Сообщений в теме: 360

[Кербонавт]

NTFS security

There are 13 basic permissions which are rolled up into six permission groups. These apply

only to the NTFS file system, not FAT nor FAT32. The six permission groups are:

Full Control Allow all 13 basic permissions

14 Migrating Windows servers to Samba

 

Modify Allow all permissions except Delete subfolders and files, Change

permission, and Take ownership

 

Read Allow List folder/Read data, Read attributes, Read extended

attributes and Read permissions

 

Write Allow Create files/Append data, Write attributes, Write extended

attributes, Delete subfolders and files, and Read Permissions

 

Read and execute Allow all that the Read permission group allows plus Traverse

Folder/Execute File

 

List folder contents This is for folders only, not files. It is the same as Read and Execute for

files

 

The 13 basic permissions are the following; some of them differ depending on whether they

apply to folders or files:

Traverse folders (for folders only)/Execute file (for files only)

List folder/Read data

Read attributes

Read extended attributes

Create files/Append data

Write attributes

Write extended attributes

Delete subfolders and files

Delete

Read permissions

Change permissions

Take ownership

[borec_za_istinu]

И? К чему эта справка? Полный доступ предполагает разрешение всех действий, однако ни одно действие выполнить невозможно, так как доступ заблокирован, хотя через членство в группах доступ разрешён.

[Кербонавт]

Cправка для полезности.

1. Проверить ntfs разрешения на диск

2. Проверить проверить share разрешения на папки/диски

3. Проверить, не запрещено ли в GPO доступ к диску/папкам

4. Выставить правильные разрешения.

 

Вопрос: служба File$Print services стоит на сервере? Если нет - поставьте, управлять доступам к папкам будет много легче. И не давайте папкам имена с пробелами

[borec_za_istinu]

1 Вот тут как раз и вылезает указанная мной несуразность с членством и доступом

2 Проверено

3 Подчистил проблемы с NTLM, точнее с правильностью выставленных разрешений, в остальном никаких политик пока не назначалось, что подтверждает и gpresult

4 Не понятно. 1 и 2 это и так подразумевают.

 

На серверах установлена роль файлового сервера (для работы с DFS, которая будет настроена в позже). Служба диспетчера печати (если я правильно понял подразумеваемое) установлен на одном из серверов по причине необходимости подключения удалённых принтеров. На втором - без надобности.

 

В общем, на данный момент, добавив группу admins в разрешения на диск напрямую, доступ к папке имеем, в том числе и по сети, с обоих серверов на windows server 2008. Доступ с клиентов на WinXP, членов домена - есть, не членов домена - нету. В принципе, не критично - всё равно всех в домен вгоню. Так что проблема, можно сказать, решена, хотя первоначальный вопрос так и остался - членство в доменной группе Администраторы не даёт прав на доступ к диску. Для других учётных записей, с ограниченными правами, доступ так же отсутствует. Пришлось опять ставить костыль в виде предоставления разрешения на траверс папок для других групп, которые будут пользоваться общими ресурсами этого диска

Сообщение отредактировал borec_za_istinu: 28.08.2014, 18:49:24

[Тимур А.]

Добрый день! Хочу поднять контроллер домена на 2008 сервере. Встает такой вопрос, у нас есть 10 отделов. Как мне разделить по ip - адресам каждый отдел, чтобы они видели все сервер а друг друга не видели.

[borec_za_istinu]

Сначала настройте выдачу адресов DHCP-сервером, чтобы каждому компьютеру в каждом отделе автоматически выдавался IP из числа назначенных его отделу (по MAC-адресу ПК). Разделяйте на OU по отделам, настраивайте политики безопасности для брандмауэров, в которых для компьютеров каждого OU прописывайте запрет на трафик по портам UDP - 137, 138, TCP - 139 на IP, не входящие в его отдел (из числа IP вашей подсетки).

Сообщение отредактировал borec_za_istinu: 08.09.2014, 12:21:44

[Кербонавт]

Сначала настройте выдачу адресов DHCP-сервером, чтобы каждому компьютеру в каждом отделе автоматически выдавался IP из числа назначенных его отделу (по MAC-адресу ПК). Разделяйте на OU по отделам, настраивайте политики безопасности для брандмауэров, в которых для компьютеров каждого OU прописывайте запрет на трафик по портам UDP - 137, 138, TCP - 139 на IP, не входящие в его отдел (из числа IP вашей подсетки).

