» Как можно организовать структурирование домена по отделам

Timon_Crazy

Цитата:

чтото мы от темы вообще ушли.

А по моему нет. Большое количество решений по конфигурации сети принимается исходя именно из таких отвлеченных тем!

> проблема еще наверное с траффиком между клиентамти и файл
> - сервером, прикиньте что например 100 юзеров дружно начнут
> работать например с вордовскими документами из разных папок?
> Как это все будет выглядеть?
Насчет траффика можешь особо не беспокоиться. Если у тебя 100 мегабитная сетка, то оффисные приложения траффик создадут минимальный.

По факту - файл сервером пользуются порядка 400 пользователей, +около 30 работают с файловыми базами данных. Мониторил загрузку портов - средняя загрузка была меньше 10 процентов (100 мегабитная сеть). Бывают и пики, но они достаточно быстро рассасываются.
Вот если у тебя одновременно сотня человек начнет качать фильмы с сервера - это будет хорошо заметно ;o)

> Минус этой системы в том, что не все юзеры грамотные и размещают свои
> конфидециальные документы не строго в своих папках,
> а например в общих отдела или всей конторы, бороться уже не знаю как...
Персональная папка, куда имеет доступ ТОЛЬКО сам пользователь, прописывается скриптом. По умолчанию все ворды-эксели будут ходить именно в эту папку. Папка фирмы-отдела и т.п. общие папки располагаются отдельно.

Что касается неграмотных пользователей - ответственность за правильное размещение конфиденциальных документов должен нести сам пользователь. Ответственность же администратора - обеспечить, чтобы ко всем папкам был только тот доступ, который должен быть. К примеру, подключенный диск P: - персональная папка, в которую доступ имеет только сам пользователь. Диск S: - Папка фирмы (или отделов) с отделами (или группами).

AlexSSS

Цитата:

Что касается неграмотных пользователей - ответственность за правильное размещение конфиденциальных документов должен нести сам пользователь. Ответственность же администратора - обеспечить, чтобы ко всем папкам был только тот доступ, который должен быть

Согласен на 100%!!!

Timon_Crazy
система документооборота?
это не совсем то, что нужно, т.к. в основном они радом идут, т.е. например мне надо в основном, чтобы у человека был свой рессурс, где он работает с документами важными по сохранности данных и общими документами доступными для его отдела или для всей организации, а документооборот скорее всего хождение документов от одного к другому...

З.Ы, нюанс еще есть в том, что пользователи перемещающиеся по машинам, а вот ярлыка (ссылки) уже ведь прописаны...

vworld

не всовсем верно!

используя термин докуменооборотя имел в виду систему для кллективной рабоыт с документами и т.п.

у нас такое реализованно через веб интерефейс (базы, документы)
в итоге не важно с какой машины зашел человек.

тебе нужно обращатся к документам лежащими на определенной машине, или к документам лежаищими у определенного юзера?
если к машине то сосздаеш логин скрипт на подклюечение сетевого диска дял конкретного юзера, а уже на диске храниш линки))

ЗЫ
решение конечно не удобное, но первое что пришлов голову

vworld
самое просто решение для твоего случая (у нас применяется для части пользователей)

создаешь на сервере папку Personal, в ней создаешь папки для всех пользователей с их username с полным доступом только для них, остальным - ничего.В логон скрипт прописываешь
net use p: \\server\personal
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders= P:\username

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders= P:\username

и все. На каком бы компе не зашел пользователь, у него автоматически пропишется его собственная персональная папка. Все офисные программы (и вообще большинство виндусовых) по умолчанию будут сразу открывать и писать именно в его персональную напку

если у тебя все компы windows xp, то можно вообще
net use p: \\server\personal\username

AlexSSS
пасибо!

твой пост решил мне многие пробелмы.
а можно такимже макором переназначить пользователю папку мои документы?

Timon_Crazy
> а можно такимже макором переназначить
> пользователю папку мои документы?
описанные ключи в реестре как раз и хранят путь к папке "мои документы" ("my documents")
или ты о чем-то другом?

