» Как можно организовать структурирование домена по отделам

По поводу скриптов:
Можно ли одной группе OU назначить один Logon script сразу или нужно для каждого пользователя, входящего в эту группу указывать этот скрипт в соих настройках?
И второе, как назначить ограничение на размер личной папки пользователя, ведь так никакого винчестера не хватит?

Цитата:

Можно ли одной группе OU назначить один Logon script

так OU или группе ?
если все клиенты у тебя в OU под Win2000 и выше, то можно.
если ты хочешь, чтобы не все клиенты из OU получали этот скрипт, а только входящие в определенную группу безопасности, выставь права доступа к этому GPO. Удали группу аутентифицированных пользователей и добавь нужную с правами read и apply group policy.

Цитата:

как назначить ограничение на размер личной папки пользователя

например квотами.

именно к OU - как это сделать, где это указать - был бы рад примеру
квоты, наскольо я знаю устанавливаются только на диски, а на папки как назначить?

Вообще немного не по теме и все же, я не раз этот вопрос обсуждал, но так и получил ответ. У меня установлен Windows 2000 Sp4. Где устанавливается GPO для OU? В свойствах OU (правая кнопка мыши) у меня этой вкладки нет, есть только Security для прав доступа и все...

Цитата:

В свойствах OU

ты уверен, что это OU ? как называется? сам создавал ?

vworld
Можно пример тогда такого скрипта?
боюсь мои скрипты будут достаточно бесполезны - они почти все на KIX ;o)

но тут нет ничего сложного
1. скрипт мапит все необходимые ресурсы
2. прописывает все требуемые пути в реестр, напр персональную папку (my documents), общие и персональные офисные шаблоны

уже этого достаточно, чтобы у пользователя после входа на любой компьюетер оказались подключены все требуемые диски и настроены нужные папки.

> еще вопрос про GPO, насколько она удобна?
политики ОЧЕНЬ удобны для очень многих вещей ;o)

Добавлено:
> квоты, наскольо я знаю устанавливаются только на диски, а на папки как назначить?
точнее, квоты уставливаются на разделы.
Как вариант, можно размещать личные папки и папки фирмы на разных партишенах, что даст возможность задавать разные квоты

C OU - я протупил капитально ....

нужно задать квоту имеено на папку пользователя, чтобі каждій пользователь имел папку не более 10 Gb скажем. Огранимчение на раздел не годится, один полльзователь будет иметь 19 Gb, а второй 1 Gb. Такое решение, вочевидь должно біть предусмотренно ...

reyst
>один полльзователь будет иметь 19 Gb, а второй 1 Gb.
ты не прав
Квота на разделе ставится на КАЖДОГО пользователя.
ставишь по умолчанию квоту, напр, 500 мег и предупреждение на 450 мег + невозможность писать на раздел с превышением квоты. Как только пользователь заполняет СВОИ 500 мег, сервер начинает его посылать подальше. А там сам смотришь, либо увеличиваешь квоту конкретному пользователю, либо говоришь, чтобы он у себя все подчистил

Заполнение квоты считается по сумме размеров файлов, владельцем которых является пользователь. Опять же, как вариант. У человека есть личная папка и папка с общими проектами, куда он может сбрасывать файлы. Ставишь квоту 500 мег и периодически заходишь в папку проектов и захватываешь файлы под владение админа. Тем самым освобождая пользователя от непосильного груза файлов общих проектов ;o)

где-то на последних страничках я давал ссылку на утилитку из ресурс кита, которая позволяет менять владельца файла на произвольного

> чтобі каждій пользователь имел папку не более 10 Gb
и чем это вы у себя занимаетесь??? ;o)

о это уже ближе
тобишь, я так понял каждому пользователю персонально можно задать квоту или всем поровну?
мне также непонятно, как считается что это именно мои файлы занимают скажем 500 Мб. Если я не являюсь их создателем, а лишь скопировал с соседней сетевой папки, то тогда как. Этот механизм я смутно представляю...

