Архив форумов ЦИТФорума

[Qazder]

Имеется: AD на server 2000, WS 2000 Pro.
Необходимо, чтобы пользователь имел полный доступ только на папку Мои документы, на всё остальное только для чтения.
Проблема: если оставлять полный доступ только на папку Мои документы, то перестают работать некоторые программы (например, Office), которые создают под пользователем дополнительные файлы в своих директориях.
Вопрос: Как настроить безопасность так, чтобы все необходимые программы работали, а пользователь имел полный доступ только на папку Мои документы?
Думаю опытные сис. админы знают, как такое настроить.

[And]

Не совсем так. Пользователь должен иметь полный доступ на свой профиль. Т.Е. на папку documents and settings/ИМЯ_ПОЛЬЗОВАТЕЛЯ где находятся его папка мои документы и кусок его реестра. На все остальное можно чтение. p.s. офис для каждого пользователя хранит настройки именно в профиле пользователя.

[Qazder]

Так пока и сделано. Только вот есть опасения, что пользователи будут "гадить" в доступных папках, которые нельзя перенаправить на сервер с помощью GP. Цель такая: дать доступ только на Мои документы (плюс максимум на Desktop) и их перенаправлять на файловый сервер.

[And]

Да пусть они там хоть все "обгадят". В чем проблема? Они операционку не убъют этим. Профиль легко сносится. А в разные папки программы пишут свои настройки, например в Appication Data и т.д. Не забывай, что там еще и кусок реестра их (пользователя) лежит. Допустим закинет он 4 гига в папку Documents adn settings\имя_пользователя\ и? Пусть там лежит и никого не трогает. Можно конечно настроить ограничения на каждую папку и каждый файл, но ты на это столько время убъешь, что жить не захочешь уже после 5-ти компов не говоря про 30-50 : ))

[Qazder]

Если нет другого способа придется воспользоваться этим.
Необходимо, чтобы вся информация хранилась строго в назначенном месте и перенаправлялась на сервер. Как известно, в винде реализовано перенаправление только папок Мои документы и Рабочий стол.
Может тогда стоит удалять пользовательскую папку раз в какой-то промежуток времени, чтобы пользователям не повадно было хранить данные помимо папки Мои документы? При этом все "левые" данные будут потеряны, а нужные восстановятся из папки на сервере.

[mirniy]

ну и в чем собсно проблемма?
перенаправляй документы на сервер, издавай приказпо предприятию типа, Фсе файлы хранить только в моих документах!
отловить пару любителей хранить их в другом месте и публично поставить раком(остальным не повадно будет!)

у меня такая система года полтора работает!
_________________
IT форум

[Qazder]

[mirniy]

http://www.networkdoc.ru/files/insop/win2000/win2000book/print.html?gl11-3.html
_________________
IT форум

[Qazder]

Перемещаемые профили уже рассматривались. Их существенным недостатком является полное копирование данных с сервера на рабочую станцию, что при больших объемах информации увеличит время входа в ОС. Можно, конечно, использовать домашнюю папку, но заставить работать пользователя с ней, можно опять же только через приказы.
Перенаправление синхронизирует данные на лету, что существенно удобнее.

[And]

Можешь поставить на все доступ только для чтения, включая профиль, но сразу появятся проблемы с офисом и другими программами. А также обозначится проблема с файлом NTUSER.DAT, который является куском реестра разным для каждого пользователя. Администратор, так и называется, что именно занимается администрированием. Поэтому если не хватает средств ОС, используют приказы, и служебные записки. Я в свое время четко заявил, что я отвечаю только за ту информацию, которая хранится на сервере, т.е. папки мои документы, и рабочий стол. Все были оповещены и многие пропустили мимо ушей. И вот настал тот день. Главный энергетик готовил кучу отчетов для руководства и....... у нее подох комп, причем смешно, из-за скачков напряжения в сети : )) Комп починил, документы на диске С: в папке 123 ушли насовсем. Там она и хранила отчеты : )) Энергетик в панике, меня на ковер к начальству. Я доходчиво объяснил, что произошло. Мне в упрек заявили, что это не просто пользователь, а главный энергетик. Я сказал, что людей такого ранга, я просто быстрее обслуживаю и все. Других привелегий у них в сети нет. Если всем сказанно, что документы хранить там, значит так и надо делать. Ну там еще много чего было сказанно. Короче начальство почесало репу и поняло, что деньги я свои отрабатываю, и что не стоит обходить приказы собою же и подписанные.

[Qazder]

показательный пример! обязательно приму к сведению!
а как бы Вы оценили, если оставить полный доступ на профиль, но черех групповую политику убрать все диски из Мой компьютер. Понятно, что это не панацея от продвинутых пользователей, но всё же хоть какая-то защита от дурака.

