» Как можно организовать структурирование домена по отделам

AlexSSS
Felix
Я что вообще отупел? ИМХО уже говорил что у меня и как настроено....причем даже работало
Теперь вот все решил сделать как сказал уважаемый AlexSSS

Цитата:

1. Делается папка Users. На нее ставится полный доступ для домен админа и доступ на чтение для домен юсеров, причем второе для "This Folder only"

Есть такая штука в винде Шаринг я его называю доступ, и есть секьюоити я его называю безопасность....
шаринг определяет открытость в сети....
секьюрность определяет доступ к чему либо (папка, файл)....
так вот если делать Доступ на папкую Users, то ИМХО ни о каком наследование речи не должно идти, т.к. наследуется именно секьюрность папки, а по вашим словам мы ее не настривали...
Может я что то не допонимаю?

vworld
Ты всё правильно понимаешь: расшарена одна папка, НО все ограничения на просмотр соседних папок и т.п. зависят от секьюрности. Т.е. тебе нужно расшаривать папку с правами доступа на пользователей домена, а секьюрностью регулировать кто куда имеет доступ. Отделять одно и другое нельзя, нужно рулить сразу и одними и вторыми правами.

Felix
Что то так и не выходит...все вроде так делаю...в Users расшарена для Все - чтение, безопасность - домен админ - все, домен юзерс - чтение, в папке юзера идет наследование на админа и юзеров, еще добавляю самого юзера и даю права все за исключением полного доступа...

Цитата:

домен юзерс - чтение

должно быть чтение и выполнение

Для каждой папки по умолчанию (при создании автоматически) права только для владельца - т.е. конкретного пользователя.

Felix

Цитата:

должно быть чтение и выполнение

Сделал для папки Users, автоматом наследуюется и на папкю пользователя, НО опять же не идет, т.е. юзер не может ничего скопировать в свою папку

Цитата:

автоматом наследуюется и на папкю пользователя

Нет необходимости наследовать на папки пользователей.
Единственное, что тебе нужно сделать - добавить в пользователи того, чья папка и дать на неё полные права, либо добавляешь "Владелец", даёшь полные права, НО!!! на вкладке "Безопастность" идёшь в "Дополнительно", далее вкладка "Владелец" и добавляешь владельца - пользователя папки + выделяешь его в листе, говоришь заменить владельца подконтейнеров и объектов и нажимаешь применить.

Т.е. Папка Users - расшарена на чтение и исполнение для всех. Таким образом пользователи могут пройти через эту папку. Далее на каждую домашнюю папку пользователя для него полные права, желательно его сделать владельцем этой папки.

Felix
1. > Нет необходимости наследовать на папки пользователей.
наследование - это мощнейший механизм, который появился в NTFS win2000 и пользоваться которым очень рекомендую. Для чего это может пригодится в будущем - предположим, что задается группа операторов, которые должны иметь доступ на чтение во все папки пользователей. Если включено наследование, то достаточно будет добавить право на чтение этой группы в папку Users и эти права автоматом унаследуются вво все папки пользователей. Если наследования нет, то придется перепрописывать эту группу ручками ко всем пользователям.

2.
>а вкладке "Безопастность" идёшь в "Дополнительно", далее вкладка "Владелец"
> и добавляешь владельца
Эта возможность появилась только в Win2003Server. Более того, это ты только переназначишь владельца в папке.
Доступ к файлам надо давать не через владельца, а через security, просто прописав там полный доступ для нужного пользователя.






Добавлено:
vworld
я уже запутался, где ты сейчас находишься.
давай так, делаешь первый вариант, который у меня описан в сообщении, начинающемся с "честно говоря, не могу понять"
описываешь. что не работает и я пошагово обьясняю тебе что надо исправить.

Цитата:

Нет необходимости наследовать на папки пользователей.
наследование - это мощнейший механизм, который появился в NTFS win2000 и пользоваться которым очень рекомендую. Для чего это может пригодится в будущем - предположим, что задается группа операторов, которые должны иметь доступ на чтение во все папки пользователей. Если включено наследование, то достаточно будет добавить право на чтение этой группы в папку Users и эти права автоматом унаследуются вво все папки пользователей. Если наследования нет, то придется перепрописывать эту группу ручками ко всем пользователям.

Нет необходимости доказывать мне что наследование хорошо, с чем его едят и т.п.
Если я не правильно выразился, то поправлюсь: нет необходимости наследования прав от Users к папкам пользователя.


Цитата:

Эта возможность появилась только в Win2003Server.

Думал, что совсем плох стал, ан нет. Хорошо, что в домене и 2003 сервер и 2000, так вот:
сижу и смотрю на страницу безопасности, и на ней есть кнопочка Дополнительно. Или я не прав?!