вообще с помощью скриптов можно настроить практически любые пользовательские настройки. Тот же скрипт, который у меня настраивает персональную папку (my documents), к примеру, настраивает и пути к шаблонам оффиса, личным и общим.

PS. подключение диска и запись значения в реестр приведено схематично. Конкретный код скрипта зависит от применяемого скриптового языка. Я сам применяю KIX, он не очень распространенный, поэтому приводить мой код нет особого смысла.

PPS. На этом форуме есть и большая ветка по скриптам, где, для начала, можно понять для чего вообще можно использовать скрипты. А потом и разобраться, как конкретно решить конкретную задачу.
http://forum.ru-board.com/topic.cgi?forum=8&topic=1908&start=0#lt

Доменная структура предполагает иерархию. Т.е. firma.com - вся контора, it.firma.com
- админы и т.д. Иначе никак. В этом и есть вся идеология AD. И в общем - то я думаю правильня.

XXXLLL
согласен.
тут ыт прав.

но есть проблема и надо ее решение.
а городить для каждого отдела домен..увы...и так их уже 2-а в головном офисе на 30 машин на этаже..

XXXLLL

Цитата:

Т.е. firma.com - вся контора, it.firma.com - админы и т.д.

При этом, каждый поддомен - отдельный контроллер. Если у Вашей конторы много средств, то ... вперед.

так на чем же все таки остановимся?
На организации поддоменов или на прописывание скриптов - ссылок на документы на сервере?
AlexSSS
Кстати ты опимал случай про личную папку, а например про папку отдела, папку всей организации....там тогда как делать?
И кака вообще мне бороться с тем, что юзер просто может конфидециальный документ бросить на всеообщее обозрение?

vworld

Цитата:

И кака вообще мне бороться с тем, что юзер просто может конфидециальный документ бросить на всеообщее обозрение?

Это не проблема администратора, тебе уже это объясняли, это проблема того юзера и руководства Вашего предприятия.
Администратор должен сделать так, чтобы конфиденциальная информация хранилась в папке пользователя и никто, кроме самого пользователя, не имел бы к ней доступа. Если он, пользователь, выставляет эту информацию на всеобщее обозрение - значит он так считает нужным и он, пользователь, отвечает за это. Если в Вашей конторе конфиденциальность параноидальная, можно зашифровать папки пользователей и тогда только САМ пользователь сможет прочитать данную информацию. Даже админ будет видеть только файлы, но не информацию в них.

Добавлено

Цитата:

так на чем же все таки остановимся?

Это решается в каждом конкретном случае сугубо индивидуально!

psj
у нас как раз тот случай.
все шифруется с помощью PGP + система докуменоборота.
с недавних пор.

у некоторых юзеров есть расшаренные папки, вида: Импорт, Ехпорт но что там хранит юзер его дело.

тут техническими вещами не решиш, администативные меры и все.


vworld
по примеру. на папку отдела.
или сетевые диски в логин скрипт.

vworld
> так на чем же все таки остановимся?
Это решается в конкретных случаях индивидуально в зависимости от конкретных условий и требований

> Кстати ты опимал случай про личную папку, а например про папку отдела,
> папку всей организации....там тогда как делать?
Опять же, это реализуется в зависимости от конкретных задач и особенностей работы фирмы или службы. Чуть позже брошу несколько примеров организации хранения документов на сервере

> И кака вообще мне бороться с тем,
> что юзер просто может конфидециальный
> документ бросить на всеообщее обозрение?
я уже писал - это ответственность самого пользователя, где хранить какие документы. Ровно как и неразбрасывание бумажных копий конфиденциальных документов в туалетах и других местах общественного пользования ;o)
Единственное, надо, чтобы в фирме были обязательно правила работы с компьютерами и инфосетью в общем, где четко прописаны, за что отвечает служба IT (администраторы), а за что отвечают пользователи. + что можно, а что нельзя делать на рабочий компьютерах. Например, запрещается самостоятельно устанавливать любой софт или лазить по порно сайтам. И очень желательно, чтобы эти правила пользователь подписывал при выдаче ему учетной записи и первоначальном инструктаже.