[And]

На самом деле пользователи очень плохо реагируют на то, что у них меняется привычное окружение. Отключение дисков, меню и т.д. Я своих приучил сохранять все на сервере и провел целую беседу о том, как хорошо и надежно хранить там свои документы. Я правда иногда, примерно раз в месяц, провожу мониторинг. Ну чтоб они не хранили на сервере всякую гадость типа музыки и прочего. Да и помимо этого начальство имеет доступ только для чтения ко всем папкам пользователей которые хранятся на сервере. И если начальство наткнется не дай бог, на какой нибудь файл с музыкой или фильмом в папке пользователя, то карательная экспедиция будет заказанна незамедлительно : )) Помимо этого я сделал систему резервного копирования которую пользователи оценили по достоинству. Было очень много примеров когда я восстанавливал ими измененные или нечайно удаленные файлы спустя несколько месяцев или даже более полгода. После такой проверки на прочность, важные и действительно необходимые для работы документы пользователи сами спешат сохранить в папке мои документы. Еще не маловажным фактором является то, что они могут получить доступ к своим документам на самом сервере из любого места в сети, или зайдя на сервер из дома через интернет. А вообще если хочешь автоматом настроить права на компьютерах, то смотри в сторону шаблонов безопасности. Тут две стороны медали: если пользователям запретить что либо сохранять на локальном диске, то они все, абсолютно все, будут кидать на сервер. И важную информацию и мягко говоря не очень важную. Ты же не будешь разбираться перед резервным копированием что ини там хранят. На это пол жизни уйдет : )) У меня просто резервное копирование каждый день идет.

[Qazder]

Всё описанное Вами совершенно справедливо. Примерно это же необходимо организовать и мне. Отсюда вывод: я на правильном пути. Правда ситуация у меня немного другая. Система разграничения доступа и резервирования существует, но создана она была до меня несколько лет назад в очень примитивном варианте. Мной решаются сразу несколько задач. Это и разграничения доступа, и автоматизация резервирования, и разработка групповой политики, и т.д., и т.п. Постепенно это всё должно вылиться в единую политику информационной безопасности. Очень важно, чтобы на удобстве работы пользователями всё это не сильно отразилось.

And, mirniy, огромное спасибо вам за советы и потраченное на меня время!!!

[And]

По поводу резервного копирования, вот как у меня это организованно в отношении домашних папок пользователей. Есть три поколения носителей: Дедушка, папа, сын. Носитель дедушка содержит полную копию данных и хранится год. Носитель папа содержит полную копию данных и хранится месяц. Носитель сын содержит разностную копию данных и хранится неделю. Таким образом если пользователь создал файл и он у него прожил день, то я его могу восстановить в течении недели. Если файл прожил неделю, то я его могу восстановить в течении месяца. Если файл прожил месяц, то я могу его восстановить в течении года. Помимо этого архивы за месяц (дедушки) переписываются на отдельные носители и вывозятся с предприятия в другое место. Ну это на случай серьезных катастроф : ))

[Qazder]

Интересная система!
Только я не совсем понял.
Когда создается каждый носитель? Сын - раз в день, отец - раз в неделю..?
В определенный носитель попадают только файлы соответствующие его назначению?

[And]

Я бы сказал интересная общепринятая система. У каждого носителя есть время жизни, оно и есть поколение. Т.е. есть носитель и не важно как он выглядит, касета с лентой, компакт диск или файл. Вы его постоянно перезаписываете и теперь возникает вопрос о ратации носителей. Т.е. необходимо определиться с поколением. Сколько на каждом носителе и какая информация будет жить. Есть носитель с поколением дедушка. Для него мы определяем срок жизни год. Значит через год мы его перезапишем. Т.е. если мы в носитель Home_folder_февраль записали все данные за февраль 2006 года то перезапишется он только в феврале 2007 - го года. Таким образом год в нем хранятся данные с актуальностью на 28 февраля 2006-го года. Так же и с сыном. В понедельник записали, в следующий перезаписали - хранится неделю. С папой немного сложнее. У меня папа раз в неделю по пятницам вечером. Сооответвтсенно его надо хранить месяц, и после этого перезаписывать. У меня для этого заведено 5 пап, которые спустя месяц +- 3-4 дня перезаписываются. Вот такая система. Причем проверянно на практике работает нормально. Если пользователь создает документ днем, а ближе к вечеру его удаляет, то не особо он ему и нужен был. А если документ живет несколько дней, а потом его удаляют, то есть вариант, что он понадобится в последующем времени. Но тоже редко. Хотя в течении недели ты его можешь восстановить. А если документ живет неделю, а чаще месяц, то это другая песня. Есть вариант, что про него вспомнят и через пол года. Вот тогда........... тогда мы в течении минуты достаем нужный носитель, восстанавливаем документ и получаем счастливовго пользователя : ))

