Jirka11111
|
13.4.201312:21
chacha, windows domény a bezpečnost, děláte si kozy, něco tak děravého jsem ještě neviděl.
v naší firmě (cca 3500 uživatelských účtů) se mi stává dosti často, že se mi zničehonic během práce zablokuje účet, pak mám 10 min čas do odemčení, po tu dobu se nemohu přihlásit. To by nebyl problém, čas využiji k uvaření kafe, odběhnutí na wc apod., problém vidím v tom, že po uplynutí 10 minut se dostanu do aplikací s citlivými daty aniž bych se musel přihlásit, systém tam po odemčení účtu pustí z mého PC kohokoliv, takže musím hlídat PC.
Odpovědět0 3
Jasne a ty ses tam podle charakteru prispevku na pozici vratny nebo otevirac zavory, ze?
Odpovědět2 0
Chápu tedy správně že pomocí ACL lze nadefinovat toto:
- user1 má přístup do adresáové struktury root-subfolder1-subfolder2 ale už ne na subfolder3,
ale ne toto?
- user1 nemá přístup do adresáové struktury root-subfolder1-subfolder2 ale chci mu dát právo na prohlížení dat v subfolder3.
Komplikuje mi to život, pokud mám systémově zatříděná data a jen na jeden z podadresářů chci někomu přidělit právo, nezbývá mi, než ta data vyhodit ven a řešit to jinak, což ničí systémovost....
Něco jsem přehlédl?
Odpovědět0 0
Dobrý den,
v případě tohoto řešení (NAS od Synology) to funguje tak, jak jste napsal, tzn. nelze nastavit oprávnění pro subfolder3 při ponechání všech nadřazených adresářů zakázaných.
Je tu ovšem několik možností, jakými lze tato skutečnost obejít. Uvedu dva příklady.
1) vytvořit novou sdílenou složku, do které nasměrujete (symlinkem z příkazové řádky) adresář(e), ke kter/ému/ým chcete dát uživateli přístup. Při správném nastavení oprávnění by to mělo fungovat. Pokud byste chtěl konkrétní řešení, napište mi konkrétní model a pokusím se tuto situaci nasimulovat u sebe na NASu a následně sem do diskuze vložím postup.
2) nastavte uživateli oprávnění tak, aby měl možnost otevřít složku, ale neměl již oprávnění otevírat subfoldery. Takže uživatel bude sice vidět strukturu dat, ale dostane se pouze do root-subfolder1, po otevření se dostane pouze do subfolder2, atd. To lze ještě kombinovat s alternativní konfigurací v rámci administrace NASu, která spočívá v tom, že uživatel nevidí data, ke kterým nemá oprávnění. Pokud to aplikujete také na soubory, dosáhnete toho, že se uživatel prokliká strukturou, ale nebude moct přistupovat k ničemu jinému, než bude mít povoleno. Je to sice poměrně krkolomné řešení, ale mělo by to také fungovat.
Odpovědět0 0
dobrý den, nemyslím že je důležité ale jedná se o nižší řady Synology konkrétně 212j:
ad 2) lokální uživatel potřebuje mít přístup k vnořené složce, adresářovou strukturu je vhodné skrýt, jak přesně nastavit oprávnění ke sdílené složce a jak nastavit windows ACL? Nepovedlo se, např. jakmile nepřidělím na upper složku ve win ACL právo čtení- přesunout složky/spustit soubory tak přístup nemám, v opačném případě mám přístup na čtení do celé adresářové struktury což je neřešitelné. Testované nastavení - uživatel má na sdílenou složku práva čtení/zápis (myšleno ovládací panel, uživatel, nastavení oprávnění), stejnému uživateli přidělujeme winACL práva v rámci filestation....
Odpovědět0 0
Hmm, adresárový server ako pojem počujem prvýkrát. Zrejme musí byť neustále zapnutý, čo teda na NAS -e predpokladáme. Ok.
Len tak na okraj: Je doménový server aj súčasťou MS Windows 2k8, 2k12 Home servera? Lebo v takom prípade, keď mi všetky domáce stanice bežia na MS, je asi vhodnejší tento, že?
MS NAS sa asi ale dá len poskladať, že?
Odpovědět1 0
Dobrý den,
adresářový server musí být skutečně pořád zapnutý, aby bylo možné se oproti němu autentifikovat. To se u NASu předpokládá.
Co se týče edicí MS Windows Home Server, tak technicky to sice teoreticky možné je, ale z pohledu licenčních podmínek Microsoftu už ne ("Functionality Limitations. Active Directory - You may not use the server software as a domain controller or otherwise make use of DCPromo.exe.").
Odpovědět0 0
Mám rád užitečné články. Děkuji
Odpovědět2 0
Fred1
|
9.4.20136:07
Odpovědět0 1
-50.webp)