"во-1х строках своего письма..." - в смысле поста - спасибо за ваши отклики, парни!..
теперь уже маненько в башке устаканиваться начинает.. =)
ладно.. шоб сузить "сектор обстрела", ещё уточнюсь чуток по своему
вопросу:
1. интересует решение штатными средствами венды
2к/хр/2к3, не ломая бол/мен "гомогенную" структуру..
2. не интересует ид с помощью внешних хардовых ключей и разных "умных" свитчей и т.п..
3. не интересует перевод сетки на домен - всё отлажено и вполне исправно "фунцыклирует"..
4. из "стороннего" софта интересуют, вопчем-то, только бесплатные решения и только под венду (причины озвучены)..
5. интересует сделать всё "прозрачно" для енд-юзеров, шоб их не переучивать - это долго и нудно.. =)
короче говоря - в общем и целом хочу в довесок к имеющейся привязке ип-мак забодяжить ещё и
привязку ип-юзер, но БЕЗ изменения инфраструктуры и БЕЗ дополнительных софтовых/хардовых решений.. основная цель - повысить защищённость не только серверов, но и отдельных раб.станций "минимальной кровью".. и [more=ещё чуток]сопссно, "ноги растут" из того факта, шо юзеры, цуко, периодически делятся друг с дружкой своими логинами/пассами, ну, типа, им "так удобно работать".. и ведь не поспоришь - истинно так.. ))
и вот тока не говорите мне за всякие там административно-приказные меры - все уже.. но, сами понимаете - начальству красиво жить не запретишь, а там и юзеры "а мы чем хуже" и всё такое.. ну, а как следствие - вероятность неконтролируемого доступа повышается, прецеденты у меня случались - но отнюдь не по моей вине, замечу, и не из-за "дырявости" имеющихся ограничений.. потом всякие долгие разборки, закручивание гаек и прочий геморрой.. :/
тащемта, чё рассказывать - здесь, наверное, каждый сталкивался с подобной "вольницей".. поэтому-то и хочу зарубить "неосознанное" (??) стремление юзеров к бардаку.. т.е., так скать, сразу и на корню зарубить всякий бесконтрольный доступ
к любому хосту в сетке, а не только к сервакам..
при прочих равных, чё греха таить, подходящий вариант решения у меня уже есть и реализовать свою "хотелку" в принципе я могу - в сетке развёрнуто централизованное управление каспером, поэтому задать соответссные настройки и порезать доступ по отдельным хостам вполне можно.. и не отходя, так скать, далеко от кассы своего кресла.. =)
причём, в админките каспера всё это можно порезать не только как в домене, по ntlm, но и по ип/портам/протоколам/сервисам и т.д.. а вторая привязка (ип-мак) уже давно сделана.. т.е. при этом за "штатную" авторизацию ответит сама венда, а опциональную "хотелку" реализует каспер..
к вопросу "так какого ж ты нам тут мозги паришь" - с чисто профессиональной т.з. мне интересно сделать всё это именно штатно, только встроенными вендовыми фишками.. пусть, быть может, недокументированными и/или нестандартно-используемыми, но - именно обойтись встроенным в саму ось функционалом.. ну и за подход "работает - не трогай" уже говорилось.. -))
ну, как-то так..[/more] по ситуёвине в целом..
вопчем, "красивого" решения пока так и не нашёл/придумал, поиск продолжаю..
LevTЦитата: Значит, виндовой аутентификации не будет: лучше просто забыть про виндовых юзеров.
нереально - шибко их много расплодилось.. да и существующая структура парка + наработанные/проверенные решения не склоняют к глобальным переделкам.. вопчем, перспектива совершать "производственный героизЬм" не очень нравится.. -)
Цитата: Потенциально существующий вариант может быть только порталом со своей юзерской базой.
т.е. по сути переход на домен, што-ль? не пойдёт - парк старый в массе, а на нормальное надёжное оборудование денег не дадут ещё долго.. поэтому вынужден оставаться на одноранговой сетке именно из-за "отказоустойчивости" такой структуры в силу её распределённости и независимости от центральных управлялок..
Цитата: Продолжайте поиски, только если это устраивает.
а больше ничё и не остаётся.. ну, сам пойми - особо вариантов-то у меня как бэ и нет.. :(
NskRoninЦитата: думаю домен поднимать, что бы решить проблемы доступа.
погоди пока ломать, давай лучше вместе выход поищем.. :)
Цитата: юзер сел за другой ПК и получил доступ того кто за ним сидит. В общем тоже не совсем айс.
ну так-то да, но такой "не-айс", тащем-та, меня мало волнует - юзер персонально отвечает (!) за своё раб.место, это прописано во всяких приказах/инструкциях и пр. "административщине".. так шта если он на свою тачку кого попало пускает, это уже чисто его косяк.. а моё дело маленькое - "рапорт и к дирекции", подложив нужные логи доступа.. ))
а вот когда юзер не один на тачке и/или "сменщик" имеет возможность залезть на ту же шару с другого компа и даже с "левого", если уж на то пошло в принципе.. то вот тут-то уже мои головняки начинаются и отвечать мне.. вот потому и хочется максимально отсечь "варианты".. ну.. я ж пока ещё юзеров не по пальцу/глазу по сетке идентифицирую.. х))
Цитата: каким то образом заставить винду раздавать доступ на основе IP, что я себе плохо представляю штатными средствами.
не совсем на основе ип - но в дополнение к нтлм!.. поясню - к примеру, венда ить (формально!) никак не запрещает заходить с разных ип под одним логином, но используя фиреволл + привязку ип-мак, можно "ограничить круг" вероятного доступа только заданными хостами.. ну а вся "хотелка" и заключается в развитие этого слежения на пару ип-юзер.. т.е. аудит у нас уже есть штатно, и вся шняга в том, шоб как-то (??) настроить правила доступа на базе этого аудита.. понимаешь, к чему клоню?..
Цитата: Либо, как вариант, купить NAS и разграничить шары на нем.
ключевое = "купить", но в силу всего уже сказанного мне всё ж таки очень хочется на халяву.. ;)
да и по сути - насы ить не умнее венды, так какая ж тады разница меж ними с т.з. авторизации?
BigElectricCatЦитата: Железо позволит различить пользователей перед входом в сеть? (Пример: http://shop.nag.ru/article/ispolzovanie-tehnologii-identity-management-v-kommutatorah-extreme)
эхх.. чё душу-то травить.. я как на цены глянул.. так и понял, шо сидеть мне со своими туполинками до пенсии.. :/
вопчем, пару ненаших килобашлей на хардварную защиту от бабушки-бухгалтерши мне точно никогда и никто.. :)))
а за ссылу спс, буду способ в голове держать.. ну.. вдруг наступит "светлое завтра".. хотя вряд ли, каэшна..
Maza777Цитата: как то у меня комп странно копирует файлы на флешки с NTFS
верную
наводку дали - смотри политику записи в свойствах флэхи.. в смысле - ставь "для быстрого извлечения" и будет казать реальную скорость.. и, кроме того, венда не будет вцепляццо во флэшку после того, как "градусник" пробежит.. ))
шо до разницы ТС/ехплорер - см. чо/каг по буферизации стоит в настройках.. вкладка "операции с файлами", ежли чё..