как пример, выписка из наших правил, которые как раз касаются затронутой темы. Подобные правила тоже пишуться под конкретные условия конкретной фирмы. В интернете можно найти довольно много примеров таких правил, я когда-то видел даже целый сайт, посвященный именно этому, но адреса, увы, не помню

3. Обязанности пользователя
3.1. Пользователь обязан , для обеспечения безопасности информационной системы, выполнять следующее:
· Сохранять тайну паролей (не передавать свои пароли и не использовать пароли, принадлежащие другим пользователям),
· Не допускать или позволять посторонним лицам пользоваться своими правами пользователя;
· Исключить утечку информации своих данных посторонним лицам;
· Сообщать работникам службы ИТ о всех инцидентах, связанных с безопасностью информационной системы.

5. Обязанности администраторов информационной системы
5.1. Прямой обязанностью администраторов является обеспечение безопасности и устойчивой работы информационной системы, а также доступности услуг для пользователей
5.2. Администраторы должны довести до пользователей инструкции пользования информационной системой.
5.3. Администраторы обязаны заблаговременно информировать пользователей об изменениях в информационной системе, а также информировать пользователей о событиях, влияющих на приватность пользователей.
5.4. Администраторы обязаны регулярно производить резервное копирование файлов и баз данных, хранящихся на серверах.

AlexSSS
стандартные требования.

но все таки аддминистартор ОБЯЗАН затруднить разглашение конфедициальных сведений. в силу своих обязонстей. и предоставить пользователю возможно хранить приватную информацию в тайне. но это уже именно административные меры.

а техническое решение:
логон скрипты + реестр + сетевые шары

Как организовать хранение документов на сервере зависит от нужд и специфики конкретных фирм или служб

приведу пару действующих примеров

1.
на сервере организовывается папка Personal, в которой создаются подпапки с именем пользователя, куда имеет доступ только этот пользователь. Скриптами или иным образом эта папка прописывается как персональная (My documents)
Для фирм создается папка Firms, в которой есть папка _Public и папки отделов.
В папку Public имеют полный доступ все сотрудники фирмы, в папку отделов имеют полный доступ только сотрудники отделов, а остальные либо только на чтение (напр. директор), либо вообще не имеют

В этом случае скриптами на компе мапятся два ресурса, напр. один P:-персональные папки, второй F:- папки фирмы
Персональная папка прописывается как P:\%username%

2.
Для фирм создается папка Firms, в которой есть папка _Public и папки отделов.
В папку Public имеют полный доступ все сотрудники фирмы.
В папке отделов есть _Public для работников отдела + персональная папка каждого работника, куда имеет полный доступ только он. Остальные работники отдела- чтение. Другие отделы - чтение или вообще ничего.
Для конфиденциальных документов, которые должен видеть только их автор, создается либо отдельный ресурс Personal (как в первом примере), либо в папке работника создается папка Private, куда имеет доступ только он один.

Скриптами мапится либо P:-персональные папки, второй F:- папки фирмы (как в первом случае), либо просто F: (если используется папка Private). Недостатком этого способа является то, что прописывание персональной папки скриптами надо делать для каждого конкретного пользователя, напр. F:\managers\ivanov. Однако такой способ имеет и свои плюсы в конкретных случаях.


Иногда требуется хранить документы не в папках пользователя, а, напр., по проектам (заказам). Как вариант - в папке фирмы или конкретного отдела (напр, технологов) создается папка Projects, в которой создаются папки project1, project2 и т.п. Расстановка прав - опять же, по конкретной специфике.

Есть еще очень полезная штука в виндах, о которой некоторые не задумываются. Учетная запись Creator Owner. Пример использования -
Предположим, что требуется, чтобы все документы лежали по папкам проектов в одном месте. Но полный доступ к папке конкретного проекта имеет только руководитель проекта, остальные только чтение. Решение очень просто - на папку проектов ставится следующий доступ - всем чтение, и возможность создать папку в this folder only. Для Creator Owner ставится полный доступ для папки, подпапок и файлов. В результате - руководитель проекта создает папку и автоматически полный доступ к ней будет иметь только он. Остальные - чтение.
Таким же образом можно легко сделать, чтобы персональные папки на сервере создавались при первом входе пользователя, причем полный доступ к ней будет иметь только он, остальные - ничего.