[Qazder]

То есть получается у вас 5 сыновей, 5 пап и 12 дедушек?
Раз в неделю переписываются сыновья, раз в месяц папы и раз год дедушки.
А может быть лучше стоит сделать так, чтобы вообще любой файл, проживший до ближайшего сохранения (носитель сын), можно было восстановить таким образом: каждый день сохраняются файлы в носитель сын, всего сыновей 5 штук; раз в неделю эти файлы объединяются в носитель папа, носителей папа тоже 5 штук, папы объединяются раз месяц в носитель дедушка.
Естественно, такая схема повлияет на объемы резервных файлов.

[And]

Сыновей 6 штук: Понедельник, вторник, среда, четверг, суббота, воскресенье. В сыновьях хранятся разностные копии, т.е. те файлы которые были изменены с момента последней полной резервной копии. Объединить не удастся. Все делаю встроенным ПО ntbackup

[Qazder]

А альтернативное ПО не рассматривали?

[mirniy]

[Qazder]

[mirniy]

[grf]

Возвращаясь к основной теме топика, если рассмотреть такой путь:
1. Переименовываешь ntuser.dat в ntuser.man, тем самым запрещая пользователю менять все в его профиле. Таким образом проблему с доступом мы решили, осталась проблема с сохранением файлов в моих документах, ибо при таком профиле там ничего сохраняться не будет, поэтому:
2. Пишешь скрипт, который при логоне-логоффе переписывает содержимое папки мои документы в стороннюю папку, которая и будет истинным хранилищем инфы. Т. е. при логоне юзверя ему создается девственно чистый профиль созданный нами (ntuser.man), а затем в папку мои документы переписываются все файлы (ярлыки) из папки, например, \\сервер\юзвер\иванов
Пусть юзверь делает со своим профилем что хочет, при логоффе содержимое папки мои документы перебрасываются на \\сервер\юзвер\иванов , а все изменения профиля аннулируются.

Минусы такого подхода как минимум:
1. В течении сеанса пользователь имеет доступ к своему профилю и может там все менять, хотя после логоффа изменения аннулируются, но для тебя это может оказаться критичным. Конкретно твою проблему мы не знаем.
2. Большая нагрузка на сеть, т. к. каждый раз копируются полное содержимое папки мои документы. Тут возможно варианты по ситуации, либо хранить локально, не на сервере, либо копировать не сами документы, а ярлыки на них и т.п.

Я бы, это не вписывается в твои условия, но может окажется полезным, подключал домашнюю папку, где и сказал бы пользователю хранить все документы, а профиль сделал бы не изменяемым, может быть на всякий случай организовал при логоффе копирование содержимого мои документы в домашнюю папку, для особо упертых пользователей.

[And]

Зачем изобретать велосипед? Я по поводу копирования папки Мои документы на сервер, когда уже есть решение и имя ему перенаправление папки.

[grf]

Это все правильно, но мы договорились, что профиль у пользователя не изменяемый (ntuser.man а не .dat), а соответственно, все документы, которые он оставит в моих документах (перенаправленно или нет) потеряются.

Или я не прав?

[And]

Не прав. В файле ntuser.man или ntuser.dat хранится кусок реестра пользователя. Т.е. настройки программ, рабочего стола ну и куча всего. Никаких ограничений на файловую систему там не хранится. Поэтому у пользователя есть возможность писать в свою папку все что угодно. Вообще так резать пользователя не совсем правильно. Ведь каждый хочет настроить рабочее место под себя, а тут получается сегодня настроил почту, завтра зашел по новой, а она не работает : ))

[Qazder]

Пока я решил остановиться на следующем варианте. На системный диск пользователю назначаются права только для чтения, кроме папки Documents and Settings. На эту папку остаётся полный доступ для того, чтобы и на пользовательский профиль распространялся полный доступ, и другие пользователи могли в случае необходимости зайти, создать свой профиль и поработать на компьютере. Мои документы и рабочий стол перенаправляются на сервер, а через GPO отключается системный диск из проводника (как правило это диск С) для того, чтобы у пользователя не было соблазна работать с другими папками.
Для пользователей, не имеющих своего компьютера и "прыгающих" с одного на другой, создается перемещаемый профиль и домашняя папка, на которой "прыгун" хранит всю информацию. Использовать Мои документы для хранения файлов не выгодно, так как весь профиль копируется с сервера на компьютер, и это увеличивает время входа в систему.

[mirniy]

[Qazder]

Не знал, спасибо за совет.
То есть получается, что Мои документы работает по принципу домашней папки?

[mirniy]

[And]

Это при первом входе, когда папка копируется на сервер. Потом легче будет.