Да, каждому пользователю можно задать персональную квоту. Одному можно дать 0 килобайт, а другому unlimited.
Квоты устнавливаются на раздел (partition), если раздел отформатирован в NTFS. Для этого в эксплорере выбери диск-->properties-->quota
включи Enable quota managament и Deny disk space to users exceeding quota limit

далее установи размер квоты по умолчанию и размер, когда срабатывает предупреждение
заходишь в Quota Entries и там можешь посмотреть какие квоты установлены и сколько места уже использовано каждым пользователем. Тут же можно каждому пользователю назначить персональный размер квоты

Если скомандуешь delete для записи пользователя, то операционка выведет тебе диалог со всеми файлами пользователя. С ними можно что-то сделать, либо просто выйти из этого диалога без каких либо последствий

> Если я не являюсь их создателем,
>а лишь скопировал с соседней сетевой папки
в этом случае для NTFS создателем и владельцем (owner) нового файла являешься ты ;o)

По поводу структурирования домена, секурити и прочих вещей. Есть ведь еще один замечательный способ это сделать ( и кcтати используется повсеместно). А именно VLAN. При правильной топологии сети и нормальном оборудовании все будет управлятся с компьютера администратора и никто не увидит соседа. если этого не захочет админ....

NetBios никак не завязан на домен. И netbios всё равно есть у тебя домен или нет, и чего ты в домене сделал. Поэтому вопрос немного ставить надо подругому, как организовать NEtbios чтобы каждый видел, свой отдел. На сегодня, на сколько я знаю единственная возможность это разносить компьютеры по подсетям. Каждый компьютер будет сидеть в своей пподсети и видеть, только компьютеры своей подсети. Однако я сомневаюсь, что тебе настолько нужно чтобы каждый комп видел только компы своего отдела, чтобы ты начал настраивать маршрутизацию.
Сори, если не в тему.

ctolnik
да не....все в тему....как раз и рассматриваем эту проблему....и уже как минимум два пути решения нашли.

vworld
Ну и отлично Приятно, когда есть решение

AlexSSS

Цитата:

периодически заходишь в папку проектов и захватываешь файлы под владение админа. Тем самым освобождая пользователя от непосильного груза файлов общих проектов

Подскажи, как именно это реализуется ?

начал реализовывать проект по подключению доменному юзеру папок, но вот столкнулся с проблемкой расшарить приходится личную папку юзера, которая создается в оснастке АД для пользователей, но если ее открыть доступ, то она видна становится для всех пользователей в домене, а можно сделать так, чтобы она была не видна для всех? (вариант с $ не предлагать).

я совсем не профи в таком вопросе, но кажется надо с контейнерами побаловатся (типа скрытый и пр.)

vworld
Тебе для кого нужно домашний каталог расшарить?

только для юзера, который и будет его использовать

Присоеденяюсь к вопросу.
Насколько я понял, личные папки пользователей на сервере для монтирования соответсвующий сетевых дисков при входе пользователей в сеть, нужно расшаривать в любом случае, иначе их не подключить, поэтому в лююом случае они будет видны тем пользователем, которые имеют возможность видеть расшаренные ресурсы сервера. Другое дело, что во-первых с помощью Security можно задать права доступа, при котором все пользователи, кроме хозяина, так и не может попасть в папку, а во-вторых, нужно ли пользователям давать возможность видеть все расшаренные ресурсы пользователя.

Сейчас я сделал пока вот так....организовал папку Users, а вней уже делаю по именам пользователей (например - ANNA), потом в оснастке АД подцепляю эту директорию, расшарил полностью папку Users, ее же ИМХО можно сделать User$, но опять же ИМХО $ - не выход из ситуации, т.к. поиском можно увидеть папки других юзеров

vworld
Вобщем делается это так, если мне память не изменяет:
1. Шара с общим доступом, можно с долларом, можно без.
2. В профиле указываешь \\shara\%username% в качетве домашнего каталога
при очередном заходе создаётся папка с правами доступа только для данного пользователя.

Страшного, что кто-то сможет видеть остальные папки - нет, т.к. зайти в них всё равно не будет возможности дажу у администратора домена (до той поры, пока он не поменяет владельца). Вобщем пробуй.