PS. Само собой, что кроме организации персональных папок и папок фирм, на сервере возможно организовать и другие зашаренные ресурсы, напр. для конкретных програм, межфирмового или межпользовательского отмена и т.д.

AlexSSS
Спасибо за подробный - развернутый ответ, а главное содержательный...
буду внедрять в жизнь, только вот с серверами разберусь...

В таком случае придётся мутить кучу рабочих групп без домена.

Может я не увидел чей-то ответ, но по-моему логично дать доступ на чтение и листинг для папок фирмы и своего отдела для каждого юзера, но не давать писАть туда (на уровне NTFS). А вот для своей папки пусть получает полный доступ.
В итоге он просто не сможет записать что-то не в своей папке, но сможет пройти весь путь
(только к своей папке).

Еще я пришел к выводу, что удобно дать полный доступ к шаре (на уровне Sharing), а все права прописывать только на уровне NTFS. Это намного более гибко и менее глючно. ИМХО.

P.S. У меня так был настроен структурированный бекап.

Acidag

Цитата:

Еще я пришел к выводу, что удобно дать полный доступ к шаре (на уровне Sharing), а все права прописывать только на уровне NTFS. Это намного более гибко и менее глючно. ИМХО.

Все зависит от задачи которую Вы собираетесь решать. Иногда это хорошо, иногда не помогает. Как вариант вполне рабочее решение.

Добавлено
На одном из серверов, работающих под Win2003, у меня есть структура похожая на ту, что предложил уважаемый AlexSSS в первом варианте.

psj

Цитата:

Иногда это хорошо, иногда не помогает

Я так понимаю, что управление доступом к шарам нужен для тех систем, в которых нет NTFS. Если NTFS в наличии, то его и нужно использовать, возможности намного шире. Это мое мнение и практика. И не знаю, что тут может не работать

А вообще, главная мысль состоит в том, чтоб не дать записывть во внешние папки, а только в свою для каждого, это ж просто как ампельсин

Acidag
Про запись в папки уже всем понятно....и вообще обсуждался вопрос о том как оптимально организовать работу юзера в сети... я пришел к мнению про папки, но вот например есть ведь еще у микрософта Шарпоинт портал сервер....им возможно ведь и так же почти организовать?
И еще мы не вспоминали про Samba может там что есть хорошего, что организовать оптимально бы получилось?

vworld

Цитата:

И еще мы не вспоминали про Samba

Почему не вспоминали? В этом же посте, где-то выше я писал, что с Samba-ой мне нравится работать гораздо больше! Для меня там удобней. Но я не все могу перевести на Samba.

Выражаю благодарность AlexSSS за полный и исчерпывающий ответ !!!
Итог можно сформултровать так:
1)Рабочих груп нет - все входят в домен.
2)Сетевого окружения нет (даже можно убрать ярлык с рабочего стола пользователя).
3)Есть 3 сететевых диска:
а)диск общего каталога фирмы для возможности попасть в папки общего доступа других отделов для чтения;
б) диск общего каталога отдела с полным доступом;
в) диск личной папки с полным доступом для себя и для чтения тем, кому разрешит сам пользователь. Прописывать личную сетевую папку как папку по умолчанию в реестре я все-таки б не стал. Считаю что основное количество данных, в т.ч. конфидициальных длжны храниться локально.

Вопрос в том, как пользователь сможет попасть на сам сервер контролер домена, если не будет сетевого окружения. Нужны ли публикавать все эти папки как Shared в AD или достаточно указать доступ к ресурсу во вкладке Security (вообще-то в чем различие между вкладками "Shared" и "Security"?).