 

Это ж сколько нужно ручками маков прописывать для 10 отделов. ))

Разделяйте на оu - политики безопасности. 

А проще всего - сеть разбить на влан. 

[borec_za_istinu]

А в политиках вы что прописывать рекомендуете?

[Кербонавт]

GPO для компьютеров. в политиках для ou прописать правила для firewall. 

а вообще - опять же, все гениальное просто - виланы самый простой выход.

[Тимур А.]

У меня без dhcp. можно ли на каждый отдел назначит разные ip адреса а на сервере прописать ip отделов? 

[Кербонавт]

Давайте по порядку:

1. сколько отделов

2. домен есть или нет

3. сколько машин

4. что в качестве сетевого оборудования стоит (управляемые, неуправляемые)

5. что в качестве маршуртизатора

6. какой канал интернет (как подается - адсл, езернет)

7. есть ли статика в интернет (белый ип) 

[borec_za_istinu]

Можно ещё попробовать поприменять предпочтения групповых политик - правда, на 2008-м их отображение ещё включить нужно. Предпочтения основывать на именах ПК (вроде бы это возможно). В общем, сначала нужно решить, какой способ однозначного отождествления вы можете применить к компьютерам каждого отдела. DHCP было бы проще всего. Да, работы много, но зато всё будет однозначно и систематизировано.

[Тимур А.]

Давайте по порядку:

1. сколько отделов

2. домен есть или нет

3. сколько машин

4. что в качестве сетевого оборудования стоит (управляемые, неуправляемые)

5. что в качестве маршуртизатора

6. какой канал интернет (как подается - адсл, езернет)

7. есть ли статика в интернет (белый ип) 

 

Можно ещё попробовать поприменять предпочтения групповых политик - правда, на 2008-м их отображение ещё включить нужно. Предпочтения основывать на именах ПК (вроде бы это возможно). В общем, сначала нужно решить, какой способ однозначного отождествления вы можете применить к компьютерам каждого отдела. DHCP было бы проще всего. Да, работы много, но зато всё будет однозначно и систематизировано.

Без интернета для примера.

Есть 10 отделов. У каждого свой кабинет в каждом кабинете стоит свичь от них все идет в серверную там стоит еще один свичь. Обычная топология звезда . В серверной стоит контроллер домена 2008.

Я хотел бы так чтобы все отделы видели контроллер домена и были в домене, а друг друга не видели.

[Кербонавт]

c помощью GPO выключаете на всех машинах порты, указанные выше (на файрволе). И вуаля. Никто никого не видит - видять только шары на серваке. 

Вот статья для ознакомления 

[Тимур А.]

c помощью GPO выключаете на всех машинах порты, указанные выше (на файрволе). И вуаля. Никто никого не видит - видять только шары на серваке. 

Вот статья для ознакомления 

спасибо. а по айпи адресам разделить нельзя? например 192.168.1.4 первый 192.168.2.4 ....192.168.10.4

[Кербонавт]

можно. вручную. если времени не жалко. 

[Тимур А.]

можно. вручную. если времени не жалко. 

а можно по подробнее как это сделать? на сервере зоны днс нужно прописывать?

[Кербонавт]

1. на сервере - для сетевой карты назначаете адреса, какие хотите для сетки прописать.

например - 

а). 192.168.1.1 (условно - не знаю какой адрес у сервера)

б). 192.168.2.1 

в). 192.168.3.1

 

2. на компьютере ручками пишите 

192.168.1.2/255.255.255.0/192.168.1.1 (адрес\маска\шлюз)

192.168.2.2/255.255.255.0/192.168.2.1 

192.168.3.2/255.255.255.0/192.168.3.1

 

cоответственно для каждой "подсетки". 

 

Это будет работать если нет в сети управляемых коммутаторов. Если же есть - ответ был выше - вилан.

Правда, делать так с моей точки зрения - это уродство - и красивей было бы сделать так, как писали выше (групповые политики для оu). 

[Тимур А.]

спасибо, буду разбираться.

[Кербонавт]

как успехи?