Felix
Сделал папку Users - шара, в юзере, в профиле на Z цепляю \\server\users\anna, пишет что такой директории нет перелогиниваю юзера, снова захожу в домен.....ничего нет....смотрю на сервере....папка юзера не организовалась .....беру руками создаю папку Anna в папке Users, потом снова юзера перелогиниваю - результата нет правда пробовал на юзерской машиене 98

Цитата:

правда пробовал на юзерской машиене 98

Вот на счёт машин под Вин 98 я не уверен....

vworld С XP схема Felixа точно работает.

1. под 9X шары типа \\server\resource\catalog не работают
2. IMHO нет ниченго страшного в том, что пользователь увидит чьи-то зашаренные ресурсы или папки - доступа в них он все равно не получит. Зачастую это просто напрасная трата времени, тем более, что предложенный вариант с \\server\resource\catalog легко обходится.

2ALL
в общем разрешил ситуацию....сделал папкую Users - открыл ее в полный доступ для всех, затем создаю в ней папку юзера, например Anna, потом делаю в АД, подключаю созданную папку к юзеру Anna, потом юзер раздаю в папке Anna в безопасности только юзеру доступ и админу...остальные юзеры не могут попасть в папку Anna

vworld
могу поздравить! Правда все равно все придется переделывать ;o)
1. > остальные юзеры не могут попасть в папку Anna
зато прекрасно могут ее стереть

2. >сделал папкую Users - открыл ее в полный доступ для всех
В результате все подряд могут создавать в ней документы или папки и так же успешно могут их стирать

надеюсь ты собирался получить не этот результат? ;o)

AlexSSS

Цитата:

зато прекрасно могут ее стереть

Не смогут, если убрать наследование прав.

vworld
В настройках безопасности папки Users, оставь "Чтение и выполнение" для "Все" и этого вполне хватит.

честно говоря, не могу понять, а в чем собственно загвоздка???
1. Делается папка Users. На нее ставится полный доступ для домен админа и доступ на чтение для домен юсеров, причем второе для "This Folder only"
2. В папке Users создаются папки с именем пользователя. На них остается включенным наследование с родительской папки (а там только домен админ)+добавляется полный доступ для конкретного пользователя, чьим именем названа папка.
Все, этого достаточно, чтобы никто никуда не мог залесть и не мог сделать что-то, что ему не положено.

По шаре \\server\users любой пользователь может увидеть список всех папок, однако попасть туда он не сможет. Я бы тут больше и не мудохался.
Если же по религиозным убеждениям требуется скрыть и список папок, то можно попробовать
1. Делается папка Users. На нее ставится полный доступ для домен админа. Все
2. В папке Users создаются папки с именем пользователя с такими же правами как и в первом варианте.
3. Подсоединяем \\server\users как диск U. Персональную папку прописываем, как U:\user

В результате пользователь ничего не видит на диске U, но при этом может работать в своей персональной папке

Добавлено:
Felix
AS>зато прекрасно могут ее стереть
F>Не смогут, если убрать наследование прав.
Феликс, увы, ты не прав и это достаточно распространенная ошибка. Можешь сам все проверить. Сделай на сервере, в папке, к которой ты имеешь полный доступ, новую папку. Удали на ней все наследования и все группы и пользователей. Теперь со своего компа попробуй войти в нее - не получится. И попробуй удалить - а вот это легко выйдет

AlexSSS

Цитата:

Феликс, увы, ты не прав и это достаточно распространенная ошибка. Можешь сам все проверить. Сделай на сервере, в папке, к которой ты имеешь полный доступ, новую папку. Удали на ней все наследования и все группы и пользователей. Теперь со своего компа попробуй войти в нее - не получится. И попробуй удалить - а вот это легко выйдет

Мы может разными словами об одном и том же говорим, а может нет.
Прежде чем написать, я попробывал это на своём ADC. И не удалилась папочка!

Добавлено:
Да и что далеко ходить:
создай на нтфс папку, убей всех пользователей и группы безопастности и добавь любого пользователя (не себя) и попробуй её удалить.