Присоединяюсь к вопросу от reyst.
Еще от себя вопрос....как автоматизировать работу админа например создаем новую учетку в АД, и хотелось бы, чтобы для нового юзера при входе в домен все и создавалось, т.е. как мы уже обсуждали - 3 папки (личная, группы, конторы), причем не просто на файл-сервере, но и у юзера тоже они сразу подключались....и конечно же шаринг чтобы был такой какой оговаривали?

vworld
Я так думаю, что полностью автоматизировать работу на Win не удасться. Во всяком случае папки с соответствующими правами, если их нет, заводить придёться вручную. Так проще. Ну а дальше логон-скрипты. Определяешь в какой группе находится пользователь и в зависимости от группы подключаешь соответствующие диски. Проблема будет только у тех пользователей, которые по долгу службы должны пользоваться информацией в нескольких отделах.

> Вопрос в том, как пользователь сможет попасть на сам сервер контролер домена,
> если не будет сетевого окружения.
да сможет. Сетевое окружение отвечает только за показ списка компьютеров в группах и доменах. Даже если его нет, пользователь реально все равно может увидеть зашаренные ресурсы на любом сервере или компьютере, напр по UNC - \\Server1

> Нужны ли публикавать все эти папки как Shared в AD
Shared - да, надо. Доступ может быть организован только к зашаренным ресурсам. Если это папка, то доступ будет и ко всем подпапкам

> или достаточно указать доступ к ресурсу во вкладке Security
Security - это раздача прав на уровне NTFS

> (вообще-то в чем различие между вкладками "Shared" и "Security"?).
Первая отвечает за доступ к ресурсу вообще, а второй можно максимально гибко раздавать конкретные права

> например создаем новую учетку в АД, и хотелось бы, чтобы для нового юзера при
> входе в домен все и создавалось, т.е. как мы уже обсуждали - 3 папки (личная, группы,
> конторы), причем не просто на файл-сервере, но и у юзера тоже они сразу
> подключались....и конечно же шаринг чтобы был такой какой оговаривали?
Да, это возможно при помощи логонных скриптов. Более того, можно написать скрипты так, чтобы на какой компьютер пользователь не сел, после входа в систему у него подключались все его ресурсы.
Единственное, что мне не удалось нормально организовать, это чтобы автоматом при этом настроились учетные записи для почты (используются Outlook Express и Outlook без Exchange)

> Проблема будет только у тех пользователей, которые по долгу службы
> должны пользоваться информацией в нескольких отделах.
В этом нет никаких проблем. Если есть один зашаренный ресурс. а в нем папки отделов, то проблемы нет вообще. Если на каждый отдел выделен отдельный шаринт, то, как вариант, это решается так
1. Прописываешь на пользователе все необходимые группы, чтобы он имел доступ к ресурсам нужных отделов.
2. В персональную папку бросаешь ему shortcuts с UNC на все необходимые ресурсы

AlexSSS

Цитата:

2. В персональную папку бросаешь ему shortcuts с UNC на все необходимые ресурсы

Да это работает, во всяком случае у меня , НО при переходе по UNC-пути в проводнике открывается полный путь в сетевом окружении. А т.к. у меня на файловом сервере очень много расшаренных папок, то очень неудобно в чисто визуальном виде. Весь экран забит папочками и у пользователя огромное желание во все попытаться залезть.
Я эту проблему буду решать следующим образом. Под общие папки подразделений будет резервироваться группа сетевых дисков, у меня 4 - (от K до N), и в зависимости от групп подразделений, к которым подключен пользователь, у него может быть от 1 до 4 сетевых дисков групп, которые соответствующим образом переименовываются. Общая группа предпрития (диск O) и личная папка (диск I) на стандартных дисках у всех. Ну и соответственно нет NetBIOS-а. Т.е. без точного знания имени сервера-станции через сетевое окружение попасть на нее стало сложнее.

AlexSSS

Цитата:

Да, это возможно при помощи логонных скриптов. Более того, можно написать скрипты так, чтобы на какой компьютер пользователь не сел, после входа в систему у него подключались все его ресурсы.
Единственное, что мне не удалось нормально организовать, это чтобы автоматом при этом настроились учетные записи для почты (используются Outlook Express и Outlook без Exchange)

Можно пример тогда такого скрипта?
И еще вопрос про GPO, точнее я нисколько не использую эту фичу насколько она удобна? я ее потрогал только для IE, его настройки на дефолтную таблицу