Author Topic: Доступ ко всем папкам пользователей в домене Zentyal 4.2  (Read 1282 times)

AntonMosyagin

  • Zen Apprentice
  • *
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Здравствуйте! Интересует следующий вопрос: как настроить доступ администратору сервера Zentyal ко всем папкам пользователей, подключенных к домену?

luha

  • Zen Samurai
  • ****
  • Posts: 453
  • Karma: +35/-1
    • View Profile
Вопрос поставлен неверно. Скорее уж - как не дать доступ администратору сервера к папкам пользователей. Надеюсь вы поняли.

AntonMosyagin

  • Zen Apprentice
  • *
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Вопрос поставлен неверно. Скорее уж - как не дать доступ администратору сервера к папкам пользователей. Надеюсь вы поняли.
Боюсь не совсем... Получается что админ даже не может проверить если файлы в папке какого то пользователя, не говоря уж о том чтобы к примеру добавить какой нить файлик.
У меня такая ситуация: на компьютере пользователя переустанавливал windows, перед этим перекинул все нужные папки с инфой на флешку! Затем винду подключил к домену, автоматом создалась сетевая папка на серваке, меня интересует такой вопрос: могу ли я закинуть все эти папки с инфой пользователя через компьютер сервер напрямую в сетевую папку пользователя?

luha

  • Zen Samurai
  • ****
  • Posts: 453
  • Karma: +35/-1
    • View Profile
Понял вас на половину, но попробую собрать всё в кучу.

Есть сервер, его построил Джэк. Джэк там админ (админ сервера) и всё что на сервере лежит он видит потому что он админ этого сервера и когда логинится на этом сервере как админ имеет права админа, а у кого права админа тот может любой файл в любой папке пинать. Но есть проблема... на любом другом сервере и компьютере Джэк никто и не может ничего.

Есть на том сервере АД которую настроил Джэк. В АД Джэк тоже админ (админ домена) и всё, что связано с АД ему доступно т.к. он там админ, файлы и папки любого пользователя АД ему видны, на любой компьютер входящий в АД он тоже зайдёт. Но есть проблема... за пределами АД Джэк никто и там не вхож.

Есть у Джека ещё и два компьютера, на которых Джэк работает под обычным пользователем, не без паролей конечно чтоб другие в его домашнюю папку не лазили. Один компьютер добавлен в АД, а другой нет. Иногда Джэк по ошибке логинится на этих компьютерах как админ. Если как админ сервера, то его не пускает. Если как админ домена то на один компьютер пускает, на другой всёравно нет. Если ему нужно было всего лиш глянуть на файлик в домашней папке своего пользователя то войдя как админ домена на компьютер входящий в домен он обычно из лени не меняет пользователя а идёт и смотрит что хотел, не зря же он ещё и админ домена!

Однажды злобный вирус испортил профиль Джека на его компьютере который не входил в АД, но файлы были целы, нельзя было зайти как пользователь. К счастью он был также и локальным администратором на этом компьютере и легко создал себе нового пользователя, сменил рекурсивно права на файлы и перенёс их в новое место, а потом и вовсе добавил этот компьютер в свой домен и сделал чтобы файлы были доступны и пользователю домена и локальному пользователю.

ИТОГО: Пользовательские файлы имеют права, которые может менять пользователь и админ с доступом к системе. Если планируется перенести файлы или передать другому пользователю то сначала нужно урегулировать права на эти файлы иначе может быть бо-бо.

AntonMosyagin

  • Zen Apprentice
  • *
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Понял вас на половину, но попробую собрать всё в кучу.

Есть сервер, его построил Джэк. Джэк там админ (админ сервера) и всё что на сервере лежит он видит потому что он админ этого сервера и когда логинится на этом сервере как админ имеет права админа, а у кого права админа тот может любой файл в любой папке пинать. Но есть проблема... на любом другом сервере и компьютере Джэк никто и не может ничего.

Есть на том сервере АД которую настроил Джэк. В АД Джэк тоже админ (админ домена) и всё, что связано с АД ему доступно т.к. он там админ, файлы и папки любого пользователя АД ему видны, на любой компьютер входящий в АД он тоже зайдёт. Но есть проблема... за пределами АД Джэк никто и там не вхож.