Добавлено:
Рекомендую:
http://support.microsoft.com/kb/320043 создание папок
http://support.microsoft.com/default.aspx?scid=kb;en-us;817009 права и разрешения

AlexSSS
В общем так....не поверети, но я все сделал как хотел изначально пока только по личной папке...
говорю как делал по шагам, ибо нех ....шучу
1) Создал папку Users, даю ей еще атрибутик $ (скрытый ресурс), Доступ - Админ, все права, Доменный юзер, исполнение, чтение;
2) Вкладка папки Users, Безопасность - Админ, все права, Доменный юзерс - чтение и выполнение, наследованиеубранно (иначе останутся еще и Все);
3) Создаю в папке Users, подпапки личные для юзеров (например Anna), вкладка Безопасность, Админу - полные права, юзеру Anna - все, кроме - полный доступ;
4) Иду в настройку АД, в свойствах юзера Anna, есть вкладка Профиль, в нем на диск Z указываю путь \\server\Users$\Anna - ОК.
Вывод: при подключение в домен юзера Anna, в проводнике добавляется диск (сетевой).

З.Ы. сейчас буду разбираться как обозначить квоты на объем папки юзера...

vworld
1 > даю ей еще атрибутик $ (скрытый ресурс)
это на закладке Share?
> Доступ - Админ, все права, Доменный юзер, исполнение, чтение;
на закладке Share ресурс должен быть зашарен для всех пользователей на ПОЛНЫЙ доступ. Какие бы права не стояли на папках и файлах, при обрашении через зашаренный ресурс пользователь никогда не получит прав больше, чем дают права зашаренного ресурса.

Делай полный доступ на уровне share и не беспокойся - дальше свою роль будут играть доступы на NTFS (security)

Добавлено:
Felix

Цитата:

Думал, что совсем плох стал, ан нет. Хорошо, что в домене и 2003 сервер и 2000, так вот:
сижу и смотрю на страницу безопасности, и на ней есть кнопочка Дополнительно. Или я не прав?!

Тут ты прав. Но все же, похоже, совсем плох стал ;o)
Я писал об том, что добавить произвольного владельца (а ты предлагал ставить владельцем пользователя) можно только в Win2003Server. В 2000-м сервере есть возможность take ownership только на себя (там нет кнопки "Other Users and Groups")

Добавлено:
vworld
> 2) Вкладка папки Users, Безопасность - Админ, все права,
> Доменный юзерс - чтение и выполнение, наследованиеубранно
> (иначе останутся еще и Все)
Хорошо. Но Доменный юзерс - чтение и выполнение поставь для "This folder only" (кнопка Advanced на закладке Security)

> 3) Создаю в папке Users, подпапки личные для юзеров (например Anna),
> вкладка Безопасность, Админу - полные права,
> юзеру Anna - все, кроме - полный доступ
удали всех, кроме Anna и включи наследование. Тогда у тебя будет полный для Анны+унаследуется полный доступ для админа с верхнего каталога. Чтение домен юсера не унаследуется, так как в родительском каталоге доступ для них стоит This folder only

Это вариант не обязателен, однако это можно считать правилом хорошего тона. И если в случае с папками пользователей это может в дальнейшем и не понадобиться, то если будешь ставить права для папки фирмы-отделов-подотделов, то там это очень сильно упростит жизнь

AlexSSS

Цитата:

Делай полный доступ на уровне share и не беспокойся - дальше свою роль будут играть доступы на NTFS (security)

Т.е. в доступе на папку Users, в вкладке Доступ, для Всех - полный доступ?

Цитата:

Хорошо. Но Доменный юзерс - чтение и выполнение поставь для "This folder only" (кнопка Advanced на закладке Security)

Так и сделал ....забыл просто написать...
Спасибо за советы....
Еще нюанс....почему если я в АД делаю папку для юзера, ее приходится еще и ручками создавать? так и должно быть?
И еще по поводу квот на папку юзера......есть советы?

Вопрос по определению квот полностью обсужден выше. Квоты можно опрелить пользователю только на уровне раздела, на уровне папки нет...

vworld
> Т.е. в доступе на папку Users, в вкладке Доступ, для Всех - полный доступ?
да. Это как бутылочное горлышко - какая бы не была широкая бутылка, ты в нее не сможешь пустить струю больше, чем позволяет горлышко ;o)

> почему если я в АД делаю папку для юзера,
> ее приходится еще и ручками создавать? так и должно быть?
В AD ты просто указываешь путь к уже существующей папке.
Это касается и большинства других полей - если ты указал, к примеру, логонный скрипт, то это совсем не обозначает, что он сам создастся

По квотам reyst прав

да.....сейчас посидел, поразбирался по квотам....идут они только на раздел весь, отдельно на папку нельзы выставить .....коряво

vworld

Цитата:

почему если я в АД делаю папку для юзера, ее приходится еще и ручками создавать? так и должно быть?

Если в профиле писать \\server\users\Anna, нужно вручную создавать. Если написать \\server\users\%username%, папка будет создана при следующем логоне пользователя. Причем система сама на нее настроит права (Администратор в этом случае не получает прав на папку юзера, но это можно подправить в политике)

Alan Mon

Цитата:

\\server\users\%username%

Добрый совет.....тогда следует вопрос ...
Цитата:

но это можно подправить в политике)

а точнее?

Добавлено:
и кстати по квотам пользователей...
вот инфа.... http://www.networkdoc.ru/files/insop/win2000/win2000book/read.html?gl7-4.html

vworld
"Конфигурация компьютера\Административные шаблоны\Система\Вход в систему\Добавить группу безопасности администраторов ..."
Только прочитай к ней комментарии. Там есть тонкости.