на SSD и перемещать точку подключения сетевого ресурса, вне зависимости от того, как эти права назначены были ранее - через сетевой ресурс или через ФС.
Цитата Busla:
А в твоём случае каждый апгрейд - это всё перелопатить и перенастроить. »
С какого перепугу в моём варианте что-то надо будет менять?
Сетевой ресурс - это виртуальная точка, физически это может располагаться на разных дисках, это может быть и в разных корневых каталогах на одном диске или в одном каталоге на одном диске. Ничего не изменится от того, задаются права исключительно через сетевые ресурсы или через ФС, бекапы делаются одинаково, подключение к DFS папки будет таким-же, потому как сетевой ресурс есть в обоих случаях, а какие там права и как одни заданы не влияют на подключение.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 19:38, 06-05-2018 | #19


Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать


Цитата paranoya:
Если на сетевой ресурс дать группе права на запись, а в правах ФС будет стоять чтение, то пользователь в этой группе получит права чтения. Если на сетевой ресурс дать группе права на чтение, а в ФС на запись, то пользователь получит права на чтение. То есть, права складываются, а значит конечные права всегда будут проходит всю цепочку прав, начиная с сетевого ресурса и прав ФС корневой папки. »
в вашем случае доступ на уровне сети максимально широкий, и всем заведуют только права на уровне ФС, которые существуют сами по себе
в моём случае на уровне сети права максимально избирательны, а на уровене ФС элементарно проверить/исправить конфликт прав

Цитата paranoya:
как только бизнес-процессы усложняются, то приходится делать отдельные права в ФС »
можно пример?
Это обычно происходит, когда из "файл-помойки" пытаются сделать систему документооборота

Цитата paranoya:
что влечёт за собой увеличение количества подключаемых букв сетевых дисков или количества ярлыков, что не всегда хорошо сказывается на удобстве работы людей »
это какой-то привет из времён DOS - буквы дисков не нужны, вот это уж точно не добавляет удобства
Пользователю нужна папка родного отдела и точка входа в иерархию, в простой сети - сам сервер, в более взрослой - DFS
ярлыки папок с которыми пользователь работает, он сам себе донасосздаст в нужном количестве

Цитата paranoya:
при установке SSD под БД, данные всё равно придётся перекидывать на SSD и перемещать точку подключения сетевого ресурса »
данные в любом случае придётся перемещать - никто не спорит
но в моём сетевой ресурс останется неизменным,
в вашем - или добавлять сетевой ресурс (что я просто предлагал сделать заблаговременно), либо шаманить с монтированием разделов в каталоги NTFS, симлинками и тому подобным

Цитата paranoya:
Сетевой ресурс - это виртуальная точка »
это на сервере она - "виртаульная точка": сегодня - одна, завтра - другая
а на стороне клиента, её всё ПО запомнило в явном виде

Отправлено: 21:52, 06-05-2018 | #20



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2016 - Альтернатива контроллеру домена Windows AD

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - 0x0000232B или Не удалось подключиться к контроллеру домена AD T1cOoN Windows Server 2008/2008 R2 6 24-08-2016 13:02
Проблема с подключением к контроллеру домена PC_Maniac Microsoft Windows NT/2000/2003 11 11-02-2015 01:59
подключение к контроллеру домена 2003 вин tvoi_hozyain Microsoft Windows NT/2000/2003 7 17-02-2008 15:26
FreeBSD - Подключение FreeBSD к Контроллеру домена под windows dzhserv Общий по FreeBSD 1 11-10-2007 19:29
Нет доступа к контроллеру домена undeadcs Microsoft Windows NT/2000/2003 7 10-09-2007 08:31




 
Переход