Есть у Джека ещё и два компьютера, на которых Джэк работает под обычным пользователем, не без паролей конечно чтоб другие в его домашнюю папку не лазили. Один компьютер добавлен в АД, а другой нет. Иногда Джэк по ошибке логинится на этих компьютерах как админ. Если как админ сервера, то его не пускает. Если как админ домена то на один компьютер пускает, на другой всёравно нет. Если ему нужно было всего лиш глянуть на файлик в домашней папке своего пользователя то войдя как админ домена на компьютер входящий в домен он обычно из лени не меняет пользователя а идёт и смотрит что хотел, не зря же он ещё и админ домена!

Однажды злобный вирус испортил профиль Джека на его компьютере который не входил в АД, но файлы были целы, нельзя было зайти как пользователь. К счастью он был также и локальным администратором на этом компьютере и легко создал себе нового пользователя, сменил рекурсивно права на файлы и перенёс их в новое место, а потом и вовсе добавил этот компьютер в свой домен и сделал чтобы файлы были доступны и пользователю домена и локальному пользователю.

ИТОГО: Пользовательские файлы имеют права, которые может менять пользователь и админ с доступом к системе. Если планируется перенести файлы или передать другому пользователю то сначала нужно урегулировать права на эти файлы иначе может быть бо-бо.
Если я что то понял не так, то поправьте... Личные файлы пользователя, которые он хранит в автоматом созданной папке  (при вводе в домен) хранятся на компьютере -сервере- zentyal, на нем же можно менять квоту на объем контейнера для этих данных. Соответственно, если вдруг ломается компьютер пользователя, данные остаются в сохранности и получить к ним доступ можно к примеру с другого компьютера войдя в домен под теми же данными авторизации?! Значит доступ к этим файлам будет только для машины которая в домене? 
« Last Edit: August 04, 2017, 07:00:33 am by AntonMosyagin »

luha

  • Zen Samurai
  • ****
  • Posts: 453
  • Karma: +35/-1
    • View Profile
Я немного про другое писал, но да - всё правильно.

И для сетевых объектов и для локальных объектов придумали давать права на доступ. Определяется пользователь, группа и что можно делать. Например можно для одного конкретного пользователя сделать доступной папку на сервере и только он сможет ею пользоваться. Имеется в виду пользователь домена созданный в АД и логинящийся на компьютере который тоже добавлен в каталог. При этом администратор домена тоже сможет к этой папке получить доступ и также администратор сервера где она лежит в своей локальной среде. Кстати процедура автоматического появления папки в каталоге пользователя и привязка его локальных документов к ней к вопросу доступности как-бы не относится и вообще это совсем другая история решаемая через настройки политик!

У себя на компьютере пользователь также может открывать в сеть папки, если надо то только для конкретных пользователей или группы. Кроме того своим файлам пользователь (или админ) может назначать разрешения, например чтобы другие могли этими файлами пользоваться. Бывает пришлют файл почтой например, а он только для владельца и не открывается. Или бывает папку пользователя скопирует кто-нибудь на флэшку, а она потом не открывается, файлы не доступны...

А вот чтобы данные не пропали нужно обеспечить отказоустойчивость и это уже совсем другой вопрос.

Самое печальное что это всё уже не актуально! У MS новая облачная система AD.

AntonMosyagin

  • Zen Apprentice
  • *
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Я немного про другое писал, но да - всё правильно.

И для сетевых объектов и для локальных объектов придумали давать права на доступ. Определяется пользователь, группа и что можно делать. Например можно для одного конкретного пользователя сделать доступной папку на сервере и только он сможет ею пользоваться. Имеется в виду пользователь домена созданный в АД и логинящийся на компьютере который тоже добавлен в каталог. При этом администратор домена тоже сможет к этой папке получить доступ и также администратор сервера где она лежит в своей локальной среде. Кстати процедура автоматического появления папки в каталоге пользователя и привязка его локальных документов к ней к вопросу доступности как-бы не относится и вообще это совсем другая история решаемая через настройки политик!

У себя на компьютере пользователь также может открывать в сеть папки, если надо то только для конкретных пользователей или группы. Кроме того своим файлам пользователь (или админ) может назначать разрешения, например чтобы другие могли этими файлами пользоваться. Бывает пришлют файл почтой например, а он только для владельца и не открывается. Или бывает папку пользователя скопирует кто-нибудь на флэшку, а она потом не открывается, файлы не доступны...

А вот чтобы данные не пропали нужно обеспечить отказоустойчивость и это уже совсем другой вопрос.

Самое печальное что это всё уже не актуально! У MS новая облачная система AD.
С авторизованными в домене пользователями все стало понятно, но как же быть с теми машинами которые не в домене? Я ведь не могу в настройках Zentyal указать права пользователю (к примеру на чтение папки),  которого нет в домене? Отсюда и еще непонятная для меня ситуация с компьютерами на которых linux, их получается тоже нужно вводить в домен? Когда я ввожу в домен windows у меня автоматом компьютер появляется в списке на сервере., хотелось бы чтобы и с ними тоже было так.

luha

  • Zen Samurai
  • ****
  • Posts: 453
  • Karma: +35/-1
    • View Profile
Компьютеры на Windows и Linux которые не были введены в домен отличаются от тех, что были введены только тем, что на последних могут логинится пользователи из каталога АД домена. Тоесть компьютер при включении после ввода логина и пароля ищет и сверяет профиль в каталоге, потом получает билетик и дальше его использует для автоматизации аутентификации для доступа к ресурсам. Плюс администратор может на этих компьютерах применять политики, инсталировать или удалять софт и всякое такое. То что компьютеры видны в каталоге само по себе бесполезно если не планируется жёстко их админить.

Также можно получить доступ к ресурсам регулируемым через АД и с машин не входящих в АД или с машин входящих в АД но пользователи которых не имеют права доступа (их билет не подходит)! Часто бывает нужно даже если все компьютеры в домене - сел админ, хочет получить доступ, просит аутентифицироваться, он вбивает админскую связку и вуаля! Короче если надо то можно при подключении тупо указать логин/пароль нужного пользователя и всё. Без всяких там билетиков-шмилетиков. Это с моей точки зрения в некоторых случаях делает необходимость ввода машин в домен и получение билета вообще бессмысленной хренью.

Так что может тебе и не надо вовсе. На лине в кошельке сохраняешь логин/пароль при первом доступе и забываешь о проблеме ввода машины в домен. Пользователь пользуется не испытывая дискомфорта и любых других проблем. Всёравно политиками виндячего каталога линуксом не получится управлять, а если надо то есть нативные средства в сто раз лучшие и удобнее гораздо.
« Last Edit: August 04, 2017, 12:12:50 pm by luha »

AntonMosyagin

  • Zen Apprentice
  • *
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Компьютеры на Windows и Linux которые не были введены в домен отличаются от тех, что были введены только тем, что на последних могут логинится пользователи из каталога АД домена. Тоесть компьютер при включении после ввода логина и пароля ищет и сверяет профиль в каталоге, потом получает билетик и дальше его использует для автоматизации аутентификации для доступа к ресурсам. Плюс администратор может на этих компьютерах применять политики, инсталировать или удалять софт и всякое такое. То что компьютеры видны в каталоге само по себе бесполезно если не планируется жёстко их админить.

Также можно получить доступ к ресурсам регулируемым через АД и с машин не входящих в АД или с машин входящих в АД но пользователи которых не имеют права доступа (их билет не подходит)! Часто бывает нужно даже если все компьютеры в домене - сел админ, хочет получить доступ, просит аутентифицироваться, он вбивает админскую связку и вуаля! Короче если надо то можно при подключении тупо указать логин/пароль нужного пользователя и всё. Без всяких там билетиков-шмилетиков. Это с моей точки зрения в некоторых случаях делает необходимость ввода машин в домен и получение билета вообще бессмысленной хренью.

Так что может тебе и не надо вовсе. На лине в кошельке сохраняешь логин/пароль при первом доступе и забываешь о проблеме ввода машины в домен. Пользователь пользуется не испытывая дискомфорта и любых других проблем. Всёравно политиками виндячего каталога линуксом не получится управлять, а если надо то есть нативные средства в сто раз лучшие и удобнее гораздо.
Большущее вам спасибо за помощь!